ForeScout und Gigamon: Automatisierter Netzwerküberblick mit abgesicherter Zugangskontrolle
Mit dem Laden des Videos erklären Sie sich mit den Datenschutz- und Nutzungsbedingungen von YouTube bzw. Google einverstanden.
Die beiden US-amerikanischen IT-Sicherheits- und Netzwerklösungsanbieter ForeScout Technologies Inc. und Gigamon Inc. kooperieren in einer technologischen Partnerschaft, um die Verfügbarkeit und die effiziente Nutzung des gespiegelten Netzwerkdatenverkehrs zu erhöhen. Das Ergebnis ist ein verbesserter Netzwerkgesamtüberblick in Echtzeit und eine automatisierte Kontrolle über alle Nutzer, Geräte, Systeme, Applikationen und virtuellen Maschinen, die auf die Netzwerkressourcen und sensible Daten zugreifen. Durch den Einsatz einer Gigamon ® Traffic Visibility Fabric ™ Lösung können die Nutzer die SPAN Port- und generellen Portproblematiken reduzieren und den an die ForeScout CounterACT Lösung zu liefernden Datenverkehr intelligent filtern. Die ForeScout CounterACT Lösung ermöglicht Unternehmen eine industriell führende Netzwerkszugriffskontrolle, flexible Sicherheitseinstellungen für mobile Geräte, eine automatisierte Complianceüberprüfung von Endgeräten und einen leistungsstarken Schutz vor Bedrohungen. Die Kombination beider Lösungen kann das situationsbezogene Bewusstsein, die generelle IT-Sicherheitsintelligenz und die operativen Reaktionsmöglichkeiten für Unternehmen, Organisationen und Behörden deutlich erhöhen.
Problematik 1: Fehlender Überblick über die vorhandene Netzwerk- und Geräteinfrastruktur
Ein jederzeit verfügbarer, vollständiger und gehaltvoller Überblick über alle Aktivitäten innerhalb eines Netzwerkes ist überlebenswichtig für eine funktionsfähige Informationssicherheit und die Erfüllung rechtlicher Vorgaben. Um dies erreichen zu können müssen Netzwerk-Sicherheitslösungen direkt mit der Core Switch Infrastruktur direkt verbunden werden. Dies kann allerdings eine große Herausforderung darstellen:
- Portdichte: In der Regel sind alle verfügbaren Ports auf den Produktivswitchen und Routern eines Netzwerkes bereits belegt. Ein Upgrade der Core-Switche auf eine höhere Portanzahl (Portdichte) ist oftmals sehr kostenintensiv
- Überwachungs-Kosten: Abhängig von dem auf der Switch- und Router-Ebene zu überwachenden Datenverkehr kann die Überwachung mehrerer Ports und VLANs sehr umständlich und teuer werden, wenn man wirklich verschiedene Arten von Netzwerksicherheitslösungen einsetzen will.
- Datenverkehrsanalyse: In einigen Fällen kann das minimale oder maximale Datenvolumen, welches von einem Switch zu einem IT-Sicherheitstool geleitet werden soll, die Verarbeitungskapazität einer Netzwerksicherheitslösung unter-/überfordern. In einigen Umgebungen wie bei verteilten Standorten oder Netzwerken mit unterschiedlichen Datenverkehrsklassen sollte zudem der Datenverkehr zuerst gefiltert werden, bevor er an eine Netzwerksicherheitslösung geleitet wird.
Problematik 2: Netzwerkzugriffskontrolle und Compliance für Endgeräte
Haben die meisten Unternehmen, Organisationen und Behörden wirklich einen Gesamtüberblick, die Kontrolle und Überwachungsintelligenz über alle Nutzer und Endgeräte, die auf ihr Netzwerk zugreifen? Können im Unternehmensnetzwerk vordefinierte IT-Sicherheitsrichtlinien für die Angestellten und Gäste angewendet werden, wenn diese mobile Geräte verwenden? Kann die Compliance für Endgeräte auch für virtuelle Maschinen eingehalten werden? Wie kann das Netzwerk vor potentiellen Bedrohungen geschützt und die Compliance-Regelwerke für Endgeräte garantiert durchgesetzt werden? Stehen die richtigen Informationen zur Verfügung, um die Effektivität der bestehenden Kontrollmaßnahmen zu überprüfen?
