adam121 - Fotolia

Security-Tools für die Netzwerksicherheit richtig auswählen

Wir stellen die wichtigsten Anbieter für Netzwerksicherheit vor und untersuchen deren Security-Produkte. So fällt Ihnen die Kaufentscheidung leichter.

Dieser Artikel behandelt

Netzwerk-Sicherheits-Tools

Anmerkung der Redaktion: Im letzten Teil der vierteiligen Reihe zum Thema Netzwerk-Security vergleichen wir die führenden Anbieter auf dem Markt. Im ersten Artikel haben wir die Entwicklung der Netzwerksicherheit im Unternehmen unter die Lupe genommen. Teil Zwei kümmerte sich um die wichtigsten Anwendungsfälle. Der dritte Beitrag behandelte Kaufkriterien für die optimalen Sicherheitsmaßnahmen.

Wenn Sie das richtige Security-Produkt für Ihr Netzwerk suchen, dann steht Ihnen eine riesige Auswahl zur Verfügung. Allerdings ist das auch ein Fluch, denn Sie haben im wahrsten Sinne des Wortes die Qual der Wahl. Aus diesem Grund empfehlen wir, dass Sie sich die Security-Tools aus der Perspektive des gesamten Netzwerks ansehen. Setzen Sie nicht auf verschiedene Einzel-Tools, die sich aus Sicht des Marketings gut anhören oder die gute, allgemeine Bewertungen bekommen haben. Werfen Sie stattdessen einen Blick auf das gesamte Netzwerk. Auf diese Weise finden Sie heraus, welche Daten sich darin befinden und wie Anwender auf sie zugreifen. Diese Informationen sind nützlich, um herauszufinden, was die beste Gesamtlösung für Ihre spezifische Umgebung ist.

Berücksichtigen Sie außerdem, inwiefern das Security-Produkt für das Netzwerk mit existierenden oder künftig geplanten Security-Tools zusammenarbeitet. Wir haben bereits in früheren Artikeln dieser Serie angesprochen, dass eine sogenannte Defense-in-Depth-Strategie für den Erfolg einer erfolgreichen Security-Architektur essenziell ist. Wenn Sie Sicherheits-Tools wählen, die die Vorteile und Leistungsmerkmale anderer Security-Werkzeuge zur Geltung bringen, dann ist das ein guter Plan für eine umfassende Security-Architektur.

In diesem Artikel stellen wir zwei verschiedene Szenarien für Unternehmen vor, die sich mit realen Kriterien in komplett unterschiedlichen Netzwerkumgebungen abspielen. Wir werden jedes Szenario verwenden, um die Anforderungen an die IT-Sicherheit in Bezug zu den jeweiligen Security-Produkten zu stellen. Im Endeffekt wollen wir dadurch herausfinden, welches Security-Produkt für das Netzwerk die beste Wahl ist. Hier kommt es darauf an, wo sich die Daten des Unternehmens befinden, wie Anwender und Geräte auf die Daten der Firma zugreifen und an welcher Stelle die Security-Lösung eingesetzt werden. Auch die Notwendigkeit für eine Defense-in-Depth-Architektur spielt eine Rolle. Folgend finden Sie die Security-Produkte und die Anbieter, die wir evaluieren werden:

Next-Generation Firewalls (NGFW)

  • Check Point Software Technologies Inc.
  • Cisco
  • Palo Alto Networks

Secure Web Gateways (SWG)

  • Blue Coat Systems Inc.
  • Websense
  • Zscaler Inc.

Network Access Control (NAC)

  • Bradford Networks
  • Cisco
  • ForeScout Technologies Inc.

Malware Sandboxing

  • FireEye Inc.
  • Palo Alto Networks
  • Websense

Kontrolle: Cloud gegen den eigenen Standort

Nehmen wir an, dass es sich um zwei verschiedene Unternehmen handelt: Firma X und Firma Y. Firma X hat Cloud Computing noch nicht implementiert. Firma Y setzt hingegen voll auf die Cloud und verwendet diverse as-a-Service-Angebote. Beim Unternehmen X befinden sich alle wichtigen Anwendungen und Daten innerhalb privater Data Center. Unternehmen Y hat auf der anderen Seite beschlossen, alle Daten in der Cloud zu speichern. Beide Firmen haben es mit sehr sensiblen Daten zu tun. Aus diesem Grund gelten sowohl für Anwender als auch Geräte strenge Richtlinien bei den Zugriffskontrollen.

