Sicherheit

Weniger Angriffsfläche dank Service-defined Firewall

Beitrag von Christoph Buschbeck, Solutions Engineer, Security, EMEA bei VMware

Dank präventiver Verfahren lassen sich Unternehmensnetze und Anwendungen nachhaltig schützen. Doch die Eindämmung der Risiken ist auch bitter nötig. Wie VMware mit AppDefense auf Basis einer automatisierten Safelist Unternehmen sicherer macht und warum Sicherheit nicht nur ein Thema für die IT-Abteilung in Unternehmen ist.

In unserem letzten Beitrag zu modernen IT-Sicherheits-Strategien haben wir gesehen, wie man mit zeitgemäßen präventiven Verfahren von VMware die Risiken eines Angriffs auf IT-Systeme reduzieren kann. Doch was heißt das genau und wie sieht eigentlich die Machtverteilung zwischen einem Angreifer und dem Unternehmen aus, das seine IT-Infrastruktur verteidigt?

Zunächst einmal hat ein Angreifer einen Überraschungsvorteil – insbesondere wenn es sich um einen individuell zielgerichteten Angriff auf ein Unternehmen handelt, der nicht allgemein sämtliche Systeme eines bestimmten Typs betrifft und über die klassischen Antivirensignaturen abzufangen ist. Denn der Angreifer hat sich möglicherweise per Social Engineering oder über mobile Endgeräte oder IoT Devices einen Zugang zu einem System verschafft.

Least Privilege: Das Unternehmen bestimmt die Regeln

Auch wenn das Rennen zwischen Angreifern und Unternehmen, die ihr Rechenzentrum und ihre IT-Infrastruktur vor Angriffen schützen wollen, immer weiter voranschreitet, haben die Unternehmen stets einen entscheidenden Heimvorteil. Die IT Abteilung macht das Design der IT-Infrastruktur und legt fest, wie Applikationen kommunizieren und auf Daten zugreifen. Dies müssen Unternehmen nutzen,  indem sie selbst die Spielregeln für den Schutz der Compute-, Storage- und Network-Umgebungen, also für das eigene IT-Ökosystem, festlegen. Es kann sich auf die eigenen Applikationen fokussieren.

Hier kann ein sogenanntes Least Privilege Model zu einer hohen Eindämmung der Angriffsrisiken führen, einhergehend mit einer niedrigen Komplexität in den Sicherheits-Policies. Denn im Rahmen eines solchen Least Privilege Ansatzes wird nur das erlaubt, was das Unternehmen auch wirklich benötigt. Diese Sicherheit auf Applikationsebene wird stets mit Hilfe einer Safelisting-Methode realisiert, wie wir bereits beschrieben haben.

Dass dieses selbstlernende Regelwerk, wie wir es in Form des VMware-Manifest unter VMware AppDefense erstellen, der richtige Ansatz ist, darüber sind sich die meisten großen Unternehmen heute einig. Doch die Grundvoraussetzung, um ein Maximum an Sicherheit zu gewährleisten, ist, an eine vollständige, fehlerfreie Safelist zu kommen, die nicht unnötig Fehlalarme produziert – und die zweite Herausforderung ist, diese auch zu pflegen. All das hat in der Vergangenheit in vielen Unternehmen zu Frustration geführt, weil man eine solche umfassende Safelist nicht umsetzen konnte. Und anders als viele andere Ansätze im Bereich der präventiven IT-Sicherheit, die eine Einigung und weitreichende Interaktion zwischen den Geschäftsbereichen und Abteilungen eines Unternehmens voraussetzen, ist der VMware-Ansatz eine eher im Unternehmen einfach zu implementierende Lösung.

Sicherheit: IT und Fachabteilungen müssen auf Augenhöhe diskutieren

Security ist ein Thema fürs ganze Unternehmen, nicht nur für die IT. Denn innerhalb der Unternehmen war es in der Vergangenheit oft so, dass es Anforderungen und Freigaben gab, die einzelne Abteilungen an die IT-Sicherheit gestellt haben, teilweise aber auch mangels Know-how gar nicht stellen konnten. Die Fachabteilung hat dadurch oftmals nicht auf Augenhöhe mit der IT-Abteilung kommunizieren können. Der neue, in unserem Fall automatisierte Ansatz hat auch zur Folge, dass die Abteilungen ihre Needs besser kommunizieren können, es im Umkehrschluss aber aufgrund der wachsenden Usability auch gar nicht mehr explizit müssen – und die IT erhält einen umfassenderen Einblick in die Funktionsweise der Unternehmensprozesse.

Übrigens merken auch wir als VMware selbst, wie man das komplexe Thema Sicherheit vereinfachen kann: Noch vor einigen Jahren hatten wir selbst 75 Sicherheitshersteller als Partner – inzwischen sind es noch 35 und wir planen, die Zahl in den nächsten zwei Jahren weiter auf dann noch 25 zu reduzieren. Diese Reduzierung geht mit einer Vereinfachung und einem Gewinn an Übersichtlichkeit einher. AppDefense stellt heute bereits entsprechende Funktionen zur Verfügung und arbeitet daran, die Reduzierung von Sicherheitsprodukten bei unseren Kunden voranzutreiben.

Unsere Erfahrungen zeigen uns, dass der Kunde mit einer Kombination aus VMware AppDefense und NSX gut zurecht kommen kann. Wir lernen, was die Applikation benötigt und schreiben Regeln in NSX auf Basis des gelernten Manifestes. Gerade bei modernen Applikationen, die sich häufig ändern können, ist diese Vorgehensweise extrem elegant. NSX ist für den Einsatz von AppDefense keine Voraussetzung, doch die Definition von Regeln in NSX bedeutet, dass ich entsprechende Verletzungen schon von Vorneherein gar nicht zulassen kann. Auf diese Weise wird der Zugriff bereits auf Netzwerkebene unterbunden, was echte Synergien bringen kann und die Sicherheit weiter erhöht.

Für VMware ist Sicherheit ein strategisches Thema

Unser Ansatz einer service-defined Firewall ist übrigens nur ein Beispiel für das Verständnis von VMware, dass Security ein strategisches Thema auf allen Ebenen des Unternehmens ist. In jedem unserer Produkte, egal ob vSphere, vCloud Suite oder Cloud Foundation, gibt es eine Platinum Edition, die höchste Edition, bei der Security-Elemente immer dabei sind. Der Kunde erhält also in jeder der Platinum Editionen eine Intrinsic-Security-Lösung. „Platinum everywhere“ ist dabei unser Credo, das wir in Zukunft verstärkt zeigen wollen. Und wir denken das noch weiter: Jedes Produkt bietet Schnittstellen z. B. zu vRealize Produkten sowie Third-Party-Herstellern, um möglichst automatisiert auf sicherheitsrelevante Vorfälle reagieren zu können.

Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf TwitterXING, LinkedIn & Youtube