Eine neue Art der Firewall
Die Schattenseite von SDN-Automatisierung und IoT
Fortsetzung des Artikels von Teil 2
Tragbare IT
Der Markt für Smart-Watches wächst momentan so schnell wie nie – getrieben durch die Apple-Watch und Crowdfunding-Projekte wie Pebble. Alle diese Geräte senden und empfangen jede einzelne Sekunde Unmengen an Daten und müssen daher immer mit dem Internet verbunden sein. Und die brandneuen SDN-gesteuerten Netzwerke werden sie mit offenen Armen begrüßen, weil sie keine Wahl haben – andernfalls kommt das Internet der Dinge nie in Gang.
Man kann nicht auf automatisierte SDN-Sicherheit warten
Wenn Dutzende von Millionen oder sogar Milliarden von Endpunkten Einlass in die Netzwerke begehren, sei es durch eine Gast-SSID oder auf andere Weise, sehen sie alle gleich aus: HTTP:80/HTTPS:443 – wie jeder beliebige Webbrowser. Admins werden keine Zeit haben, unerwünschte Endpunkte per ACL auszuschließen; und sie werden auch nicht in der Lage sein, Hunderte von Anbietern mit Datenbanken von Sicherheitslücken abzugleichen.
Das Netzwerk selbst muss die Vertrauenswerte der Endpunkte ununterbrochen anhand des Verhaltens neu berechnen. Es muss Tausende oder sogar Millionen von Geräten allein anhand ihres Datenverkehrsabdrucks identifizieren und Deep-Packet-Inspection in bisher nicht gekanntem (oder möglichem) Umfang ausführen. Es muss vorsichtig und gleichzeitig offen sein – es muss sogar über Selbstheilungskräfte verfügen. Es muss Warnungen für menschliche Eingriffe basierend auf einer gewichteten Risikoanalyse priorisieren.
SDN muss all dies verwirklichen und gleichzeitig ein neues Sicherheitsparadigma definieren und umsetzen. Dabei kommt es auf Problembewertungsfähigkeiten an und es muss eine Menge an Datenverkehr bewältigt werden, die um mehrere Größenordnungen über dem der menschlichen Admins, die es ersetzt, liegt. Und diese Aussicht, gepaart mit der verbreiteten Einstellung „um die Sicherheit kümmern wir uns später“, gibt in der Tat Anlass zur Sorge.
Eine neue Art der Firewall
Um solche Herausforderungen zu meistern, werden IT-Unternehmen bereits in naher Zukunft nicht mehr darum herum kommen, ein Prinzip in ihre Firewalls zu implementieren, das heutzutage zwar oft beschworen, aber noch nie wirklich erreicht wurde: Intelligenz. Die Firewall für das Internet der Dinge von morgen muss selbstständig abwägen, ob Sicherheit bei einzelnen Endpunkten noch gewährleistet ist. Gleichzeitig muss sie darüber Bescheid wissen, wie Zugriffe die Bedürfnisse und Anforderungen unterschiedlicher Unternehmensbereiche beschränken. Sie müssen also komplett unabhängig von IT-Administratoren arbeiten. Denn diese haben – und das aus gutem Grund – lediglich die Sicherheit ihrer Systeme im Blick.
Die Firewalls von morgen werden also bei jedem einzelnen Endpunkt entscheiden, ob und wie dieser sich auf den Umsatz des Unternehmens auswirkt. Dementsprechend werden die Endpunkte, die den Umsatz in die Höhe treiben, bevorzugt behandelt.
Unternehmen müssen also darauf abzielen, innerhalb des Internets der Dinge eine intelligente, vertrauensbasierte Art des Zugangs zu schaffen. Nur so können sie sich von ihren Wettbewerbern distanzieren – auch wenn sicherlich der eine oder andere IT-Admin Bauchschmerzen bekommen dürfte.
- Die Schattenseite von SDN-Automatisierung und IoT
- Das Internet der Dinge und die Endpunkt-Wegwerfgesellschaft
- Tragbare IT
Lesen Sie mehr zum Thema