- Zentralisierte Intelligenz: Die Mehrzahl der Zugriffspunkte, Benutzertypen und Geräte verfügt über Sicherheitslücken und einer Vielzahl von Bedrohungen. Dies können Datenlecks, die unbewusste Verteilung von Malware, zielgerichtete Attacken oder Compliance Verletzungen sein. Die Sicherheitseinstellungen aller Gegenstände innerhalb eines Netzwerkes zu identifizieren und zu beurteilen gehört zu den sicherheitstechnisch kritischsten Aufgaben, um potentielle und reale Sicherheitslücken schließen und die Reaktion auf Vorfälle beschleunigen zu können.
- Dynamische Kontrolle: IT-Sicherheitsteams müssen nicht nur ständig über die aktuelle Situation im Netzwerk informiert sein, sondern benötigen auch effektive Echtzeit-Kontrollmöglichkeiten um Regelwerke durchzusetzen, die Compliance-Einhaltung aufrecht zu erhalten sowie Schwachstellen und Sicherheitsrisiken bei Endgeräten zu beheben.
Automatisierter Netzwerküberblick und Zugangskontrolle
Die Gigamon Traffic Visibilty Fabric ermöglicht eine intelligente Spiegelung des Datenverkehrs und unterstützt CounterACT zu gewährleisten, dass:
- Auf die Netzwerkressourcen und sensiblen Daten nur abgesichert und angemessen zugegriffen wird
- IT-Sicherheitsstandards den Endgeräten zugewiesen und von diesen auch eingehalten werden
- IT-Regelwerks-Verletzungen und Bedrohungen schneller und mit weniger IT-Ressourcenaufwand behoben werden können.
Mittels der automatisierten IT-Sicherheitsplattform ForeScout CounterACT können Netzwerkadministratoren und IT-Sicherheitsverantwortliche sehen und kontrollieren, wer und was sich mit dem Netzwerk verbunden hat – unabhängig davon, ob es sich um einen Nutzer oder ein Gerät handelt. ForeScouts Klassifizierung von Endgeräten in Echtzeit, die permanente Bewertung von Policies sowie die vielfältigen Möglichkeiten der Behebung von Bedrohungen stellen für Unternehmen, Organisationen und Behörden die Mittel bereit, leistungsstarke Zugriffskontroll-Policies anzuwenden wie auch Sicherheitsprobleme mit nur geringem oder gar keinem IT-Ressourcenaufwand zu finden und zu beheben. CounterACT kann Tausende bekannte und neue Endgeräte wie geschäftskritische Server, virtuelle Maschinen, VoIP Telefone, ungewöhnliche Geräte und sogar gefährliche Systeme sowie drahtlose Zugriffspunkte, die mit dem Netzwerk verbunden sind, identifizieren. Das Multi-Faktor Applikations-Fingerprinting von CounterACT identifiziert installierte Software und Patches, laufende Services und Prozesse, offene Ports, aktive Host basierte Sicherheitssysteme (HBSS) und andere wichtige Kriterien, die die Verteidigung und Compliance des Netzwerkes beeinflussen können. Da ForeScout auch Directory Services und spezifische mitarbeiterbezogene Policies unterstützt, so können auch temporäre Mitarbeiter und Gäste mit ihren Geräten effektiv verwaltet werden. Zudem ist CounterACT in der Lage, Policy Verletzungen durch Endgeräte sowie die Verbreitung von Bedrohungen und gefährlichen Aktivitäten sogar nach Gewährung des Netzwerkzugriffes zu erkennen und zu stoppen.
Durch die Nutzung von Gigamons Traffic Visibility Fabric sind IT-Administratoren und IT-Sicherheitsverantwortliche in der Lage, sämtliche Datenströme innerhalb des gesamten Netzwerkdatenverkehrs an die ForeScout CounterACT Plattform für eine intelligente Geräteidentifikation, Geräte-Analyse, den geprüften Netzwerkzugriff, für die mobile Sicherheit, die Compliance-Einhaltung der Endgeräte sowie zum Schutz vor Bedrohungen zu leiten. Dies ermöglicht die Erstellung eines IT-Inventars in Echtzeit und eine intelligente Einschätzung der aktuellen Sicherheitslage. Auf Basis dieser Informationen können Problematiken aktiv behoben werden, während Nutzer mit dem Netzwerk verbunden sind – und dies ohne Unterbrechungen oder Änderungen der Benutzerzufriedenheit (außer es handelt sich um eine schwerwiegendere Problematik). Zusätzlich reduziert die Gigamon G-TAP Funktionalität SPAN Port- und/oder Portdichte-Problematiken, um einen ganzheitlichen Netzwerkdatenstromüberblick gewährleisten zu können. Die GigaVUE TAP Funktionalität ermöglicht auch ein „zurechtstutzen“ der Datenströme, die an die CounterACT Lösung gesendet werden. Dies reduziert die Prozessorlast von CounterACT und / oder ermöglicht die gezielte Zusendung nur bestimmter Datenströme an die CounterACT Lösung zur Überprüfung.
