Netzwerksicherheit - Firewall Management
Open Source bietet Vorteile im Network Security Policy Management
Offene Lösungen für mehr Sicherheit
Von Tim Purschke, Gesellschafter und Geschäftsführer der Cactus eSecurity GmbH
Die Herausforderungen für IT-Abteilungen häufen sich: Sinkende Budgets, wachsende Aufgabenfelder und zunehmende Cyberkriminalität sind nur einige Punkte, mit denen IT-Verantwortliche sich täglich auseinandersetzen müssen.
Eines der besonders komplexen Themen ist das Firewall Management, zumal in vielen Unternehmen Lösungen unterschiedlicher Anbieter im Einsatz sind, die sich nur schwer synchronisieren lassen. Tim Purschke, Berater Netzwerksicherheit bei der Cactus eSecurity GmbH , macht deutlich, welche Aspekte IT-Verantwortliche rund um das Firewall Management beachten müssen und welche Fallstricke drohen. Außerdem demonstriert er, wie ein Open Source Firewall Orchestrator Abhilfe schaffen kann und welche Vorteile eine solche Lösung in der Praxis bietet.
Firewall Management: Ein Fass ohne Boden
Im Spannungsfeld zwischen regulatorischen Anforderungen, internen Security-Standards und verzweigten Systemstrukturen geht der Überblick schnell verloren. Die Folge: Ohnehin schon zu kleine Teams müssen viele Stunden manuelle Arbeit in ihr Firewall Management stecken. Abhilfe versprechen einige NSPM-Tools (Network Security Policy Management), die jedoch neben beträchtlichen Kosten auch eine geringe Flexibilität mit sich bringen und daher nur bedingt bei der Bewältigung der täglichen Herausforderungen helfen. Die am Markt erhältlichen Lösungen gehen die allgemein bekannten Herausforderungen zwar gezielt an, belasten allerdings bereits in der Standardausführung die ohnehin dünnen IT-Budgets erheblich. Hinzu kommt, dass individuelle Anpassungen entweder gar nicht oder nur gegen weitere hohe Investitionen möglich sind – ohne Garantie, dass anschließend tatsächlich alle Funktionen so programmiert sind, wie sie im individuellen Anwendungsfall benötigt werden. Bei Schwierigkeiten mit der teuren NSPM-Lösung ist der Support in vielen Fällen ausschließlich auf internationalem Level erreichbar und auch die SLAs fallen nicht unbedingt positiv auf. Das ist vor allem deshalb ein Problem, weil NSPM in Zeiten zunehmender Cyberattacken und immer komplexerer Umgebungen zum entscheidenden Wettbewerbsfaktor geworden ist. Da die kommerziellen Tools nicht halten, was sie auf den ersten Blick versprechen, setzen viele Unternehmen auf manuelle Prozesse – teils mit selbst gebauten Excel-Anwendungen – und schaffen damit zwei weitere Probleme: einen extrem hohen manuellen Arbeitsaufwand sowie eine intransparente, fehleranfällige „Lösung“, die spätestens bei einem internen Audit oder einer externen Prüfung in die Knie geht. Eine vielversprechende Alternative: ein Open Source Firewall Orchestrator für plattformübergreifendes Firewall Management, individuell anpassbar auf die Prozesse im jeweiligen Unternehmen.
