Warum Netzwerksegmentierung für mehr Sicherheit sorgt
Unternehmensnetzwerke sind über die Jahre hinweg immer komplexer geworden. Eine Vielzahl von Änderungsanforderungen werden wöchentlich von IT-Teams bearbeitet, die dann auf die jeweilige Infrastruktur innerhalb des Netzwerkes übertragen werden. Die Konsequenz: Die Komplexität und Größe der Konfigurationen wächst und wächst – und damit werden interne und/oder externe Ressourcen verbraucht, die eigentlich für die Umsetzung der Projekte und Aufgaben benötigt werden. Die Änderungen betreffen dabei alle Umgebungen der IT, von Firewalls, Wifi-Infrastrukturen, Datacenter und IT-Systemen verschiedener Hersteller.
Die Größe eines modernen Netzwerks macht es für Unternehmen heute immer schwieriger, die damit verbundene Komplexität zu bewältigen. Hinzu kommt zukünftig eine Vielzahl von IoT-Geräten und Systemen, die zum Teil ältere und unsichere Betriebssysteme haben, die sicher und segmentiert in bestehende Infrastrukturen integriert werden müssen.
Cyberkriminelle können diesen Zustand und die Existenz möglicher Fehlkonfigurationen und ungeschützter Zugriffe ausnutzen. Die möglichen Folgen davon wären Ausfall der Produktion, Nichterfüllung von Lieferverpflichtungen und die damit verbundenen empfindlichen Strafzahlungen, sowie Spionage und Sabotage.
Netzwerk-Segmentierung zieht “Brandschutzmauern” ein
Ein geeigneter Ansatz für die Netzwerksicherheit ist die Netzwerksegmentierung. Dazu werden Anwendungen, Abteilungen und ganze Infrastrukturen in Segmente unterteilt, so dass Bedrohungen eingedämmt und deren Ausbreitung auf andere Bereiche verhindert werden können. Im Falle eines erfolgreichen Angriffs auf eines dieser Segmente ist die Folge lediglich eine lokale Störung im Gegensatz zu einem Desaster, wenn der Zugriff auf die gesamte Infrastruktur möglich wäre.
Diese Unterteilung kann sehr granular und dynamisch erfolgen, so dass hier kein manueller Konfigurationseingriff, mit einem dafür erforderlichen Wartungsfenster und der damit verbundenen Wartezeit, notwendig ist. Der Faktor „Time-to-Service“, d.h. die Implementierung neuer Services im Netzwerk, kann hier von Wochen oder mehreren Tagen auf wenige Minuten reduziert werden, bei gleichbleibender Netzwerksicherheit.
Benutzer- und Anwendungs-Zugriffskontrolle über alle Punkte der Netzwerkinfrastruktur hinweg
Einen weiteren Mehrwert bietet die Network Access Control (Netzwerkzugriffskontrolle) Lösung von Extreme Networks, mit der die erforderlichen Sicherheitsregeln sicher, automatisch und umfassend bereitgestellt werden können.
Bevor entschieden werden kann, einem Benutzer Zugriff auf eine interne oder internetbasierte Ressource zu gewähren, ist es wichtig zu wissen:
- wer der Benutzer ist,
- welche Rolle er in der Organisation hat,
- auf welche Anwendung er zugreifen muss,
- wo der Benutzer auf das Netzwerk zugreift,
- und welche Risiken bestehen.
Und um für die heutigen Netzwerke effektiv zu sein, müssen Firewalls in der Lage sein, die IP-Adresse dem aktiven Benutzer zuzuordnen, und Network Access Control (NAC)-Lösungen und Edge-Switches müssen wissen, welche Anwendungen das Endsystem verwendet.
Vorteile der Integration zwischen Palo Alto Networks NGFW und Extreme Networks
Die Integration zwischen Palo Alto Networks NGFW und Extreme Networks gewährleistet eine granulare Benutzer- und Anwendungszugriffskontrolle an allen Netzwerkzugriffspunkten.
Die Next-Generation Firewalls (NGFWs) von Palo Alto Networks untersuchen den gesamten Datenverkehr, einschließlich aller Anwendungen, Bedrohungen und Inhalte, und ordnen diesen Datenverkehr unabhängig von Standort oder Gerätetyp dem Benutzer zu.
Die NAC-Lösung von Extreme Netzworks ist eine herstelleroffene Authentifizierungslösung, die eine sichere Benutzer- und Geräte-Authentifizierung ermöglicht. Diese regelbasierte Lösung ordnet Netzwerkszugriffsrechte und Befugnisse auf Grundlage von Benutzerrollen zu, je nachdem, von wo (lokal oder von entfernten Standorten) bzw. wie (drahtgebunden oder drahtlos) sich der Benutzer oder das Endgerät verbindet. Damit werden Netzwerkszugangsrechte und -kontrollen ohne hohen Aufwand durch die Mitarbeiter der IT-Abteilung eingehalten.
Das Zusammenspiel der Lösungen von Palo Alto Networks und Extreme Networks ermöglicht über XML-API den gegenseitigen Austausch von Benutzer- und Applikationsdaten. Auf Basis dieser Informationen wird eine integrierte technische Umsetzung der Segmentierung sowohl auf Firewall-Ebene als auch Switching/LAN-Ebene erreicht.