Arsgera - Fotolia

Kriterien zum Kauf von Netzwerk-Sicherheitslösungen

Vor dem Kauf einer Netzwerk-Sicherheitslösung sollten Firmen prüfen, wer wie auf ihre Daten zugreift und ob ihre Sicherheits-Tools eine einheitliche Strategie unterstützen.

Die richtigen Maßnahmen für die Sicherheit des Netzwerks sind für die IT-Infrastruktur von Unternehmen unabdingbar. Der Schutz sensibler Daten und die Beseitigung von Sicherheitsbedrohungen sollten höchste Priorität genießen. Mittlerweile können Firmen unter einer großen Zahl von Anbietern für Netzwerksicherheits-Tools wählen – und jeder dieser Hersteller wird den IT-Verantwortlichen sagen, dass sein Produkt das Beste ist. In der Realität gibt es jedoch Unterschiede; manche Sicherheitsmaßnahmen erfüllen die individuellen Anforderungen der jeweiligen Netzwerkarchitektur und die spezifischen Anforderungen an die Datensicherheit besser als andere.

Vor der Entscheidung für die Sicherheitslösung eines bestimmten Anbieters sollten Firmen eine Reihe von Fragen beantworten und bestimmte Kriterien festlegen.

Wo speichern Sie ihre unternehmenskritischen Daten?

Der heutige und zukünftige Speicherort der Unternehmensdaten ist ein wichtiger Indikator für die Art der benötigten Sicherheitssysteme für das Netzwerk und ihre Bedeutung für die allgemeine Sicherheitsarchitektur von Firmen. Ob die Daten im eigenen Rechenzentrum, in der Cloud oder in einer hybriden Umgebung liegen, beeinflusst die Effektivität und die das kritische Verhalten der Lösung für Netzwerksicherheit.

Wenn der Großteil der Daten in den eigenen Rechenzentren gespeichert wird, ist die Sicherheit am Perimeter durch Firewalls der nächsten Generation (Next-Generation Firewalls, NGFW) und Network Access Control (NAC) von entscheidender Bedeutung, um den Schutz der Daten zu gewährleisten. Die Firewalls schützen die Daten vor Benutzern, die von außerhalb auf das Unternehmensnetzwerk zugreifen, während NAC sicherstellt, dass Benutzer und Geräte über die richtigen Berechtigungen für den Zugriff auf die Daten verfügen.

Liegen die Daten aber bereits in der Cloud oder sollen künftig dort gespeichert werden, sollten Firmen im Rahmen ihrer Sicherheitsstrategie Lösungen für die Sicherheit ihres Netzwerks wählen, die mit der Cloud kompatibel sind. Viele Firewalls der nächsten Generation bieten etwa durch virtualisierte Firewalls Kompatibilität mit der Cloud. Die Sicherheitsmaßnahmen für das Netzwerk sollten den Schwerpunkt auf Secure Web Gateways (SWG) und Malware-Sandboxes legen, um Datenverluste zwischen Netzwerken zu verhindern. Diese Tools schränken auch potenziell den Wechsel von durch Malware infizierte Daten zwischen dem Unternehmensnetzwerk, verschiedenen Cloud-Service-Providern und dem Internet ein.

Viele SWGs und Malware-Sandboxes bieten Cloud-Services an und eignen sich daher besser für Unternehmen, deren Daten in der Cloud gespeichert sind. Unternehmen, die ihre Daten in mehreren Private und Public Clouds ablegen, sollten sich für eine Plattform wie Cloud Access Security Broker (CASB) entscheiden. Die CASB-Technologie verbessert die Verwaltung von Authentifizierungs-, Zugangskontroll- und Verschlüsselungsrichtlinien über unterschiedliche Infrastrukturen und Architekturen hinweg.

Welche internen Benutzer und Geräte greifen auf die Daten zu?

