Netzwerksicherheit
Wachsende Herausforderungen in Zeiten hybrider Netzwerke
Das Netzwerk entwickelt sich Richtung softwaredefinierte und Cloud-native Systeme. „Die Security-Herausforderungen unterscheiden sich zunehmend von denen der Legacy-Netzwerksysteme", sagt Vikram Meghal von Infosys und erläutert im Interview, was das für den Schutz von Daten und Anwendungen bedeutet.
connect professional: Wie würden Sie Netzwerksicherheit definieren und welche Elemente sollten dazu gehören?
Vikram Meghal: Die klassische Netzwerksicherheit wird durch den Begriff AAA definiert, der für Authentifizierung, Autorisierung und Abrechnung steht. Da sich jedoch viele Netzwerkelemente in Richtung Software-Defined und Cloud-Native bewegen, gibt es jetzt auch eine Reihe von angrenzenden Bereichen wie Cloud Security, Data Security und Cyber Security. In der Ära hybrider Netzwerke sollten Unternehmen also einen ganzheitlichen Ansatz verfolgen, der sowohl physische und virtuelle Elemente als auch das Anwendungsökosystem abdeckt.
Daher sollte moderne End-to-End-Netzwerksicherheit die Security von Geräten und Endpunkten, der Konnektivität von physischen und virtuellen Elementen, der Umgebung und der Ressourcennutzung sowie von Anwendungen berücksichtigen. Da sich das Netzwerk mehr und mehr in Richtung softwaredefinierte und Cloud-native Systeme bewegt, unterscheiden sich auch die Security-Herausforderungen zunehmend von denen der Legacy-Netzwerksysteme. Die Netzwerksicherheit muss unter Berücksichtigung verschiedener interner und externer Akteure und Faktoren wie Code-Schwachstellen, Containersicherheit, Build-Maschinen, offengelegte Geheimnisse usw. begutachtet werden.
connect professional: Wenn sich Netzwerk-Workloads und Geschäftsanwendungen in Richtung Edge verlagern, wie sollte Security berücksichtigt werden?
Meghal: Die Edge-Sicherheit sollte aus drei Blickwinkeln betrachtet werden:
- Physikalische Infrastruktur, einschließlich Rechen- und Speicherkapazitäten sowie das verbindende Netzwerk
- Daten, sowohl ruhende als auch bewegte Daten
- Anwendungen, sowohl Netzwerkfunktionen als auch die geschäftlichen Workloads.
Die physische Infrastruktur sollte alle klassischen Dimensionen von AAA aufweisen und zusätzlich überwacht werden, um Beeinträchtigungen zu vermeiden. Verschlüsselungen und gesicherte Kanäle in beide Richtungen schützen die Daten in Bewegung. Die Daten im Ruhezustand lassen sich durch Techniken wie Volume Encryption sichern. Die Netzwerkfunktionen am Rand sind anfälliger für DOS-Angriffe. Hier sind daher Techniken wie Zero Trust Network Access gefragt.
connect professional: Security by Design ist einer der Ansätze, der Unternehmen als absolut notwendig empfohlen wird. Was sind die Vorteile?
Meghal: Secure by Design (SbD) ist definitiv ein positiver Ansatz für die Sicherheit, bei dem das Produkt oder die Plattform unter Berücksichtigung der Sicherheit entworfen und entwickelt wird. Als Grundlage müssen Unternehmen die richtigen Sicherheitsanforderungen definieren und erfassen – und zwar während des Entwurfs-, Herstellungs- und Validierungsprozesses. Dies ist ein erheblicher Aufwand. Denn es muss sichergestellt werden, dass alle beteiligten Entwickler die Sicherheitsrichtlinien befolgen, die richtigen Sicherheitstools zur Validierung verwenden und regelmäßige Audits durchführen, um diese SbD-Grundsätze aufrechtzuerhalten. Der größte Vorteil: die Verlagerung des Problems und die höhere Proaktivität. Ein ähnlicher Prozess sollte für die Infrastruktur und den Aufbau der Cloud, die Datenverwaltung und die Sicherheit auf Anwendungsebene verfolgt werden. Anstatt ein Sicherheitsproblem im Nachhinein und unter Einsatz von Ressourcen zu beheben, hilft dieser Ansatz, Sicherheitslücken so weit wie möglich zu schließen, bevor das Produkt veröffentlicht wird.
connect professional: Immer mehr Security-Anbieter empfehlen einen Zero-Trust-Ansatz. Was sollten Unternehmen beachten, wenn sie sich dafür entscheiden?
Meghal: Die Relevanz des Zero-Trust-Sicherheitsmodells hat mit hybriden und flexiblen Arbeitsumgebungen weiter an Bedeutung gewonnen. Die Grundsätze dieses Ansatzes sind a) die genaue Verifizierung des Endpoints und des Anwenders, b) Sicherstellen, dass der Zugang nur für die erforderlichen Bereiche und nur für den notwendigen Zeitraum gewährt wird und c) die Begrenzung des Angriffsbereichs einer Sicherheitsbedrohung. Unternehmen sollten bei der Umsetzung die folgenden Ansätze in Betracht ziehen:
- Mehrstufige Authentifizierung, um die Identität sicherzustellen
- Einrichtung eines Audit-Prozesses zur Überwachung des Zugriffs und der Gültigkeit
- Implementierung von Konzepten wie der Segmentierung des Netzwerks, um den Angriffsradius zu begrenzen.
connect professional: Was würden Sie den Unternehmen empfehlen: einen Ansatz mit nur einem oder mehreren Anbietern? Ist ein Single-Vendor-Ansatz überhaupt möglich oder machbar?
| Security ist immer noch ein Nischenberuf, der sich zudem schnell verändert. Die richtigen Tools zu implementieren ist die einzige Möglichkeit, Daten mit der notwendigen Security zu schützen. |
|---|
Meghal: Es gibt keine Lösung von einem einzigen Anbieter, die alle Sicherheitsbereiche vom Endpunkt bis zur Cloud abdeckt. Wir sind der Meinung, dass der praktischste Ansatz darin besteht, die beste Lösung für jeden Sicherheitsbereich zu wählen und eine gute End-to-End-Lösung zu implementieren. Dies würde einen neutralen Systemintegrator erfordern, um die Architektur zu definieren und die richtigen Produkte zu integrieren.
connect professional: 5G ist eine Cloud-native Technologie. Welche Sicherheitsmaßnahmen müssen Unternehmen bei der Implementierung von 5G berücksichtigen?
Meghal: Das 5G-Netzwerk erstreckt sich vom Endnutzergerät bis hin zur Cloud, in der die 5G-Kernfunktionen gehostet werden. Daher sollten Unternehmen die Auswirkungen der 5G-Security idealerweise in mehreren Dimensionen betrachten. Dazu gehört zum Beispiel das jeweilige Gerät, Zugangs- und Transportnetz, 5G-Kern und Infrastruktur. Die 5G-Gerätesicherheit an sich ist ein anderes Thema, das die Hersteller vorantreiben müssen.
Unternehmen sollten die richtigen Geräte mit allen regulatorischen und sicherheitsrelevanten Zertifizierungen auswählen – zum Beispiel die entsprechenden EU-Vorschriften. Das Zugangs- und Transportnetz sowie der 5G-Kern werden durch die 3GPP-Sicherheitsstandards gesteuert. 5G selbst verfügt über viele inhärente Sicherheitsfunktionen wie Secured NAS, Home Control, Unified Authentication, User Plane Integrity Checking, Privacy Protection über Anchor Keys sowie Security Edge Protection Proxy (SEPP) usw. Unternehmen sollten die richtigen 5G-Netzwerkelemente auswählen, die bereits über diese Funktionen verfügen. Bei der Bereitstellung des Netzwerks lassen sie sich entsprechend aufrufen und konfigurieren.
connect professional: Die Sicherheit des Netzwerks wird immer wichtiger, während die Sicherheitsteams mit der Anzahl der Angriffe überfordert sind. Wie können Unternehmen ihre Security-Teams unterstützen, wenn sie (aufgrund des Fachkräftemangels) nicht in der Lage sind, ihre Teams entsprechend zu vergrößern?
Meghal: Security ist immer noch ein Nischenberuf, der sich zudem schnell verändert. Die richtigen Tools zu implementieren ist die einzige Möglichkeit, Daten mit der notwendigen Security zu schützen. Hinzukommen aber auch eine gute Organisationspolitik und die passende Automatisierung von Prozessen und Abläufen. Eine Secure by Design (SbD)-Methode erleichtert die Last von Security auf ein zentrales Team und verteilt es auf die gesamte Organisation.
Zero-Trust-Richtlinien und -Tools reduzieren die Auswirkungen eines Ereignisses. Schließlich müssen die Organisation und die Mitarbeiter verstehen, dass die Sicherheit in der Verantwortung aller und nicht nur einer einzigen Gruppe liegt. Eine Zero-Trust-Policy und entsprechende Tools reduzieren die Auswirkungen eines Ereignisses. Security Center of Excellence sollten das Sicherheitsbewusstsein fördern. Spezialisierte Integratoren von Cybersicherheitstechnologien können außerdem ihre Best Practices einbringen, um die Fähigkeiten der Organisation zu erweitern.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
PSW Group: Sichere Vernetzung
SASE bringt Paradigmenwechsel in der Netzwerksicherheit
Netzwerkinfrastruktur
Umstellung auf Multi-Gig-Switches
Von Netzwerk bis Security
Welche Vorteile KMU von MSPs erhalten können
