Nutzerbasierte Zugriffskontrolle mit User-to-IP-Mapping-Strategie
Palo Alto Networks empfiehlt User-to-IP-Mapping-Strategie
München, den 30. Januar 2017 – Endbenutzer sind eine bekannte, chronische Schwachstelle in der Sicherheitsinfrastruktur von Netzwerken. Darauf weist Palo Alto Networks eindringlich hin, denn mit zunehmender Mobilität droht sich das Problem weiter zu verschärfen. Bis zum Jahr 2020 rechnet IDC in den USA mit einem Anteil mobiler Mitarbeiter von knapp drei Vierteln der gesamten Belegschaft*. In Europa dürfte der Anteil zwar etwas geringer ausfallen, eine Studie von Crisp Research für die DACH-Region geht immerhin von einem Anteil von 37 Prozent bis 2020 aus**. Endbenutzer wechseln zudem ständig zu zwischen Standorten und nutzen mehrere Geräte, Betriebssysteme und Anwendungsversionen, um auf die benötigten Daten zuzugreifen. Daher ist es jetzt entscheidend, zu ermitteln, wer die Netzwerkbenutzer – jenseits nur der IP-Adresse – sind und welche Risiken aus dem jeweils verwendeten Gerät hervorgehen.
Das Bedrohungsrisiko, das unwissentlich von den Nutzern erhöht wird, gilt es in den Griff zu bekommen. Hier bietet sich eine benutzerbasierte Zugriffskontrolle an. Damit lässt sich der Zugriff auf sanktionierte Anwendungen erlauben, basierend auf Daten zur Benutzeridentität und nicht auf IP-Adressen. Dies verschafft einen Einblick, wer welche Anwendungen im Netzwerk verwendet und welche Dateien übertragen werden und möglicherweise Bedrohungen darstellen.
Bei ordnungsgemäßer Anwendung kann die benutzerbasierte Zugriffskontrolle die Reaktionszeiten bei einem Vorfall reduzieren und das Sicherheitsniveau maßgeblich erhöhen. Die Sicherheitsexperten von Palo Alto Networks haben fünf wichtige Tipps für Administratoren und Sicherheitsverantwortliche zusammengestellt, wie sich User-ID-Technologie optimal nutzen lässt.
1. Sorgen Sie dafür, dass Sie die Benutzerumgebung und Architektur des Unternehmens verstehen. Hierzu sollten Sie sich folgende Fragen stellen:
- An welchen Standorten ist mein Unternehmen aktiv? Dies können verschiedene Standorte sein, wie etwa Hauptniederlassung/Hauptcampus, Zweigstellen und sonstige entfernte Standorte.
- Welche Authentifizierungsmethode wird an jedem Standort verwendet? Melden sich Benutzer direkt bei den Verzeichnisservern an oder müssen sie sich an WLAN-Controllern, VPN-Systemen oder Network Access Control (NAC)-Geräten authentifizieren und autorisieren?
- Was sind die Betriebssysteme an jedem Standort? Es könnten heterogene Umgebungen mit Windows, Mac und Linux oder homogene Umgebungen mit nur einem Betriebssystem existieren.
- Wie können sich Endpunkte im Netzwerk anmelden? Werden Endpunkte vor der Anmeldung am Netzwerk identifiziert und authentifiziert?
2. Ermitteln Sie unterstützte User-to-IP-Mapping-Strategien und bestimmen Sie, welche verwendet werden sollen
Ermitteln Sie, welche Benutzer-zu-IP-Zuordnungsstrategien von Ihrer Next-Generation-Firewall unterstützt werden. Eine Anzahl von Mechanismen werden typischerweise unterstützt, um Benutzer zu identifizieren: Drittanbieter-Proxy-Server, WLAN-Controller, Agenten für Terminaldienste, Verzeichnisdienstprotokolle und vieles mehr. Basierend auf den Erkenntnissen im ersten Schritt, wählen Sie die User-to-IP-Mapping-Strategien, die für Ihre Umgebung gelten.
3. Implementieren Sie eine ausgewählte User-to-IP-Mapping-Strategie für Benutzersichtbarkeit
Implementieren Sie die ausgewählte Strategie, um das Verhalten des Benutzers sichtbar zu machen. Wichtig ist hierbei die Zusammenarbeit mit anderen Teammitgliedern, wie IT-Architekten, Sicherheitsbetreibern und Netzwerkadministratoren. Diese Sichtbarkeit ermöglicht die Identifizierung von Aktivitäten und Nutzungsmustern, die an die Benutzer gebunden sind, anstelle der IP-Adresse, einschließlich Einsichten wie: aktivste Benutzer und Browserverlauf; Top-Anwendungen, die in den letzten 24 Stunden von Nutzern der Marketinggruppe abgerufen werden; oder die Nutzung von Software-as-a-Service (SaaS) für jeden einzelnen Benutzer. Damit stehen wertvolle Daten zur Verfügung, um Kriterien für die benutzerbasierte Zugriffskontrolle zu formulieren.
4. Stellen Sie sicher, dass Richtlinien vorhanden sind, um die benutzerbasierte Zugriffskontrolle zu rechtfertigen
Bevor Sie User-ID-Technologie ausrollen, stellen Sie sicher, dass unterstützende Richtlinien vorhanden sind, um die Zugriffsparameter zu definieren. Typischerweise werden solche Richtlinien durch die Personal- und/oder Rechtsabteilung vorgegeben. Wenn solche Richtlinien nicht vorhanden sind, arbeiten Sie mit den Abteilungen zusammen, um Richtlinien zu definieren, wobei benutzerbasierte Nutzungsberichte als Leitfaden dienen können. Darüber hinaus empfiehlt sich bei der Definition von benutzerbasierten Zugriffskontrollen diese basierend auf Gruppen, anstatt einzelne Benutzer vorzunehmen. So lassen sich Richtlinien vereinfachen und der Verwaltungsaufwand auf ein Minimum reduzieren.
Implementieren Sie eine benutzerbasierte Zugriffsrichtlinie
Sobald die entsprechenden Geschäftsrichtlinien festgelegt und die Benutzergruppen definiert sind, können benutzerbasierte Zugriffskontrollen implementiert werden. Erstellen Sie eine Liste von Sicherheitsregeln, die akzeptable Anwendungen und Websites auflisten und den Zugriff auf ALLE anderen verweigern und implementieren sie dann die Richtlinie für die einzelnen Gruppen.
„Die von den neuen Zugriffskontrollen betroffenen Benutzergruppen werden wahrscheinlich Fragen haben. Kommunikation ist hier der Schlüssel. Lassen Sie die betroffenen Benutzergruppen wissen, was Sie planen, und wann Sie planen, etwas durchzuführen“, rät Martin Zeitler, Senior Manager System Engineering bei Palo Alto Networks. „Unternehmen können auch in Erwägung ziehen, ein spezielles Incident-Response-Team zu bilden, um Anfragen im Zusammenhang mit der Implementierung zu bearbeiten und die Informationssicherheit und den Datenschutz bei der Verarbeitung zu gewährleisten.“
* U.S. Mobile Worker Forecast, 2015-2020, International Data Corporation (IDC), Mai 2015
** The Adaptive Workplace – Arbeiten im 21. Jahrhundert: Wie sich die Arbeitsumgebung den Menschen anpasst, Crisp Research, Juni 2015