Weniger Angriffsfläche dank Service-defined Firewall

Gepostet am 04/07/2019 by jschaub
HAFTUNGSAUSSCHLUSS: Dieser Artikel ist älter als ein Jahr und möglicherweise nicht mit den neuesten Ereignissen oder neu verfügbaren Informationen auf dem neuesten Stand.

Beitrag von Christoph Buschbeck, Solutions Engineer, Security, EMEA bei VMware

Dank präventiver Verfahren lassen sich Unternehmensnetze und Anwendungen nachhaltig schützen. Doch die Eindämmung der Risiken ist auch bitter nötig. Wie VMware mit AppDefense auf Basis einer automatisierten Whitelist Unternehmen sicherer macht und warum Sicherheit nicht nur ein Thema für die IT-Abteilung in Unternehmen ist.

In unserem letzten Beitrag zu modernen IT-Sicherheits-Strategien haben wir gesehen, wie man mit zeitgemäßen präventiven Verfahren von VMware die Risiken eines Angriffs auf IT-Systeme reduzieren kann. Doch was heißt das genau und wie sieht eigentlich die Machtverteilung zwischen einem Angreifer und dem Unternehmen aus, das seine IT-Infrastruktur verteidigt?

Zunächst einmal hat ein Angreifer einen Überraschungsvorteil – insbesondere wenn es sich um einen individuell zielgerichteten Angriff auf ein Unternehmen handelt, der nicht allgemein sämtliche Systeme eines bestimmten Typs betrifft und über die klassischen Antivirensignaturen abzufangen ist. Denn der Angreifer hat sich möglicherweise per Social Engineering oder über mobile Endgeräte oder IoT Devices einen Zugang zu einem System verschafft.

Least Privilege: Das Unternehmen bestimmt die Regeln

Auch wenn das Rennen zwischen Angreifern und Unternehmen, die ihr Rechenzentrum und ihre IT-Infrastruktur vor Angriffen schützen wollen, immer weiter voranschreitet, haben die Unternehmen stets einen entscheidenden Heimvorteil. Die IT Abteilung macht das Design der IT-Infrastruktur und legt fest, wie Applikationen kommunizieren und auf Daten zugreifen. Dies müssen Unternehmen nutzen,  indem sie selbst die Spielregeln für den Schutz der Compute-, Storage- und Network-Umgebungen, also für das eigene IT-Ökosystem, festlegen. Es kann sich auf die eigenen Applikationen fokussieren.

Hier kann ein sogenanntes Least Privilege Model zu einer hohen Eindämmung der Angriffsrisiken führen, einhergehend mit einer niedrigen Komplexität in den Sicherheits-Policies. Denn im Rahmen eines solchen Least Privilege Ansatzes wird nur das erlaubt, was das Unternehmen auch wirklich benötigt. Diese Sicherheit auf Applikationsebene wird stets mit Hilfe einer Whitelisting-Methode realisiert, wie wir bereits beschrieben haben.

Dass dieses selbstlernende Regelwerk, wie wir es in Form des VMware-Manifest unter VMware AppDefense erstellen, der richtige Ansatz ist, darüber sind sich die meisten großen Unternehmen heute einig. Doch die Grundvoraussetzung, um ein Maximum an Sicherheit zu gewährleisten, ist, an eine vollständige, fehlerfreie Whitelist zu kommen, die nicht unnötig Fehlalarme produziert – und die zweite Herausforderung ist, diese auch zu pflegen. All das hat in der Vergangenheit in vielen Unternehmen zu Frustration geführt, weil man eine solche umfassende Whitelist nicht umsetzen konnte. Und anders als viele andere Ansätze im Bereich der präventiven IT-Sicherheit, die eine Einigung und weitreichende Interaktion zwischen den Geschäftsbereichen und Abteilungen eines Unternehmens voraussetzen, ist der VMware-Ansatz eine eher im Unternehmen einfach zu implementierende Lösung.

Sicherheit: IT und Fachabteilungen müssen auf Augenhöhe diskutieren

Security ist ein Thema fürs ganze Unternehmen, nicht nur für die IT. Denn innerhalb der Unternehmen war es in der Vergangenheit oft so, dass es Anforderungen und Freigaben gab, die einzelne Abteilungen an die IT-Sicherheit gestellt haben, teilweise aber auch mangels Know-how gar nicht stellen konnten. Die Fachabteilung hat dadurch oftmals nicht auf Augenhöhe mit der IT-Abteilung kommunizieren können. Der neue, in unserem Fall automatisierte Ansatz hat auch zur Folge, dass die Abteilungen ihre Needs besser kommunizieren können, es im Umkehrschluss aber aufgrund der wachsenden Usability auch gar nicht mehr explizit müssen – und die IT erhält einen umfassenderen Einblick in die Funktionsweise der Unternehmensprozesse.

