Ist Software-defined Security die Zukunft der Netzwerksicherheit?

Software-defined Security (SDS) entwickelt sich zu einem neuen Buzzword. Kann es die Versprechen einhalten? Unser Autor diskutiert Vor- und Nachteile.

Falls Sie es noch nicht wissen: der neueste Trend im Bereich Netzwerksicherheit ist Software-defined Security.

Es handelt sich dabei um eine verwandte Technologie von Software-defined Networking (SDN). Software-defined Security (SDS) erlaubt es Unternehmen, Netzwerk-Segmentierung, Intrusion Detection und andere Netzwerksicherheitskontrollen zu automatisieren. 

Dafür wird Software statt spezifischer Netzwerkhardware und Kontrollelemente eingesetzt. SDS verwendet virtualisierte Ressourcen, die von der Hardwareschicht abstrahiert sind. Das ermöglicht es, über die bisher bekannten Grenzen, wie zum Beispiel Netzwerkbereiche und Business-Funktionen, hinauszugehen. Man verschiebt die Security-Kontrolle auf eine höhere Schicht.

Oberflächlich betrachtet ist SDS nichts anderes als bereits bekanntes Security-Management. Das Management findet lediglich auf der Softwareschicht statt und wird mit Policies und Objekten realisiert, die für das jeweilige Unternehmen definiert und angepasst werden müssen. 

Dabei unterscheidet es sich kaum vom Management bestimmter Storage-Systeme, Firewall-Richtlinien und Objekte innerhalb eines Verzeichnisdienstes. SDS baut auf diesem Konzept auf, arbeitet aber auf einer höheren Abstraktionsschicht. Es ist logisch und nicht physisch.

Software-defined Security bietet diverse spezifische Vorteile, mit der sich die Unternehmens-Security effizienter kontrollieren lässt. SDS hat zum Beispiel folgende Vorteile:

  • Firmen können spezielle Security-Gruppen organisieren, die über physische und logische Grenzen hinausgehen. Dazu gehören zum Beispiel Policies für Hosts, Applikationen und ähnliche Netzwerk-Instanzen. Bisher war es ein Problem, diese effizient zu managen.
  • SDS fördert dynamische Security-Domänen für Mobile, Cloud und herkömmliche Unternehmensnetzwerke. Somit können Firmen Systeme beliebig starten und herunterfahren. Gleichzeitig kann man Security-Richtlinien konsistent und übergreifend durchsetzen, unabhängig vom Standort der Systeme.
  • Die Integration anderer Software-defined Technologien ist einfacher, wenn diese bereits im Einsatz sind (etwa SDN). Damit ist eine ganzheitlichere Automatisierung von Security-Technologien, wie zum Beispiel Intrusion Prevention, Identity- und Access-Management (IAM), Data Loss Prevention (DLP) und Geolokation, möglich.
  • Software-defined Security konzentriert die Informationen auf eine höherer Ebene, also auf die Software- und nicht Hardwareschicht. Somit können sich Enterprise-Architekten und Security-Manager auf die Richtlinien konzentrieren und müssen sich nicht darum kümmern, dass Systeme auf einer niedrigeren Ebene laufen.

Wie bei allen Innovationen, hat SDS aber auch Nachteile:

  • Am Anfang gibt es eine Lernkurve, um System- und Plattform-übergreifende Bereitstellung sowie den Einsatz und die Durchsetzung der Security-Richtlinien kennenzulernen. Möglicherweise wird SDS nicht überall unterstützt.
  • Eine zusätzliche Komplexität wird eingeführt. Das beinhaltet Erstellung und Management von Security-Richtlinien. Alle Parameter der Policies müssen im Vorfeld definiert sein. Erst dann sollten Sie sich an solches Projekt wagen.
  • Sie brauchen immer noch spezielle Server-Hardware, um SDS betreiben zu können. Die Server können sich im Unternehmen oder in der Cloud befinden.
  • Der Preis ist eventuell ein Problem. Die Hardware ist möglicherweise relativ günstig. Die meisten SDS-Produkte sind allerdings teuer und haben höhere Margen.
  • Vereinzelte Security-Kontrollen für Technologien, wie zum Beispiel Malware-Schutz und Content-Filtering, skalieren auf der Softwareschicht eventuell nicht ausreichend.

Ihr Unternehmen muss sich überlegen, was es für Security-Kontrollen einsetzt, wenn es SDS einführen möchte. Einige Firmen profitieren von SDS mehr als andere. Dazu gehören hochgradig regulierte Branchen wie der Finanzsektor oder große Unternehmen, die eine nationale oder globale Präsenz haben.

SDS ist keine Universal-Technologie und die Anwendungsfälle unterscheiden sich von Firma zu Firma. Im Endeffekt sollte es keine Rolle spielen, ob Ihre Security-Kontrollen Hardware- oder Software-basiert sind. Sie sollten das verwenden, was Sie tatsächlich benötigen, um die Risiken zu minimieren.

Ich würde bei SDS empfehlen, dass sich Ihr Unternehmen darauf konzentriert, wo die größten Probleme liegen. Wahrscheinlich sind das die Bereiche IPS, Zugriffskontrolle sowie Event-Logging und -Monitoring. Der Einsatz ist darauf beschränkt, was der jeweilige Anbieter unterstützt. Setzt Ihre IT-Abteilung zum Beispiel Intel oder Symantec ein, ist die Einführung relativ unkompliziert.

Ähnlich wie bei Cloud Computing, Big Data und Cybersecurity erwarte ich, dass SDS das nächste Buzzword wird und wir davon eine Weile hören. Ob sich die Technologie positiv auswirkt oder nicht, wird sich aber erst zeigen.

Über den Autor:
Kevin Beaver arbeitet als Berater, Gutachter und Referent zum Thema Informationssicherheit für Principle Logic LLC. Sein Spezialgebiet sind unabhängige Sicherheits-Assessments und Risikomanagementanalysen. Beaver ist zudem Autor und Co-Autor zahlreicher Bücher, darunter „The Practical Guide to HIPAA Privacy and Security Compliance“ und „Hacking for Dummies“.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Januar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Monitoring

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close