Intelligentes Firewallmanagement
Ständige Budgetkürzungen, immer höhere Anforderungen und zunehmende Cyberkriminalität – in diesem Spannungsfeld befinden sich nahezu sämtliche IT-Abteilungen. Firewalls spielen im Kampf gegen steigende Cybercrime-Zahlen eine zentrale Rolle. Um sich möglichst flächendeckend und granular zu schützen, haben größere Unternehmen meist mehrere Produkte im Einsatz. Erfahren Sie in diesem Artikel, wie das Management und die Synchronisierung der verschiedenen Firewalls in der Praxis zuverlässig gelingen.
Um sich möglichst flächendeckend und granular zu schützen, haben größere Unternehmen zumeist mehrere Firewalls im Einsatz. Doch das Management und die Synchronisierung der verschiedenen Produkte, die zum Teil von unterschiedlichen Herstellern stammen, verursachen einen nicht zu unterschätzenden Aufwand, was mit den falschen Tools schnell kostspielig werden kann. Im schlimmsten Fall verliert die IT-Abteilung sogar den Überblick über die Firewallregeln und bietet Hackern eine unnötig große Angriffsfläche. Open-Source-Werkzeuge können IT-Verantwortliche hier bei in der Bewältigung ihrer täglichen Herausforderungen unterstützen.
Die Suche nach dem richtigen Tool
Doch wie lässt sich das richtige Werkzeug finden, um die verschiedenen Systeme – egal ob von Juniper, Check Point, Palo Alto oder einem anderen Hersteller – zentral und ohne großen Aufwand zu verwalten? Auf dem Markt gibt es mehrere NSPM-Tools (Network Security Policy Management), die den Verantwortlichen einen Überblick über alle angebundenen Firewalls bieten. Sie dokumentieren die erstellten Konfigurationen sowie eventuelle Änderungen und vereinfachen die Pflege der oft komplexen Regelwerke.
Jedoch verfügen sie selten über die notwendige Flexibilität und belasten darüber hinaus das ohnehin knappe Budget von IT-Abteilungen zusätzlich nicht unerheblich. Individuelle Anpassungen sind besonders kostspielig und bieten oftmals nicht einmal die geforderte Funktionalität. Manch ein IT-Administrator setzt daher notgedrungen auf manuelle Workarounds etwa in Form von Excel-Listen. Doch diesen Aufwand können kleine Teams nur in den seltensten Fällen managen – von der mangelnden Transparenz und Compliance ganz zu schweigen.
Flexible Open-Source-Angebote
Eine Option sind Open-Source-Tools. Manche IT-Administratoren schrecken noch immer davor zurück, aber dafür gibt es keinen echten Grund. Im Gegenteil: Ein quelloffener Firewall Orchestrator bietet im Vergleich zu proprietären Managementsystemen zahlreiche Vorteile. Dank der aktiven Community bietet er ständig neue Funktionalitäten und entspricht so immer den aktuellen Anforderungen – ein Mechanismus, der gerade im Security-Bereich unschätzbar wichtig ist.
Nicht zuletzt bietet ein Open-Source-Werkzeug deutlich mehr Flexibilität. Importmodule für neu anzubindende Firewalls oder andere Funktionen sind mit etwas Glück schon von anderen Nutzern in der Community entwickelt worden und müssen von der hauseigenen IT-Abteilung oder einem externen Anbieter nur noch angepasst werden.
Professionelle Integration reduziert späteren Aufwand
Um eine neue Firewall erfolgreich in das NSPM zu integrieren, muss sich das verantwortliche Team das neue Produkt und seine Funktionen genau ansehen. Jede Firewall bringt zahlreiche Konfigurationen mit, die im ersten Schritt so intensiv wie möglich durchzutesten ist. Je genauer und umfassender hier gearbeitet wird, umso besser ist das Gesamtsystem später auf alle Eventualitäten im praktischen Einsatz vorbereitet. Vorhandene und wohldokumentierte APIs der Firewallhersteller erleichtern dem Entwicklerteam die Integration. Fehlen sie, müssen sämtliche Konfigurationsoptionen zunächst händisch analysiert werden. Diese Aufgabe kann entweder von der internen IT beziehungsweise Netzwerkabteilung erledigt werden, oder das Unternehmen gibt das Projekt an externe Spezialisten.