Der Schutz eines Unternehmens vor nicht vertrauenswürdigen externen Verbindungen wie Internet- und WAN-Zugriffen ist ein Kinderspiel. Schwieriger wird es, wenn der Zugriff auf bestimmte Daten nur bestimmten Benutzern erlaubt werden soll. Und was ist mit externen Beratern, Gästen und anderen Nutzern, die auf das interne Netzwerk zugreifen dürfen, aber nicht als vertrauenswürdig gelten sollen? Hier kommen NAC, CASB und eventuell NGFWs ins Spiel.

Mit einer NAC- oder CASB-Plattform können Firmen die Identität jedes Benutzers überprüfen, der versucht, auf Netzwerkressourcen zuzugreifen. Benutzer, die im Netzwerk nicht zugelassen sind, werden vollständig blockiert. Andere Mitarbeiter mit eingeschränkten Zugriffsrechten dürfen zwar auf das Netzwerk zugreifen, können aber nur die Anwendungen, Netzwerke und Daten nutzen, die der Sicherheits-Administrator zulässt. NAC-Regeln lassen sich entweder in Netzwerk-Switches und -Router integrieren oder durch den Einsatz interner Next-Generation Firewalls, die verschiedene interne Netzwerke segmentieren. Eine CASB-Plattform kann als Proxy, durch direkte Applikationsintegration über Software-APIs oder als eine Kombination aus beiden eingesetzt werden.

Während viele Sicherheitslösungen für Netzwerke früher als einzelne Komponenten eingesetzt wurden, integrieren sie mittlerweile viele Hersteller zu einem einheitlichen System.

Vertrauenswürdige Endgeräte werden immer mehr zu einem kritischen Element der Sicherheitsmaßnahmen für Netzwerke, insbesondere wenn das Unternehmen privaten Geräten von Mitarbeitern erlaubt (BYOD, Bring Your Own Device), sich mit dem internen Netzwerk zu verbinden. Die BYOD-Bewegung erhöht das Risiko für ein Netzwerk erheblich, da die eingesetzten Geräte möglicherweise nicht sicher genug für das Betriebssystem, Anwendungen und Antiviren-Software sind. Im schlimmsten Fall könnte ein Benutzer ein Malware-infiziertes Gerät anschließen, das dann alle Geräte und Server infiziert, auf die es zugreift.

Um dies zu verhindern, können NAC, CASB oder eine Kombination von beiden eingerichtet werden, um die Hardware, das Betriebssystem und die auf dem Gerät installierte Antiviren-Software zu identifizieren und festzustellen, ob das Gerät den vordefinierten Standards entspricht. Ist dies nicht der Fall, wird dem Benutzer entweder der Zugriff verweigert oder das Gerät wird in einem isolierten Netzwerksegment unter Quarantäne gestellt, bis die Probleme behoben sind.

Wo werden die Sicherheitslösungen für Netzwerke eingesetzt?

Viele Sicherheits-Tools können entweder intern oder als Cloud-Service bereitgestellt werden. Aus zwei Gründen werden Sicherheits-Tools, die in der Cloud eingesetzt werden, immer beliebter. Erstens: Cloud-basierte Sicherheit macht interne Sicherheits-Administratoren überflüssig, die das Tool auf einer einfachen Ebene verwalten. Der Service-Provider übernimmt die Verantwortung für den Betrieb der Netzwerkverbindung, Patches, Updates und alle anderen einfacheren Infrastrukturaufgaben. Daher können sich die Sicherheits-Administratoren auf die Konfiguration und Verwaltung des Sicherheits-Tools selbst konzentrieren.

Zweitens: Die Sicherheitsmaßnahmen lassen sich über die Cloud effizienter einsetzen, wenn das Netzwerk stark verteilt ist. Beispielsweise war es früher üblich, dass der gesamte Webverkehr von einem entfernten Standort zurück zum Hauptsitz der Firma geleitet wurde, um ihn dort über ein Secure Web Gateway (SWG) zu filtern. Der Datentransfer zurück zur Zentrale war die günstigste Lösung, da die Kosten für die die Bereitstellung eines SWGs an jedem Standort oft zu hoch waren.

