Datacenter-Sicherheit
Digitale Identitäten als Basis für elektronisches Vertrauen
Fortsetzung des Artikels von Teil 1
Intelligente Zugangsnetze
Gegenwärtig ist das Internet die bevorzugte Methode zur Verbindung von Büros oder zur Anbindung von Zweigstellen. Sicherheit wird heute dabei aus zwei Blickwinkeln betrachtet: Erstens wird der Perimeter mittels Filterregeln geschützt wie etwa IP-Adresse, MAC-Adresse, TCP/IP-Ports oder NAT. Zweitens bieten Software und Anwendungen zusätzlichen Schutz durch IAM, SSO, LDAP und Directories. Beide Welten wurden in der Vergangenheit unabhängig voneinander verwaltet.
In einem Trusted-Ecosystem muss eben diese Lücke überwunden werden. Dies geschieht dadurch, dass jede Komponente eines Netzwerkes über eine eigene sichere Identität verfügt. Basierend auf dieser Identität weiß jeder einzelne Router, jedes Netzwerk, jede Maschine, jeder Server und jedes Endgerät, ob es der anrufenden Komponente vertrauen kann oder ob es wiederum diese Komponente anrufen muss, um die geforderte Aufgabe auszuführen. Alle nicht vertrauenswürdigen Geräte werden isoliert und der Zugang wird auf öffentliche Daten oder Anwendungen beschränkt.
Innerhalb des Netzes erhält jedes Gerät lediglich Zugang zu definierten Ressourcen. Zum Beispiel erhält ein PC Zugang zu den Servern oder Anwendungen einer bestimmten Abteilung während ein anderer ausschließlich die Berechtigung zur Nutzung des Internet oder eines Druckers besitzt. Vertrauenswürdige Domänen, so genannte „Security Bubbles“ können in jedem Netzwerk einfach eingerichtet werden.
Dieses Konzept der digitalen Identitäten sowie folgerichtig der starken Authentifizierung implementiert an der Wurzel jedes Systems gewinnt zunehmend an Popularität unter den Herstellern von Netzwerkequipment. Zum Beispiel verweist Cisco nun auf das „TrustSec“-Modell, um Daten in Verbindung mit User-Rollen zu erkennen und auf Basis dieser Rollen das weitere Vorgehen zu entscheiden.
In den meisten Fällen sind das 802.1x-Protokoll sowie X509-Zertifikate die wesentlichen Komponenten der Maschinen-Authentifizierung. Zum Beispiel beruht die Entscheidung, eine Maschine mit einem VLAN zu verbinden auf starker Authentifizierung, dem Status der Maschine sowie der Erfüllung einiger Sicherheitsanforderungen wie Antivirus, Anti-Spyware oder dem Aktualisierungsstatus und dem Standort des Gerätes. Das Gleiche gilt für VoIP-Phones, bei denen X505-Zertifikate in den IP-Workstations genutzt werden, um die Kommunikation zu authentifizieren und zu verschlüsseln.
Das traditionell physikalisch getrennte Netzwerk wird nun durch ein logisches Netzwerk ersetzt, das auf unterschiedlichen Rollen und Privilegien von vertrauenswürdigen Geräten beruht. Die Positionierung der Identität im Kern des Netzwerkes bringt eine Reihe von Vorteilen. Jedes Gerät wird zu einer Instanz der Durchsetzung von Policies. Selbst wenn ein potenziell bösartiges Paket das Netzwerk gefährdet, wird es spätestens dann isoliert, wenn es einen Router oder Switch erreicht. Router oder Switche erkennen, dass das sendende Gerät nicht mit der unternehmensweiten Sicherheits-Policy übereinstimmt.
- Digitale Identitäten als Basis für elektronisches Vertrauen
- Intelligente Zugangsnetze
- Sichere Identitäten
- Elektronisch gesicherte Transaktionen
Lesen Sie mehr zum Thema
