Skalierbare Home-Office-Infrastrukturen
Zu Hause ist heutzutage überall
Fortsetzung des Artikels von Teil 1
Sichere Netzwerke erstellen
Vom Campus bis zur Cloud
CIOs und CSOs müssen für eine sichere Infrastruktur die Security sämtlicher Hardware- und Softwarelösungen prüfen, von Rechenzentrums- über Campus- und Büro- bis zu Cloud-Netzwerken. Denn schon eine Schwachstelle kann das Unternehmen gefährden. So sind bei der Auswahl von Netzwerkanbietern und -komponenten folgende Punkte zu berücksichtigen:
- Ist die Netzwerk-Hardware authentisch und echt?
- Woher stammt die installierte Software, einschließlich BIOS und Open-Source-Module?
- Läuft auf den Netzwerkgeräten authentischer Code des Herstellers?
- Gibt es in der Software einschließlich aller Open-Source-Module bekannte Schwachstellen?
- Sind Software- und Sicherheits-Patches verfügbar und installiert?
- Sind auf den Netzwerkgeräten gespeicherte sensible Unternehmensdaten geschützt?
Es sollte eine lückenlose Vertrauenskette existieren, die mit der Entwicklung, Teilebeschaffung und Konstruktion beginnt. Sie setzt sich über die gesamte Softwareentwicklung fort, bis hin zum Ende der Lebensdauer von Routern und Switches. Dazu benötigen Hardwarehersteller ein übergeordnetes Sicherheitsdenken, inklusive sicherer Boot-Strategien unter Verwendung von SUDIs (Secure Unique Device Identifiers), die in Trust-Anchor-Module eingebettet sind, und manipulationssichere „Root of Trust“-Chips für kryptografische Schlüsselpaare.
Softwareentwickler müssen sich bei der Codierung der Netzwerk-Betriebssysteme strikt an die Richtlinien für den Secure Development Lifecycle halten. Dazu benötigen sie Tools, Prozesse und Awareness-Schulungen, die einen ganzheitlichen Sicherheitsansatz ermöglichen. Dieser umfasst Produktsicherheit, Verwaltung von Drittsoftware, sichere Entwicklungsprozesse, statische Analysen und Prüfung auf Schwachstellen. Sicherheits- und Schwachstellen-Audits decken Probleme während der Softwareentwicklungs- und Testzyklen auf.
Um nur verifizierte Software-Images direkt auf Controller herunterzuladen, sind sie mit einem Hash zu schützen. Dieser lässt sich mit SHA-512 erstellen und einem privaten Key verschlüsseln. Die Controller verwenden den öffentlichen Schlüssel, um den digital signierten Hash und das Image-Paket zu entschlüsseln. Zudem prüfen sie damit, dass das Image auch unverändert ist. Dies verhindert, dass bösartiger Code auf einem Controller, Router oder Switch startet.
Wichtige Funktionen für sichere Home-Office-Umgebungen
Skalierbare, sichere Home-Office-Infrastrukturen sollten folgende Funktionen aufweisen:
Auto-VPN: Durch eine automatisierte Cloud-Architektur können Nutzer VPN-Tunnel mit einem Mausklick aktivieren, ohne Befehlszeilen oder mehrstufige Berechtigungen. Die Lösung richtet selbstständig Routing-Tabellen ein und stellt IPSec-Verbindungen her.
Anwendungsbasierte Priorisierung: Unternehmen können durch integrierte Paketinspektion, Klassifizierung und Steuerung auf Anwendungsebene QoS-Richtlinien für den Datenverkehr festlegen. Auf diese Weise lassen sich unternehmenskritische Anwendungen wie Voice over IP (VoIP) oder Remote Desktop gegenüber Peer-to-Peer- und Video-Streaming priorisieren.
Einfache, umfassende Sicherheit: Mit einer End-to-End-VPN-Verschlüsselung sind Unternehmensdaten stets geschützt. Zudem sollte die Infrastruktur 802.1x-Authentifizierung für kabelgebundene Ports unterstützen. Dies bietet Netzwerk- und Endgerätesicherheit unabhängig vom Installationsort des Gateways.
Automatische Konfiguration, Optimierung und Reparatur: Die Lösung sollte sich beim Anschließen automatisch mit der Cloud verbinden, die Konfiguration herunterladen und dem Netzwerk beitreten. Bei Änderungen der WAN-IP-Adresse stellt sie idealerweise den Site-to-Site-VPN-Tunnel unter Verwendung der neuen IP-Adresse wieder her. Und wenn eine SIM-Karte installiert oder ein 3G/4G-Modem angeschlossen ist und der primäre WAN-Uplink ausfällt, schaltet sie automatisch auf Mobilfunk um.
Cloud-Management: Eine Cloud-basierte Architektur vereint WAN-, LAN- und Wireless-Verwaltung unter einem Web-basierten Dashboard. Sie lässt sich leicht von kleinen Implementierungen bis hin zu großen, standortübergreifenden Installationen mit mehreren zehntausend Geräten skalieren. Das Dashboard sollte eine intuitive und leistungsfähige rollenbasierte Verwaltung, Firmware-Updates, Konfigurationsänderungen, E-Mail-Benachrichtigungen und leicht zu überprüfende Änderungsprotokolle bieten.
Fazit: Cloud-basierte Collaboration und sichere Infrastruktur
Bei Home-Office-Infrastrukturen soll zum einen das Arbeiten für Angestellte so komfortabel und benutzerfreundlich wie möglich sein. Zum anderen muss der Zugriff auf Daten, Systeme und Netzwerke ausreichend geschützt und flexibel skalierbar erfolgen. Hier bieten sich Cloud-basierte Collaboration-Lösungen von etablierten, vertrauenswürdigen Herstellern an, wobei sämtliche dafür genutzten Netzwerkkomponenten sicherheitsgeprüft sein müssen.
Falko Binder ist Head of Enterprise Networking
Architecture und Anton Döschl Architecture Lead Collaboration bei Cisco, www.cisco.com.
- Zu Hause ist heutzutage überall
- Sichere Netzwerke erstellen
Lesen Sie mehr zum Thema
