Vor kurzem habe ich mich zu einem Couch-Talk mit unserem Produktmarketing-Manager Yitzy Tannenbaum zusammengesetzt. Wir wollten meine Erfahrungen aus der Arbeit mit Hunderten von Unternehmen weltweit und in verschiedenen Branchen erörtern und darüber sprechen, wie deren Sicherheitsansätze miteinander verglichen werden können und zugleich kontrastieren. Gemeinsam diskutierten wir die Veränderungen, die ich in der Unternehmenssicherheit sehe, und sprachen darüber, wie verschiedene Organisationen die Sicherheit in ihren komplexen Netzwerkumgebungen unterschiedlich verwalten. Einige Auszüge unseres Gesprächs möchte ich hier wiedergeben.

Cloud Computing berührt alles…

Jeder einzelne Kunde, mit dem ich arbeite, hat sich entschieden, Teile seiner IT-Infrastruktur auf die eine oder andere Weise in die Cloud zu verschieben. Daher werden nun einige Geschäftsanwendungen vom traditionellen Rechenzentrum in die Cloud und in softwaredefinierte Netzwerke (SDN) geschoben. Das herkömmliche On-Premise-Netzwerk wird also allmählich auf Cloud- oder Hybrid-Implementierungen umgestellt. Diese hybriden Umgebungen aber erfordern komplexe Richtliniensätze für Firewalls, was den Bedarf an Sicherheitslösungen für die Verwaltung dieser Netzwerkregeln erhöht.

…das macht die Sicherheit komplexer

Die üblichen Cloud-Anbieter, wie Amazon Web Services (AWS) und Microsoft Azure, bieten integrierte Sicherheitskontrollen zu geringen oder gar keinen Kosten an. Diese sind sogar bis zu einem gewissen Grad sehr effektiv. Wir sehen jedoch, dass Unternehmen zusätzlich klassische Firewall-Drittanbieter einführen, in der Regel auf der Ebene der Virtual Private Cloud (VPC) oder des VNet, um eine höhere Filter- und Kontrollstufe zu erreichen. Das ist es ja, was diese Firewall-Anbieter gut können – sie ermöglichen den höheren Grad an Kontrolle, der für die Segmentierung größerer Netzwerke oder VPCs innerhalb der hybriden- oder Cloud-Umgebung erforderlich ist.

Das bedeutet, dass Unternehmen mit einer Kombination aus hybriden, Cloud- und On-Premise-Sicherheitskontrollen täglich arbeiten, die von sehr unterschiedlichen Personen mit sehr unterschiedlichen Prioritäten – und traditionell mit sehr unterschiedlichen Geschwindigkeiten – verwaltet werden. Wie wir wissen, ist die Cloud aber sehr dynamisch in ihrer Struktur – Stichwort: enorme Skalierung – und erlaubt hohe Geschwindigkeiten bei vielen Verbindungen – ein halsbrecherisches Tempo im Vergleich zu traditionellen Hub-and-Spoke-Modellen.

Die Kontrolle über die Sicherheit erhalten

Organisationen beginnen aus diesem Grund, ihre Konzepte zu ändern. Viele unserer Kunden haben nun spezielle Cloud-Sicherheits-Teams eingesetzt, während andere die Sicherheitskontrollsätze an das Personal von DevOps übergeben haben – letztere sind eigentlich für die Einführung von neuem Code in die Cloud verantwortlich. Dies kann jedoch das Risiko eines ‚Wildwest-Szenarios‘ mit sich bringen: Plötzlich müssen sich die Abteilungen, die ein großes Interesse an der Konnektivität zur Cloud haben – um die Verwendung ihrer Anwendungen zu ermöglichen – selbst um die Sicherheitskontrollen kümmern.

Dabei ist das Risiko offensichtlich: Das Personal der DevOps hat möglicherweise keinen Sicherheitshintergrund und ist daher weniger geneigt, die Sicherheit in der Cloud auf eine Weise zu verwalten, die der allgemeinen Unternehmensführung entspricht. Aus diesem Grund sind traditionelle Sicherheitsgruppen so sehr darauf bedacht, Einblick in die Cloud zu gewinnen, um die Kontrolle über den Netzwerkverkehr wiederzuerlangen.

Eine große Herausforderung für die Unternehmen liegt im Bereich Netzwerk und Sicherheit und besteht darin, diese isolierten Prozesse zusammenzubringen. Dann kann das Personal in der Cloud und bei DevOps sehr schnell Änderungen in der Cloud vornehmen, indem es sich direkt an die APIs und die Cloud-Anbieter wendet.

Die Konnektivität, die in der On-Premise-Umgebung gegeben sein muss, um sicherzustellen, dass alle Anwendungen funktionieren, erfolgt jedoch nach wie vor über umständliche, manuelle Firewall-Änderungen. Dies kann leicht zu Fehlern führen, die sich über lokale und Cloud-Umgebungen erstrecken – in unserer Umfrage vom Mai 2019 zu den Sicherheitsherausforderungen in der Cloud hatten 42,5 Prozent der Befragten einen Netzwerk- oder Anwendungsausfall erlebt. Die Hauptursache war ein betriebliches oder menschliches Versagen bei der Verwaltung von Sicherheitsgeräten. Aus diesem Grund suchen Unternehmen zunehmend automatisierte Sicherheitslösungen, die einen umfänglichen Überblick der Umgebungen und vollständige Kontrolle von einer einzigen Plattform aus ermöglichen.

