Richtlinienmanagement

Regeländerungen ohne Risiko: Zuordnung von Firewall-Regeln zu Geschäftsanwendungen

, München, AlgoSec | Autor: Prof. Avishai Wool

Regeländerungen ohne Risiko: Zuordnung von Firewall-Regeln zu Geschäftsanwendungen

Sicherheit an die Geschäftsprozesse anpassen

Da die IT-Security geschäftskritisch ist, haben die meisten Unternehmen eine große Anzahl komplexer Firewall-Regelsätze auf zahlreichen Security-Applikationen gesammelt. Diese Regelsätze werden regelmäßig geändert und ergänzt, was dazu führt, dass sie immer komplexer werden, zum Teil, weil die Sicherheitsteams besorgt sind, welche Auswirkungen es haben könnte, Regeln auszusortieren. Das Löschen einer Regel kann nervenaufreibend sein, weil es versehentlich einen Ausfall oder eine Lücke im Sicherheitsbereich verursachen kann.

Prof. Avishai Wool, CTO bei AlgoSec

Aber das Aufräumen von Regelsätzen ist genauso gefährlich. Aufgeblähte Regelsätze erhöhen das Sicherheitsrisiko, weil sie die Komplexität und Verzögerungen der Prozesse für das Management von Änderungen an den Sicherheitsrichtlinien steigern und die Leistung von Firewall-Appliances beeinträchtigen können. In einem typischen Firewall-Audit kann ein externer Auditor beispielsweise auf eine Regel verweisen und fragen: „Was bewirkt Regel 300, und wird sie noch benötigt?“ In den meisten Fällen wird der Firewall-Administrator die Antwort nicht kennen, besonders wenn die Regel schon sehr lange gilt und er oder sie dann viele Stunden damit verbringen muss, ihren Zweck herauszufinden.

Eine Network Security Policy Management (NSPM)-Lösung unterstützt Unternehmen bei der Bereinigung ihrer Firewall-Regeln und überprüft, welche Regeln einem sinnvoll sind und welche redundant sind. Dies geschieht durch die Verfolgung der Nutzung einer Regel über einen längeren Zeitraum. Wenn eine Regel innerhalb eines bestimmten Zeitraums, z. B. acht Monate, nicht verwendet wurde, wird davon ausgegangen, dass sie wahrscheinlich nicht benötigt wird und es daher zu keinen Fehlern oder Sicherheitslücken kommt, wenn sie gelöscht wird.

Es besteht jedoch nach wie vor die Gefahr unerwarteter Folgen. Auch wenn eine bestimmte Regel während des Überwachungszeitraums nicht verwendet wurde: Ist sie wirklich redundant, oder ist sie noch gelegentlich erforderlich, z. B. bei einem Disaster Recovery Failover oder um zusätzliches Verkehrsaufkommen im Vorfeld der Ferienzeit zu ermöglichen? Um eine fundierte Entscheidung zu treffen, müssen die Firewall-Administratoren wissen, welche Geschäftsanwendungen von jeder Firewall-Regel abhängig sind.

Eine moderne NSPM-Lösung verknüpft deshalb Firewall-Regeln mit den jeweiligen Geschäftsanwendungen und bietet ein detailliertes, dokumentiertes Inventar aller Anwendungen und der Konnektivität, die jede Regel unterstützt. Darauf aufbauend werden die Firewall-Regeln mit Links zu den darauf basierenden Anwendungen annotiert. Da diese Annotation während des gesamten Lebenszyklus der Anwendung auf dem neuesten Stand gehalten wird, können die Verknüpfungen jederzeit geprüft werden.

Bei der Beurteilung der Gültigkeit einer Regel verlässt sich der Administrator also nicht nur darauf, ob die Regel innerhalb eines bestimmten Zeitraums verwendet wurde, sondern kann sofort erkennen, ob die Regel eine Geschäftsanwendung unterstützt oder nicht. Dies trägt dazu bei, die potenziellen Risiken der Entfernung von Firewall-Regeln zu eliminieren und erleichtert, die komplexen Regelwerke aufzuräumen. Die eigentliche Bereinigung und Stilllegung kann dann durch ein automatisiertes Änderungsmanagement der Sicherheitsrichtlinien selbstständig durchgeführt werden.

Die Verknüpfung von Firewall-Regeln mit ihren Geschäftsanwendungen bietet mehrere wesentliche Vorteile.

  • Verbesserte Reports für Audits: Wenn ein Auditor nun nach dem Zweck einer bestimmten Regel fragt, ist dieser dokumentiert. Der Firewall-Administrator kann einfach auf die Regel klicken, um jede von ihr unterstützte Anwendung zu sehen, welche Geschäftseinheit die Anwendung besitzt, den technischen Ansprechpartner für diese Anwendung, welche anderen Anwendungen mit ihr verbunden sind und welche Datenströme sie benötigt, um ordnungsgemäß zu funktionieren.
  • Kein False Positive-Risiko: Indem die Software Firewall-Administratoren mit einem Klick Zugriff auf das Inventar jeder Anwendung gewähren, die von individuellen Regeln unterstützt wird, können die IT-Teams genau beurteilen, ob eine Regel wirklich ungenutzt ist oder ob der Mangel an aktueller Aktivität auf Faktoren wie saisonale Unterschiede im Datenverkehr zurückzuführen ist.
  • Geschäftskontext für Change Requests: Wenn der Administrator plant, Regeln zur Unterstützung eines Change Requests zu ändern, hinzuzufügen oder zu entfernen, kann er schnell die relevanten Anwendungseigner identifizieren und mit ihnen zusammenarbeiten, um die Auswirkungen der geplanten Änderungen auf die Anwendung und das Unternehmen zu bewerten.
  • Verbesserte Transparenz bei der Regelwartung: Wenn das IT-Team Regelsätze wartet oder die Bereinigung von Firewalls durchführen, haben Administratoren eine einheitliche Sicht auf alle Anwendungen und Abläufe, die mit einzelnen Regeln verknüpft sind, und stellen sicher, dass der Prozess risikofrei ist und sich darauf konzentriert, dass kritische Geschäftsprozesse nicht beeinträchtigt werden.

Durch die Verknüpfung von Firewall-Regeln mit Geschäftsanwendungen konzentrieren sich die intelligenten NSPM-Lösungen darauf, den Anwendern zu ermöglichen, ihre Sicherheit an ihre Geschäftsprozesse anzupassen, sodass sie agiler, sicherer und konformer werden – und das jederzeit.