Gastkommentar
Das Firewall-Management braucht einen Paradigmenwechsel
Im folgenden Gastkommentar erläutert Georgetha Toth, Regional Sales Director DACH bei Tufin in München, warum ihrer Ansicht nach ein Paradigmenwechsel im Firewall-Management erforderlich ist.
F5: Performanterer Schutz für Anwendungen
Fortigate: Bessere Kontrolle netzwerkbasierter Richtlinien
Umfrage: Next Generation Firewalls auf dem Vormarsch
Analyse von Firewall-Regeln: Ordnung statt Chaos
Ein Firewall-Administrator hat es nicht leicht: Oft muss er unverzüglich eine Entscheidung über einen Netzwerkzugang treffen und kann dabei nur auf minimale Hintergrundinformationen zurückgreifen. Dazu kommt, dass Trends wie Virtualisierung, Cloud Computing und „Bring Your Own Device“ die Komplexität des Unternehmensnetzwerks geradezu explodieren lassen. Geht etwas schief, sollte man deshalb nicht voreilig die Schuld dem Firewall-Administrator in die Schuhe schieben. Allzu häufig liegen die Ursachen in Wahrheit in Governance-, Kommunikations- oder Prozessproblemen.
Ein Beispiel aus der Praxis: Im Rahmen einer Virtualisierungsinitiative wollte ein Unternehmen seine Fakturierungsanwendungen von physischen auf einen virtuellen Server umziehen. Dazu ließ sich der Verantwortliche vom Administrator der Firewall eine neue IP-Adresse für den virtuellen Server zuweisen. Ergebnis: Die geschäftskritischen Kundendienst- und CRM-Applikationen des Unternehmens waren nicht erreichbar. Warum der Zugang blockiert wurde, war zunächst nicht klar – nur, dass es eindeutig ein Problem mit der Firewall gab.
Nach einigem Suchen stellte sich heraus: Alle drei Anwendungen – Fakturierung, Kundendienst und CRM – teilten sich eine Verbindung zur selben Datenbank. Dies war aber nicht bekannt, denn der Mitarbeiter, der die entsprechenden Regeln definiert hatte, war vor langer Zeit aus dem Unternehmen ausgeschieden. Zu allem Überfluss hatte er sie nur unzureichend dokumentiert und gut im allgemeinen Firewall-Regelwerk versteckt.
Ein allzu typischer Fall: Die meisten anwendungsbezogenen Firewall-Probleme entstehen, weil im Lauf der Zeit die Anbindung der Unternehmensanwendungen eine fundamentale Komponente von Firewall-Operationen geworden ist. Einen großen Teil ihrer Zeit verbringen Firewall-Administratoren mittlerweile damit, Change Requests zu bearbeiten, die mit Unternehmensanwendungen zusammenhängen.
Diese sind von Haus aus sehr komplex: Oft bestehen sie aus zahlreichen Komponenten, die auf mehreren Servern laufen, die wiederum auf mehrere Rechenzentren verteilt sind. Nicht selten teilen sich außerdem verschiedene Anwendungen bestimmte Komponenten, beispielsweise eine Datenbank. So entstehen Abhängigkeiten, die nicht auf Anhieb ersichtlich sind.
Das Management der Netzwerkverbindungen ist deshalb heute eine der größten Aufgaben für Firewall-Administratoren. In einer Untersuchung von Tufin von Ende 2012 bestätigten 90 Prozent der befragten 100 Unternehmen, dass Anpassungen von Firewall-Sicherheitsregeln am häufigsten auf Änderungen in der Applikationslandschaft zurückzuführen sind.
Fast ein Drittel meinte zudem, dass eine Änderung von Sicherheitsregeln im Zug der Implementierung einer neuen Applikation zu Sicherheitslücken geführt hat. Der Grund: Trotz der hohen Automatisierung heutiger Firewall-Management-Lösungen ist die Verwaltung der Netzwerk-Connectivity von Anwendungen immer noch ein manueller und damit fehleranfälliger Prozess.
Deshalb ist ein Paradigmenwechsel nötig: Das Firewall-Management benötigt künftig einen applikationsbasierten Ansatz. Firewall-Policy-Management-Lösungen müssen ein zentrales Repository für alle Informationen bieten, die die Applikationsanbindung betreffen. Damit lassen sich dann Firewall-Änderungen von zentraler Stelle aus einfach und schnell durchführen – sei es bei der Implementierung, bei Updates oder der Deinstallation von Applikationen.
Lesen Sie mehr zum Thema