Stärkung der IT-Netzwerksicherheit – ein Fallbeispiel
Ein großes Unternehmen mit einem voll redundanten Core-Netzwerk plant die Einführung von ForeScout CounterACT, um Netzwerkzugriffs-Regelwerke durchzusetzen und eine Endgeräte-Compliance zu gewährleisten. Die zwei hochverfügbaren Core-Switche haben eine Limitierung hinsichtlich der Anzahl der zur Verfügung stehenden SPAN Ports. Das Unternehmen hat bereits ein Intrusion Detection System (IPS) und Web-Proxies im Einsatz, die die vorhandenen SPAN Ports auf beiden Core-Switchen vollständig belegen. Die Implementierung von CounterACT auf der Distributions-Ebene war somit physikalisch unmöglich und wäre aufgrund der Anzahl der Switche zudem äußerst kostenintensiv. Die aggregierte Bandbreite des Client-Netzwerkes liegt bei ca. 5GB Durchsatz für ca. 6.000 Geräte. Zur Kontrolle dieses Szenarios sollen zwei CounterACT Appliances in einer hochverfügbaren Konfiguration implementiert werden. Entsprechend benötigt dieser Konfigurationsansatz mindestens vier verfügbare SPAN Ports mit jeweils 10GB Schnittstellen.
Das Unternehmen entscheidet sich für den Einsatz einer einzigen Gigamon GigaVUE-2404 Traffic Visibility Fabric Lösung mit zwei 10GB Schnittstellen für die Verbindung zu den SPAN Ports und vier 10GB Schnittstellen für die Verbindung zu der CounterACT Lösung. Die Gigamon GigaVUE-2404 Lösung könnte noch problemlos um weitere 1GB und 10GB Schnittstellen erweitert werden, um nicht nur die aktuelle IDS und Web-Proxy Lösung des Unternehmens mit den richtigen Daten zentral zu versorgen, sondern auch zukünftige Tools den problemlosen Anschluss an das Netzwerk ohne Änderungen der Core-Switch Infrastruktur zu ermöglichen. Im Ergebnis führt dies zu einer skalierbaren und deutlich leistungsfähigeren, flexiblen und verwaltbaren Gesamtlösung, die die aktuellen Kosten für die Neuausstattung reduziert und zusätzliche Kapazitäten für die Überwachung und das Netzwerkmanagement bereitstellt.
Kombinierter ForeScout CounterACT und Gigamon GigaVUE Traffic Visibility Lösungseinsatz im Unternehmen
Zusammenfassung der Vorteile des kombinierten ForeScout / Gigamon Lösungsansatzes
- Dynamische Identifikation aller Netzwerkwerte, Eliminierung und/oder deutliche Reduktion von bedrohlichen und gefährlichen Systemen, WAP und unerwünschten Applikationen, gezielte Durchsetzung von Netzwerkzugriffs- und Konfigurations-Policies, Adressierung und Behebung von Sicherheitslücken bei Endgeräten.
- Reduktion der SPAN Port- und Portanzahlproblematiken bei Switchen und Routern, intelligente Verwaltung und Filterung der gespiegelten Netzwerkdatenströme vor einer gezielten Weiterleitung an die ForeScout CounterACT Plattform
- Zentrale Spiegelung und Verwaltung der informationsreichen Netzwerkkommunikation, um Sicherheitsvorfälle und Help Desk Aufgaben zu reduzieren, Verletzungen der Netzwerksicherheit rechtzeitig zu entdecken, potentielle und tatsächliche Bedrohungen weitestgehend ohne weiteres Eingreifen der IT-Verantwortlichen zu adressieren und die Investitionen in den Schutz von Endgeräten zu optimieren.
Weitere detaillierte Informationen zu den beiden Lösungsanbietern ForeScout Technologies finden Sie in englischer Sprache unter www.forescout.com sowie über Gigamon in englischer Sprache unter www.gigamon.com. Detaillierte deutschsprachige Beschreibungen der Lösungen beider Anbieter finden Sie hier (ForeScout – Gigamon) auf Info-Point-Security.