Nach der Analyse muss das verantwortliche Team die gewonnenen Informationen interpretieren und normalisieren, um später alle Produkte von verschiedenen Herstellern verwalten und synchronisieren zu können. Die normalisierten Daten werden mit der vorherigen Konfiguration abgeglichen und die Differenz in die zentrale Datenbank des Firewall Orchestrators geschrieben. Wenn dieser Importprozess ausreichend getestet ist, kann das fertige Importmodul zum Basisbestandteil eines Open-Source-Firewall-Orchestrators werden und künftig zum Import dieses Firewalltyps für alle Nutzer dienen.
Vom Manager zum Dolmetscher mit einem Firewall Orchestrator
Ein richtig aufgesetztes zentrales Firewallmanagement entlastet IT-Abteilungen bereits nachhaltig. Jedoch lassen sich auch weitere Prozesse verschlanken. Beispielsweise nutzen die verschiedenen Firewalls jeweils andere Logiken und die Synchronisierung bleibt eine große Herausforderung. Ein Firewall Orchestrator kann dabei Abhilfe schaffen, da er nicht als Einbahnstraße fungiert, sondern auch die Kommunikation vom zentralen System in die einzelnen Firewalls ermöglicht. Er dokumentiert die erstellten Regeln in normalisierter Form und kann diese bei Bedarf in der nativen Sprache der jeweiligen Firewall ausgeben – quasi wie ein Dolmetscher.
Anwendungsfälle sind zum Beispiel die Migration einer Firewall von Hersteller A zu Hersteller B oder einfach das Ändern und Schreiben der geänderten Regeln auf ein Firewallsysteme via API. So können IT-Administratoren die angelegten Regeln ohne tiefere Kenntnisse der einzelnen Firewalls immer wieder an sich ändernde Anforderungen anpassen, neue Objekte einfügen oder alte Regeln löschen. Und all das ohne den manuellen Aufwand, den beispielsweise Excel-Listen mit sich bringen würden. Dank der integrierten Plausibilitätsprüfung mit syntaktischen und semantischen Checks bieten vom Hersteller integrierte APIs für diese Art der Kommunikation bereits einen hohen Sicherheitsstandard. Dennoch sollten die Verantwortlichen vor jeder Änderung genau prüfen, ob das Tool auch tatsächlich die erwarteten Regeln generiert, um bösen Überraschungen im Live-Betrieb vorzubeugen.
Hilfreiche Expertise von außen
Wenn es um die Sicherheit von Geschäftsprozessen geht, kann ein kleiner Fehler schnell unabsehbare Folgen haben. Deswegen brauchen IT-Teams stets den richtigen Partner zur Seite, wenn sie einen ganzheitlichen Firewallschutz aufsetzen wollen. Da viele Unternehmen nicht über die entsprechenden Ressourcen verfügen, lagern sie die Integration von Firewalls oft an externe Dienstleister aus, bedenken dabei aber nicht ihren eventuellen Wartungs- und Troubleshooting-Bedarf.
Wenn es im Geschäftsbetrieb dann zu einer unerwarteten Konfiguration kommt, bricht im schlimmsten Fall der Import ab und das System steht still – und niemand verfügt über den notwendigen Einblick, um das Problem zu identifizieren und zu beheben. IT-Teams sollten deswegen darüber nachdenken, mit einem erfahrenen Partner zusammenzuarbeiten und konkrete Wartungsverträge sowie belastbare SLAs zu definieren. Nur so können sie ihr System auch in Ernstfällen bestmöglich absichern.
Fazit
Eine zentralisierte Firewallorchestrierung ist heute aus vielen IT-Abteilungen kaum mehr wegzudenken. Sie ermöglicht einen Basisschutz gegen Angreifer und sollte somit Bestandteil einer jeden IT-Security-Strategie sein. Dank flexibler Open-Source-Werkzeuge können auch kleine Teams den damit verbundenen Aufwand möglichst geringhalten und gleichzeitig ihr strapaziertes Budget schonen. Und mit professioneller Unterstützung durch kompetente Dienstleister entsteht ein effizientes und verlässliches System, dass die IT-Abteilung tatsächlich entlastet.
Autor: Tim Purschke, Berater für Netzsicherheit bei Cactus eSecurity