Visualisierungplattform
Sicherheit braucht sichtbare Daten
Fortsetzung des Artikels von Teil 1
Schrittweise Integration einer Netzvisualisierung
Die korrekte Bereitstellung der notwendigen Datenströme zum richtigen Zeitpunkt ist der Schlüssel zu einer umfassenden Sicherheitsarchitektur und die Minimierung der Sicherheitsrisiken.
Schritt 1 – TAP-Möglichkeiten auf allen wichtigen Verbindungen bereitstellen
Sicherheit erfordert die Sichtbarkeit der zu überprüfenden Daten. Im Umkehrspruch bedeutet diese Aussage: Kann man die Daten nicht abgreifen, lassen sich diese nicht überprüfen und die Sicherheit kann nicht mehr garantiert werden. Die Bereitstellung von TAP-Ports in Kombination mit SPAN-Ports an mehreren Stellen im Netz sorgen für den Abgriff der für das Sicherheitsmanagement notwendigen Daten. Bei SPAN-Ports ist jedoch zu beachten, dass diese unter Umständen nur einen Bruchteil des gesendeten Verkehrs übermitteln oder bei Verkehrsspitzen Pakete verlieren. Dies kann dazu führen, dass die im Netzwerk auftretenden Bedrohungen unbemerkt bleiben.
Viele Sicherheitswerkzeuge sind auch in virtuellen Umgebungen völlig nutzlos. Das Ausleiten beziehungsweise das Kopieren der zwischen virtuellen Maschinen (virtuellen Rechnern) übermittelten Informationsströme ist mit Hilfe von TAPs und SPAN-Ports nicht möglich und erfordert Lösungen die in die Hypervisor und virtuellen Switches integriert sind.
Schritt 2 – Integration einer hochverfügbaren Visualisierungsebene
Zwischen der IT-Infrastruktur und den Sicherheits- beziehungsweise Monitoring-Tools arbeitet die Visualisierungsebene. Diese sorgt für den transparenten Zugriff der Sicherheitswerkzeuge auf die notwendigen Unternehmensdaten. Die Visualisierungsebene sorgt für eine Anpassung der Datengeschwindigkeiten an vorhandene Sicherheitstechnologien und die Skalierung der Systeme, wenn neue Tools hinzugefügt beziehungsweise vorhandene Tools aufgerüstet werden. Durch die Netzwerkvisualisierung können die Daten repliziert, aggregiert, gefiltert und intelligent an die angeschlossenen Sicherheitswerkzeuge weitergeleitet werden. Dies bietet folgende Vorteile:
- Umfängliche Sicht auf das gesamte Netzwerk, einschließlich der physikalischen zu virtuellen Verbindungen.
- Kostenreduzierung durch die Vereinfachung und Zentralisierung der Überwachungswerkzeuge.
- Optimierung der Performance der Sicherheits-Tools und kontrollierter Zugriff auf die Unternehmensdaten.
Schritt 3 – Integration von Inline-Sicherheits-Tools
Um noch schneller auf Bedrohungen reagieren zu können, entwickelten sich viele Werkzeuge von einem reinen Out-of-Band-Werkzeug zum passiven Verkehrs-Monitoring zu einer Inline-Variante. Natürlich stellt ein Inline-Einsatz eine potenzielle Fehlerquelle dar, aber diese Risiken lassen sich durch Bypass-Techniken ausschalten.
Physikalische Bypass-TAPs sorgen dafür, dass die Managementwerkzeuge im Inline-Modus arbeiten, ohne dabei tatsächlich einen Inline-Betrieb bereitzustellen. Bei einem Fehler (beispielsweise Ausfall der Netzspannung) ist der TAP als logischer Bypass konfiguriert, dass die Netzverbindung aufrechterhalten bleibt und nur sehr wenige Daten beim Umschaltvorgang verloren gehen. Der logische Bypass bezieht sich dabei auf eine Reihe von Software-Funktionen, die von den Sicherheitswerkzeugen benötigt werden:
- Bidirektionale Heartbeat-Pakete werden in den Verkehrsstrom eingefügt, um kontinuierlich die Verfügbarkeit der angeschlossenen Werkzeug zu überprüfen. Sollte der Heartbeat oder die Verbindung verloren gehen, wird der Datenverkehr nicht mehr über den logischen Bypass weitergeleitet, sondern es wird eine vom Administrator festgelegte Aktion ausgeführt.