Mehr Sicherheit trotz oder wegen offener Quellcodes
Wenn es um das Thema Sicherheit geht, gibt es zu Open-Source-Ansätzen zwei Lager: Die, die Angst vor quelloffenen Lösungen haben, weil Jedermann Einblick darin hat – und die, die genau diese Tatsache als Chance verstehen und erkennen, dass gerade die Transparenz mehr Sicherheit schafft. Von Red Hat Enterprise Linux über Elastic Search bis hin zum Apache Webserver haben sich inzwischen viele Open-Source-Lösungen in Unternehmen aller Branchen einen festen Platz gesichert. Allerdings beinhaltet NSPM zahlreiche einzelne Aspekte, die nicht zu unterschätzen sind: Hier geht es um das Firewall Management, die Standardisierung der Policies für verschiedene Geräte und Produkte unterschiedlicher Hersteller, automatisiertes Change-Management, die Dokumentation der Richtlinienänderungen, Compliance Checks, die Visualisierung und Analyse des Datenverkehrs, Risiko- sowie Sicherheitsanalysen und vieles mehr. Doch auch für dieses komplexe Thema gibt es inzwischen Open-Source-Lösungen, die aus den Fehlern der großen kommerziellen Tools gelernt haben und einen lizenzfreien, flexiblen Ansatz bieten. Ein Open Source Firewall Orchestrator schafft die transparente Übersicht über alle Firewall-Regeln und dokumentiert Änderungen lückenlos und zuverlässig. So gelingt es Unternehmen, eine zentrale Sicht auf ihre dezentrale Infrastruktur herzustellen und jederzeit Reports über aktuelle und historische Regelwerke erstellen zu können. Das vermeidet unnötige Regeln und erleichtert die Re-Zertifizierung.
Eine Lösung, zahlreiche Möglichkeiten
Bei der regelmäßigen Erstellung von Reports im Rahmen des NSPM sparen Unternehmen mit einem Open Source Firewall Orchestrator Zeit und Ressourcen, da sämtliche Änderungen jederzeit automatisch vom System dokumentiert werden und so mit nur einem Klick abrufbar sind. Für einen Compliance-Report können IT-Teams beispielsweise alle Regeln mit Any-Objekten auflisten. Mit einer browserunabhängigen Web-UI wird es möglich, verschiedenen Kunden oder Teams Sichtbarkeit zu bieten, ohne dass die Verantwortlichen eine produktspezifische Client-Software ausgeben müssen. Die Integration eines LDAP-basierter Verzeichnisdienst (z. B. Microsoft Active Directory) ist möglich, um Benutzer zu authentifizieren und auch für die notwendige Mandatenfähigkeit ist bereits gesorgt. API-Schnittstellen bieten außerdem zahlreiche Automatisierungsmöglichkeiten. Vorhandene Workflow-Systeme wie ARS oder ServiceNow können beispielsweise in eine solche Open-Source-Lösung integriert werden, sodass der manuelle Aufwand in den IT-Teams stark reduziert wird.
Neben all den bereits vorbereiteten Features hat ein quelloffenes System den Charme, dass ständig neue Funktionalitäten hinzukommen, die die gesamte Community nutzen kann. So entwickelt sich ein solcher Firewall Orchestrator mit den veränderlichen Anforderungen des Marktes stetig weiter und bleibt auch über den Zeitverlauf ein verlässlicher Partner. Jeder Anwender kann individuell für sich nützliche Features implementieren und diese wahlweise lokal speichern. Alternativ lassen sich solche Erweiterungen mit den anderen Nutzern teilen, sodass in der übergreifenden Zusammenarbeit ein umfassendes Tool entsteht, mit dem jede Organisation optimal arbeiten kann – und das ohne Lizenzkosten oder sonstige Investitionen. Mit der Nutzung eines Open Source Firewall Orchestrators entfällt die Abhängigkeit von Herstellern und deren Systemvorgaben. Jedes Unternehmen, welches ein offenes Tool für sich nutzt, behält die volle Kontrolle darüber und kann es den eigenen individuellen Bedürfnissen beliebig anpassen. So gelingt Sicherheit auf einem völlig neuen Niveau.
Über den Autor
Als Gesellschafter und Geschäftsführer der Cactus eSecurity GmbH ist Tim Purschke verantwortlich für die strategische Weiterentwicklung des Beratungsunternehmens für IT-Sicherheit. Unter anderem ist er dort als Berater Netzwerksicherheit tätig und kümmert sich um die Automatisierung von Prozessen. Vor der Gründung des Unternehmens im Jahr 1999 studierte Tim Purschke Informatik an der TH Darmstadt sowie am Trinity College Dublin.