Übrigens merken auch wir als VMware selbst, wie man das komplexe Thema Sicherheit vereinfachen kann: Noch vor einigen Jahren hatten wir selbst 75 Sicherheitshersteller als Partner – inzwischen sind es noch 35 und wir planen, die Zahl in den nächsten zwei Jahren weiter auf dann noch 25 zu reduzieren. Diese Reduzierung geht mit einer Vereinfachung und einem Gewinn an Übersichtlichkeit einher. AppDefense stellt heute bereits entsprechende Funktionen zur Verfügung und arbeitet daran, die Reduzierung von Sicherheitsprodukten bei unseren Kunden voranzutreiben.

Unsere Erfahrungen zeigen uns, dass der Kunde mit einer Kombination aus VMware AppDefense und NSX gut zurecht kommen kann. Wir lernen, was die Applikation benötigt und schreiben Regeln in NSX auf Basis des gelernten Manifestes. Gerade bei modernen Applikationen, die sich häufig ändern können, ist diese Vorgehensweise extrem elegant. NSX ist für den Einsatz von AppDefense keine Voraussetzung, doch die Definition von Regeln in NSX bedeutet, dass ich entsprechende Verletzungen schon von Vorneherein gar nicht zulassen kann. Auf diese Weise wird der Zugriff bereits auf Netzwerkebene unterbunden, was echte Synergien bringen kann und die Sicherheit weiter erhöht.

Für VMware ist Sicherheit ein strategisches Thema

Unser Ansatz einer service-defined Firewall ist übrigens nur ein Beispiel für das Verständnis von VMware, dass Security ein strategisches Thema auf allen Ebenen des Unternehmens ist. In jedem unserer Produkte, egal ob vSphere, vCloud Suite oder Cloud Foundation, gibt es eine Platinum Edition, die höchste Edition, bei der Security-Elemente immer dabei sind. Der Kunde erhält also in jeder der Platinum Editionen eine Intrinsic-Security-Lösung. „Platinum everywhere“ ist dabei unser Credo, das wir in Zukunft verstärkt zeigen wollen. Und wir denken das noch weiter: Jedes Produkt bietet Schnittstellen z. B. zu vRealize Produkten sowie Third-Party-Herstellern, um möglichst automatisiert auf sicherheitsrelevante Vorfälle reagieren zu können.

Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf TwitterXING, LinkedIn & Youtube 


Kategorie: Neuigkeiten & Highlights

Schlagwörter: , , ,

Ähnliche Artikel

Gepostet am 19/11/2018 von jschaub

VMworld Europe 2018: Meine drei wichtigsten Erkenntnisse

Christian Gehring, Director Solution Architects  Germany bei VMware, fasst seine ganz persönlichen Eindrücke aus vier Tagen VMworld Europe 2018 in Barcelona zusammen. Vier Tage voller spannender Vorträge und Ankündigungen liegen hinter uns. Vor  allem bot die VMworld Europe, die vom 05. bis 09. November 2018 in Barcelona stattfand, aber ausführlich Gelegenheit, mit unseren Kunden und […]

Gepostet am 05/03/2020 von jschaub

Verwaltung auf dem Weg zu Cloudlösungen und Open Standards

Deutschlands kritische Infrastrukturen sind eine vorbildliche Vorlage für andere Staaten, wenn es um die digitale Souveränität des Staates geht. Doch in Zukunft wird es auch darauf ankommen, mit Hilfe von Cloud-Lösungen und Open Standards in der Verwaltung agile Strukturen zu schaffen.

Gepostet am 27/03/2019 von jschaub

Transformieren Sie Ihre Hardware durch Software

Durch die enge Zusammenarbeit mit unseren Kunden wissen wir bei VMware, dass viele von ihnen auch strategische Partner von Cisco sind. Seit Jahren hören wir, dass sie beide Technologien gerne kombiniert einsetzen würden. 

Es ist kein Geheimnis, dass Netzwerke am besten funktionieren, wenn Hardware und Software zusammenarbeiten. Es geht uns nicht darum, Sie zum Abschaffen von Hardware zu überreden. Physische Infrastruktur ist immer noch wichtig, kann alleine allerdings nicht den proaktiven Sicherheitsansatz für Ihre Daten bieten, den Sie für Operational Excellence brauchen. Tatsächlich zahlen sich Ihre bestehenden Hardware-Investitionen besser aus, wenn Sie Ihr Netzwerk softwarezentriert konzipieren und so das Beste beider Welten genießen. 

Kommentare

Keine Kommentare bisher

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy