Network Access Control und die CMDB
NAC unterstützt ITIL-Prozesse
Getrieben von Forderungen nach Zugangskontrolle direkt am Netzwerkzugang für Mitarbeiter, Gäste und alle anderen Geräte eines Unternehmens ist Network Access Control (NAC) heute nicht mehr wegzudenken. Bei geschickter Lösungsauswahl und sauberer Einbindung in bestehende Workflows kann NAC sogar den Netzwerkbetrieb vereinfachen.
Offene Schnittstellen sind beim Thema NAC ein wichtiger Aspekt. Denn sie erlauben es einer
NAC-Lösung, sich in andere IT-Management-Systeme zu integrieren. Dabei kommen auch das Thema ITIL
(IT Infrastructure Library) und die Forderung nach strukturiertem Change-Management und
ordentlicher Dokumentation zum Tragen. Für Kernprozesse wie Configuration- und Change-Management
fordert ITIL ein zentrales Repository, in dem alle IT-Komponenten und deren Zusammenhänge
beziehungsweise Abhängigkeiten beschrieben sind. Herzstück ist eine Configuration Management
Database (CMDB) als logische Verknüpfung verteilter Datenbestände. Aus ihr lassen sich diejenigen
Daten extrahieren, die man zum Beispiel für eine Service-Modellierung benötigt. Sie dient der
Erfüllung von Anforderungen aus Bereichen wie:
Service und Support,
Statusermittlung und Tracking der gesamten Infrastruktur,
Erkennung von Changes in der Infrasturktur für Support-Maßnahmen,
Projekt-Management,
Release-Management,
Planung sowie Planungssicherheit für zukünftige Rollouts,
Budgetplanung auf der Basis eines verifizierten Mengengerüsts,
Service-Modellierung und
Service-Level-Management.
Viele Anwender wollen zunächst einmal "nur" wissen, wer und was überhaupt an ihrer Infrastruktur
angeschlossen ist. Ein solches Asset Discovery und ein entsprechendes Tracking von Geräten sind
Funktionen, die man durch den Einsatz moderner NAC-Lösungen automatisch mitgeliefert bekommt, sind
schon für sich von hohem Mehrwert. Große Unterschiede bestehen zwischen den Anbietern in der
Detailtiefe und den Möglichkeiten, auf diese Daten zuzugreifen – wenn eine solche Option überhaupt
besteht. Typischerweise ist ein automatische Asset Discovery auch notwendig, um überhaupt
abschätzen zu können, was passiert, wenn man eine NAC-Lösung "scharf schaltet".
Eine Verknüpfung mit Kerberos(-Snooping) bietet eine interessante Erweiterung von
Endgeräteinformation wie MAC- und IP-Adresse, Host-Name, Betriebssystem und Gerätetyp, Switch oder
WLAN Controller, Access Point oder Switch-Port sowie Zeitstempel und potenzielle Schwachstellen
sowie zugewiesene Policy etc. Nutzen lässt sich dies zum Beispiel bei der Authentifizierung von
Nutzern in einer Microsoft-Active-Directory-Umgebung. Dort ist selbst ohne eine netzbasierende
Authentifizierung wie 802.1x die Möglichkeit gegeben, den aktuell am System angemeldeten Benutzer
zu erfassen und seine Daten in einer zentralen Datenbank mit abzulegen und nachzuverfolgen.
Kompletter Endsystemdatensatz
Dieser gesamte "Endsystemdatensatz" – im Idealfall ein kompletter Datensatz, der fortlaufend
aktualisiert wird, während viele rein Radius-basierende NAC-Lösungen an dieser Stelle zu kurz
greifen – lässt sich dann über Schnittstellen wie XML, Syslog, SNMP, JDBC etc. in Datenbanken oder
die CMDB übertragen und mit diesen synchronisieren. Der Charme der Lösung besteht unter anderem
darin, dass die Daten in Echtzeit erfasst, aktualisiert und synchronisiert werden können. Das "
Live-Inventory" wird damit Realität.
Natürlich ist es wichtig, nicht jeden Change in die CMDB zu übertragen. Nur relevante Ereignisse
sollten zu einem Update führen und nicht jede Reauthentifizierung oder jedes Login/Logout-Event
eines Nutzers. Ein Update hervorrufen sollten generell neue, betriebseigene Endgeräte, Änderungen
an diesen Geräten wie ein Umzug oder eine neue IP- oder Host-Namenszuweisung sowie ein neu
angemeldeter Nutzer. Auch die Tatsache, dass ein System für eine gewisse Zeit nicht mehr in der
Infrastruktur aufgetaucht ist, sollte vermerkt werden. Bei "Umzügen" jedoch ist Vorsicht geboten:
Handelt es sich um einen Wireless-LAN-Benutzer, dann sind "Umzüge" mehrmals am Tag an der
Tagesordnung. Es ist deshalb hier nicht sinnvoll, jeden Ortswechsel auf CMDB-Ebene zu
dokumentieren. Dabei sollte eine Aggregation der Informationen und damit zum Beispiel nur ein
tagesaktuelles Update erfolgen.
Falls ein Endgeräte-Assessment im Hinblick auf Schwachstellen oder Konfigurationseinstellungen
erfolgt, sollten nur relevante Änderungen und Abweichungen zu einem Update führen. Andernfalls wird
die CMDB mit Events überschwemmt. Auch hier sind intelligente Update- und Filterfunktionen gefragt.
Mit diesem Ansatz gehört auch das Suchen nach (neuen) Geräten im Netz der Vergangenheit an.
Troubleshooting-Zeit verkürzen
Des Weiteren verringert sich auch die Zeit für das Troubleshooting oder die Incident-Bearbeitung
am Helpdesk: Die Nutzerinformation ist direkt mit eingebunden, und lästige Mehrfachabfragen – um
die Gerätedaten eines Nutzers zu bekommen – entfallen. Die Zeit zur Informationsermittlung nach dem
Erstkontakt mit dem Benutzer ("Hallo, hier ist Hans Müller, ich habe ein Problem.") wird reduziert
und somit typischerweise auch die Zeit zur Behebung einer Störung. Damit steigt die
Service-Qualität aus Endanwendersicht an.
Ausgangspunkt für die Nutzung und den Austausch von Daten zwischen der NAC-Lösung und anderen
Unternehmensdatenbanken sind die erwähnten offene Schnittstellen. Dort hält auch der SOA-Gedanke
(Service-oriented Architecture) Einzug, der eine Aufspaltung monolithischer Applikationen mit
mehrfach vorhandenen identischen Funktionen wie Nutzerverwaltung etc. in flexible, modulare
Applikationen propagiert.
Hohe Sicherheit und effektives, zeitnahes Netzwerk-Management müssen sich nicht diametral
gegenüberstehen. Auf der Basis offener Schnittstellen sowie per Integration in bestehende und neu
zu schaffende Workflows kann eine NAC-Lösung einen wesentlichen Beitrag zur Verringerung der
Betriebskosten leisten und ITIL-Prozesse effizienter umzusetzen helfen. Neuartige Dienste sind
durch den intelligenten Einsatz von NAC denkbar: Neben den angesprochenen Beispielen ist auch die
Verknüpfung von logischer und physischer Zutrittskontrolle schon in Planung.
Lesen Sie mehr zum Thema