Organisationen müssen die Möglichkeit haben, sowohl Cloud-Umgebungen als auch On-Premise und SDN an einem Ort zu betrachten und die Konnektivität für Schlüsselanwendungen in all diesen Umgebungen auf einen Blick zu sehen. Sie können nicht langwierig mit unterschiedlichen Prozessen und Technologien umständlich hantieren.

Überlastung der Sicherheitsregeln

Während unseres Gesprächs diskutierten Yitzy Tannenbaum und ich die Herausforderung für Organisationen, die mit einem geschäfts-kritischen Fehler umgehen müssen. Es ist klar, dass die Priorität darin besteht, die entsprechende Anwendung so schnell wie möglich zum Laufen zu bringen. Das aber bedeutet, dass die Versuchung besteht, den Datenverkehr umzuleiten oder eine Sicherheitsregel schnell zu ändern, ohne das bestehende Regelwerk an sich zu optimieren.

Wenn ich in ein großes Unternehmen gehe und mir, beispielsweise, das größte Rechenzentrum dort ansehe, gibt es sehr häufig Firewalls, die seit Jahren in Betrieb sind. Sie haben meist einen organischen Aufbau und mehrere Umzüge im Rechenzentrum oder von Firewall zu Firewall durchlaufen. Über die Jahre hat sich so ein massiver Block von Sicherheitsregeln aufgebaut.

Vor allem große Unternehmen haben daher einen riesigen Bestand an Sicherheitsregeln zu verwalten. Üblicherweise stellen wir bei der Analyse der Sicherheitsinfrastruktur eines neuen Kunden fest, dass 50 Prozent – oder sogar mehr – seiner Sicherheitsrichtlinien überarbeitet oder optimiert werden könnten. Aufgrund der höchst dynamischen Netzwerkumgebung eines Unternehmens muss diese Bereinigung früher als später erfolgen.

Übergang zur kontinuierlichen Einhaltung

Ein weiterer Effekt der zunehmend dynamischen, schnelllebigen Netzwerklandschaft ist die notwendige Erkenntnis, dass Unternehmen die Überprüfung der Compliance nicht mehr als Nebensache verstehen dürfen, die einmal im Jahr, wie eine Übung, durchgeführt wird. Wirtschaftsprüfer verstehen das zunehmend und suchen daher nach Möglichkeiten, um die Konformität aufrechtzuerhalten. Sie suchen Lösungen zur Auditierung, die zudem eine Warnung ausgeben, wenn eine Veränderung im Netzwerk stattfindet, welche sich auf die Compliance auswirkt.

Besonders hier setzen Security-Automatisierungen an, die sich um die Verwaltung und Änderung von Sicherheitsrichtlinien kümmern und diese Anforderungen erfüllen können. Die neue Netzwerklandschaft hat außerdem den Effekt, dass die Anwendungseigentümer eine sehr genaue Vorstellung davon bekommen, wie hoch das Risiko ist, das von ihren Anwendungen für die Unternehmensumgebung ausgeht. Sie werden somit in die Lage versetzt, mehr Verantwortung für die geschäftlichen Auswirkungen der von ihnen gewünschten Änderungen zu übernehmen und diese genauer prüfen zu können. Das heißt nicht, dass die Anwendungseigentümer plötzlich für die Sicherheit ihrer Anwendungen zuständig sind – sondern sie bekommen ein besseres Gefühl dafür, wie sich eine bestimmte Anwendungen auf die Bedrohungslage des Unternehmen auswirkt.

Beschleunigung von Änderungen

Unsere Diskussion brachte uns auf das Thema ‚Zero-Touch Security Automation‘. Im Einklang mit einer Bereinigung der Sicherheitsregeln in einem typischen Netzwerk und dem Fokus auf kontinuierlicher Einhaltung der Compliance, ist die Zero-Touch-Sicherheit unerlässlich. Sie sorgt dafür, dass Unternehmen sicher und agil bleiben können, während ihre Netzwerke komplexer werden und sich schnell verändern.

All dies fällt zusammengefasst unter das seit langem bestehende Sicherheitsprinzip des geringsten privilegierten Zugriffs‘. Eigentlich ist die Idee nicht neu, denn sie besagt lediglich, dass nur Anwendungen, die wirklich miteinander reden müssen, über das Netzwerk verbunden werden sollten. Wenn Netzwerke jedoch wachsen und komplexer werden, und sich mit der Zeit organisch verändern, bleibt dieses Prinzip häufig auf der Strecke – und mit ihr die Kontrolle durch die IT-Abteilungen.

Um diese wiederzuerlangen, müssen Unternehmen in der Lage sein, sämtliche Verbindungen innerhalb ihrer IT-Umgebung zu kontrollieren. Dabei hilft eine Security-Automatisierung enorm, die den Mitarbeitern viele manuelle Prozesse, die nur umständlich zu bewältigen sind, abnimmt, damit jene sich auf die wirklich wichtigen Aufgaben der Absicherung des Unternehmens konzentrieren können.

Für weitere Informationen können Sie hier vorbei schauen.