Leider führte dieses Design oft zu Single Points of Failure, sprich der Ausfall einer Komponente führt zum Ausfall des Gesamtsystems, und erhöhter Netzwerklatenz, wenn die entfernte Seite keine redundanten WAN-Verbindungen hatte und sich weit von der Firmenzentrale entfernt befand. Durch die Verlagerung von SWGs in die Cloud lassen sich einzelne Fehlerquellen ausschalten und die Latenzzeiten deutlich reduzieren. Cloud-Anbieter sind oft geografisch verstreut, und Ihre SWGs können praktisch rund um den Globus eingesetzt werden. Dadurch lassen sich die SWGs näher an den entfernten Standorten platzieren und die Latenzprobleme bei älteren Designs deutlich reduzieren, die den gesamten Internetverkehr an einem einzigen Standort bündeln.

Sind die Sicherheitslösungen für das Netzwerk Teil einer umfassenden Sicherheitsstrategie?

Firmen müssen ihre Sicherheitsarchitektur unbedingt als eine einheitliche, tiefgreifende Verteidigungsstrategie betrachten. Daher müssen sie diverse Maßnahmen für die Sicherheit der Netzwerke koordinieren und miteinander verknüpfen, um die Leistung zu optimieren und die Effektivität zu steigern. Wenn Unternehmen Sicherheits-Tools von verschiedenen Anbietern prüfen, müssen sie vorher wissen, welche Wechselwirkungen und Abhängigkeiten möglicherweise zwischen dieser Anwendung und anderen Sicherheitslösungen bestehen. Damit stellen Firmen sicher, dass sie das richtige Sicherheits-Tool für diese spezielle Aufgabe sowie andere Komponenten einsetzen, die mit dieser Lösung integriert werden.

Ein Beispiel: Einige Malware-Sandboxes arbeiten völlig unabhängig voneinander. Grundsätzlich fließen alle Daten durch diese Sandbox. Sie filtert den legitimen Datenverkehr heraus und kennzeichnet Daten, die verdächtig aussehen – und benötigt dafür zusätzliche Tests. Andere Malware-Sandboxes setzen jedoch auf NGFWs und SWGs, um Daten als verdächtig zu kennzeichnen. Aus diesem Grund müssen Unternehmen sicherstellen, dass ihre NGFWs und SWGs die Funktionen ausführen können, die die Malware-Sandbox erfordert.

Zusätzlich müssen alle Sicherheitsmaßnahmen für das Netzwerk mit der SIEM-Plattform (Security Information and Event Management) harmonieren. Eine SIEM-Lösung führt Ereignis- und Protokolldaten aus den verschiedenen Sicherheitssystemen in einem einzigen Repository zusammen. Die Daten werden dann analysiert, um potenziell bösartige Sicherheitstrends und Compliance-Probleme aufzuspüren. Firmen müssen aber darauf achten, dass die Sicherheits-Tools der Anbieter mit ihrer SIEM-Lösung kompatibel sind.

Während viele Sicherheitslösungen für Netzwerke früher als einzelne Komponenten eingesetzt wurden, integrieren sie mittlerweile viele Hersteller zu einem einheitlichen System. Ein gutes Beispiel dafür ist die Verschmelzung von Firewalls und Intrusion-Prevention-Systemen. CASB-Plattformen kombinieren auch viele Funktionen, die häufig in NACs, Malware-Sandboxes, Verschlüsselungs- und SIEM-Tools vorkommen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Welche Funktionen eine Next-Generation Firewall besitzen muss

Kostenloses E-Handbook Netzwerksicherheit: Grundlagen und Praxis

Gratis-eBook: SIEM richtig auswählen

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close