- Zu den festgelegten Bypass-Aktionen gehören beispielsweise die Aufrechterhaltung der Verbindung ins Netzwerk oder die Umleitung der Daten über eine andere Netzwerkverbindung (Redundanz).
- Um den höheren Leistungsanforderungen beziehungsweise Netzgeschwindigkeiten gerecht zu werden, lassen sich die zu überwachenden Datenverkehre auf mehrere Inline-Tools verteilen. Versagt eines der angeschlossenen Sicherheitswerkzeuge wird der von diesem Gerät verarbeitete Datenverkehr auf die verbleibenden Geräte aufgeteilt oder an ein Backup-System weitergeleitet.
- Die zu überwachenden Datenverkehre lassen sich auf unterschiedliche Inline-Tools aufteilen und die Stärken der jeweiligen Sicherheitsanwendungen werden dadurch optimiert.
- Interne Verkehre oder solche Verkehrsströme die als sicher gelten, können die Inline-Werkzeuge vollständig umgehen und so die sicherheitsbedingten Latenzzeiten minimieren.
Schritt 4 – Integration der Out-of-Band-Sicherheitstools
Im Idealfall erhalten die Sicherheitswerkzeuge vollen Zugriff auf alle über das Netzwerk übermittelten Datenverkehre. Dadurch können bösartige Daten nicht nur im Perimeter, sondern auch im Netzwerkkern erkannt und beseitigt werden. Darüber hinaus haben die Sicherheitswerkzeuge die Möglichkeit zur Auswahl spezifischer Datenströme. Ist beispielsweise ein Sicherheitstool auf die Überwachung von E-Mails spezialisiert, muss dieses sich nicht mit anderen Verkehrstypen auseinandersetzen. Dies hat eine spürbare Performance-Verbesserung zur Folge. Im Umkehrschluss erhalten Anwendungen, die auf das Web- oder Datenbank-Monitoring spezialisiert sind, nur die für diesen Verarbeitungstyp notwendigen Daten. Das so genannte Flow-Mapping ermöglicht die Aufteilung der spezifischen Datenverkehre auf ein oder mehreren Werkzeuge auf Basis der vom Administrator definierten Regeln.
Schritt 5 – Intelligente Verkehrsverarbeitung auf der Visualisierungsebene
Auf der Visualisierungsebene lassen sich die Datenpakete und Datenströme mit Leitungsgeschwindigkeit verändern, ergänzen oder manipulieren. Hierzu gehören folgende Funktionen:
- Deduplizierung,
- Veränderung/Manipulierung der Header,
- Filterung auf Anwendungsebene,
- Maskierung und
- Lastverteilung.
Durch die sich verändernde Bedrohungslandschaft und die sich verändernde Netzwerkinfrastruktur sind die Unternehmen gezwungen ihre Sicherheitsvorkehrungen grundsätzlich zu überdenken. Daher kann es sinnvoll sein, die zu überprüfenden Pakete und Datenströme mehrfach zu kontrollieren.
Fazit
Es liegt in puncto Sicherheit eine Menge Arbeit an und die Sicherheit wird noch eine lange Zeit unsere Agenda dominieren. Mit jeder neuen Anwendung, mit jeder neuen Technologie oder neuem Endgerät werden die Herausforderungen noch komplexer. Sicherheit erfordert klare Definitionen, Richtlinien und Umsetzungskompetenzen und muss die über das Netzwerk übermittelten Daten sichtbar machen.
- Sicherheit braucht sichtbare Daten
- Schrittweise Integration einer Netzvisualisierung
Lesen Sie mehr zum Thema