Angenommen das herkömmliche Szenario mit Hardware Appliances eignet sich für Firma X ideal. Diese laufen am eigenen Standort in einem privaten Data Center und werden dort administriert und gepflegt. Dann würde ein Cloud-basiertes Security-Produkt keinen Sinn ergeben. Das Unternehmen hat sich schließlich entschieden, alle wichtigen Daten und Netzwerkkomponenten in den eigenen vier Wänden zu halten. Firma Y hingegen wird Cloud-basierte und gemanagte Tools bevorzugen, weil sie die erhöhte Flexibilität beim Platzieren der Tools und bei der Administration ausnutzen will.

Bei Firma X wird jede der oben genannten Next-Generation Firewalls ausgezeichnet funktionieren. Jeder der drei Anbieter hat hervorragende Layer-7-Firewalls im Portfolio, inklusive fortschrittlichem Schutz vor Bedrohungen (Advanced Threat Protection). Für welche Firewall Sie sich auch entscheiden, die Firewall Appliance oder virtuelle Maschine lässt sich einfach zwischen dem internen Netzwerk und dem Internet oder WAN platzieren.

Sieht man sich die Cloud-basierte Architektur des Unternehmens Y an, haben Check Point und Palo Alto gegenüber Cisco einen Vorteil, weil sie virtualisierte NGFWs im Angebot haben, die sich genau wie die entsprechenden Hardware-Appliances verhalten. Zusätzlich bieten beide Anbieter NGFW auch as a Service bei größeren Cloud-Providern an. Dazu gehört auch Amazon Web Services (AWS).

Sprechen wir über das ideale Secure Web Gateway, dann gilt es einige Punkte zu beachten. Sowohl Blue Coat als auch Websense bieten ihre SWGs als Appliances und als Cloud-Services an. Bei Zscaler gibt es das SWG nur als Cloud-Service. In diesem Fall ist Zscaler ideal für Firma Y. Für Firma X ist die Komponente nicht geeignet. Blue Coat und Websense sind die besseren Optionen für Unternehmen X, weil sie auch Appliance-basierte SWG-Plattformen im Angebot haben. Diese lassen sich sehr einfach in privaten Rechenzentren installieren.

Als nächstes müssen Sie den besten NAC-Anbieter für das jeweilige Netzwerk finden. Die notwendigen NAC-Funktionen hängen stark davon ab, wie wichtig die zu schützenden Unternehmensdaten sind und auf welche Weise die Firma an die Themen Bring Your Own Device (BYOD) und Internet of Things (IoT) herangeht. Aus diesem Grund sind nicht nur die Optionen für den Einsatz wichtig, sondern auch welchen Funktionsumfang jedes der NAC-Produkte zur Verfügung stellt. Unternehmen X könnte zum Beispiel strenge BYOD-Richtlinien haben. Somit liegt der primäre Fokus auf Data Loss Prevention (DLP). Sehr wahrscheinlich ist die Firma auch im Bereich IoT sehr vorsichtig. Aus den eben genannten Gründen ist das Unternehmen an Anwender- und Geräte-Identifizierung, sowie an Zugriffen auf die Ressourcen interessiert. Für einen Einsatz am eigenen Standort bieten Cisco und ForeScout robuste Systeme an, die sich perfekt für ein privates Data Center eignen. Sowohl Cisco als auch ForeScout gelten derzeit mitunter als die besten Produkte in dieser Branche. Sie eignen sich auch sehr gut für unternehmensweite Authentifizierung, Autorisierung und Umsetzung von Richtlinien.

Für Firma Y ist Bradfords NAC besser geeignet. Bradford bietet auch flexible und robuste Hardware-Appliances an, die sich in privaten Data Centern installieren lassen. Der Anbieter hat sein NAC aber zusätzliche als virtuelle Appliance im Angebot, die sich in der Cloud einsetzen lässt. Jedes Produkt bringt einfach zu administrierende BYOD-Funktionen mit, die in BYOD-freundlichen Umgebungen gut funktionieren. Das Ziel von Unternehmen Y ist es, die Security-Tools in der Cloud zu verwalten. Berücksichtigt man dann noch Security für BYOD, dann ist Bradford die richtige Entscheidung.

Werfen wir zum Schluss einen Blick auf die Malware Sandbox. FireEye als Security-Produkt für das Netzwerk in einer herkömmlichen On-Premises-Situation ist die logische Entscheidung. Das wäre also etwas für Firma X. FireEyes Plattform AX ist ein alleinstehendes System, das sich einfach in einem privaten Data Center installieren lässt. Dort kann es in Reihe geschaltet den Traffic analysieren. Produkte von Palo Alto und Websense eignen sich besser für Cloud-Infrastrukturen, wie das bei Firma Y der Fall ist. Beide Anbieter haben Sandboxing als einen Cloud Service im Angebot.

Weitere Überlegungen bei Defense-in-Depth

Treffen Sie Ihre Entscheidungen für ein Security-Tools basierend auf der Datenarchitektur und den Datenflüssen, ist das ein guter Anfang. Allerdings ist das nur ein Teil des Puzzles. Wie wir in früheren Artikeln dieser Reihe schon angemerkt haben, können moderne Sicherheitslösungen nicht mehr länger als unabhängige Systeme operieren. Sie müssen mit anderen zusammenarbeiten, um eine optimale IT-Sicherheit sicherzustellen. Auch die Effizienz wird dadurch besser und die Administration einfacher.

In vielen Situationen werden Sie den Entschluss fassen, Security-Produkte von einem einzigen Anbieter einzusetzen und sich nicht für den besten Anbieter im jeweiligen Bereich entscheiden (Best of Breed). Setzen Sie nur auf einen Anbieter, lassen sich die Tools oftmals einfacher integrieren und arbeiten besser zusammen. Das gilt auch für die Problemsuche und den Support. Möglicherweise haben Sie so nicht das allerbeste Tool für die jeweilige Kategorie in Betrieb. Allerdings ist es wahrscheinlicher, dass die Abdeckung der IT-Sicherheit reibungsloser vonstattengeht. Die meisten großen Netzwerkanbieter wie Check Point, Cisco, Palo Alto und Websense haben solide Sicherheitslösungen im Portfolio, die die meisten hier genannten Kategorien abdecken.

Wenn Sie sich für individuelle Sicherheitslösungen entscheiden und an dieser Stelle immer das beste Produkt wählen, dann stellen Sie auf jeden Fall sicher, dass diese in einer gemeinsam genutzten Umgebung ausgezeichnet miteinander funktionieren. Wir empfehlen, die Priorität jedes Security-Produkts in Ihrer Defense-in-Depth-Strategie zu kategorisieren. Wählen Sie im Anschluss anhand der Wichtigkeit und versichern sich, dass jedes Tool mit dem zuvor gewählten zusammenarbeiten kann. Die Priorisierung der Security-Produkte unterscheidet sich mit Sicherheit von Firma zu Firma. Es kommt eben immer auf die speziellen Anforderungen an die IT-Sicherheit an. In den meisten Fällen wird das wichtigste Security-Tool sehr wahrscheinlich eine NGFW sein. Die Firewall war und ist immer noch die Stütze der meisten Defense-in-Depth-Strategien. Aus diesem Grund sollten Sie die NGFW als erstes auswählen.

Nehmen wir an, dass im Fall Ihrer Firma das zweitwichtigste Security-Tool für das Netzwerk die Malware Sandbox ist. Sie sollten natürlich die Komponente aussuchen, die Sie für am besten halten. Das gilt aber nur dann, wenn Sie mit der NGFW Ihrer Wahl auch interagieren kann. Dieser Umstand ist sehr wichtig, da NGFWs oftmals mit einem Malware Gateway kooperieren und verdächtige Daten als solche markieren, wenn sie die Firewall passieren. Diese Daten werden an die Malware Sandbox für die weitere Analyse geleitet. Arbeiten die beiden Technologien nicht gut zusammen, dann sollten Sie sich für die Malware Sandbox entscheiden, die auf Ihrer Liste nur die Nummer Zwei oder Drei ist. Es kommt in diesem Fall darauf an, welche am besten mit der Firewall kommuniziert, um den umfassenden Security-Ansatz umsetzen zu können.

Fazit

Jede der in diesem Artikel angesprochenen Sicherheitslösungen hilft Ihnen bei einer umfassenden Defense-in-Depth-Strategie für das Unternehmensnetzwerk. Behalten Sie im Hinterkopf, dass es noch viele weitere Security-Tools gibt, die in dieser Artikelreihe nicht erwähnt wurden. Aber auch diese sollten Sie für Ihre Security-Architektur berücksichtigen. Wir haben hier lediglich vier Lösungen vorgestellt, die im Moment die größten Auswirkungen auf moderne Security-Architekturen haben.

Wie Sie sehen, hängt die Wahl der richtigen Sicherheitsprodukte für das Netzwerk sehr mit dem Datenfluss und der entsprechenden Architektur zusammen. Natürlich kommt es auch darauf an, wie die Lösungen als eine gemeinsame Security-Strategie funktionieren. Die Mehrheit der Sicherheitsprodukte der Enterprise-Klasse funktioniert in den meisten Umgebungen. Wir haben verschiedene Szenarien vorgestellt, die unterschiedliche Einsatzmethoden und Kompatibilitäten aufzeigen. So kristallisieren sich jeweils eine oder zwei Komponenten für entsprechende Netzwerkarchitekturen heraus.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close