All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Firewalls, Fachartikel

Firewall-Management muss zum Standard werden

Firewall-Management muss zum Standard werden

Armin Schaal

Firewalls in Unternehmen überwachen den gesamten Datenverkehr anhand festgelegter Regeln und entscheiden, welche Netzwerkpakete durchgelassen werden. Meist ist die Anzahl der Regeln extrem komplex und kaum noch überschaubar.

Die Folge: Es entstehen Sicherheitslücken. Abhilfe schafft hier eine automatisch arbeitende Firewall-Management-Lösung, die komplexen Prozesse automatisiert und für die notwendige Datensicherheit sorgt.

Perimeter-Firewalls, die das lokale Netz vom Internet trennen, besitzen extrem komplexe Policies mit Hunderten und manchmal sogar Tausenden von Regeln. Mit manuellen Mitteln kann kein Administrator mehr den Überblick behalten. Zentrale Voraussetzung für eine „effiziente“ Firewall ist die Einhaltung der Regeln und eine ständige Überprüfung, ob neu hinzukommende Policies andere nicht außer Kraft setzen. Das Ergebnis kann gleichbedeutend mit einer fehlenden Firewall sein, wenn die Regeln gefährliche Zugriffe auf Netzwerkdienste nicht unterbinden oder die falschen Ports offen lassen.

Unternehmen, die sich explizit mit der Festlegung allgemeiner Sicherheitsvorschriften und der einzelnen Regeln befassen und diese auch anwenden, sind zunächst einmal gut vor Angriffen geschützt. Problematisch wird das Ganze dann erst im Laufe der Zeit, wenn Change Requests umgesetzt und immer mehr Regeln implementiert werden, die zudem oft komplexer sind, um neue Business- oder technische Anforderungen zu erfüllen. Eine manuelle Administration der Firewall, die fehlerhafte Einstellungen ausschließt, wird dann mit der Zeit ein Ding der Unmöglichkeit.

Eine weitere Herausforderung liegt in dem von Firewall zu Firewall oft unterschiedlichen Regelwerk. Große Unternehmen haben meistens zahlreiche Firewalls und Router in redundanten und hochverfügbaren Konfigurationen im Einsatz. Idealerweise sollten alle Perimeter-Firewalls synchronisiert werden: Änderungen bei einem Gerät werden auch bei allen anderen implementiert. In der Praxis ist das allerdings meistens nicht der Fall, vielmehr werden neue Regeln oft nur bei einem System implementiert. Das führt dazu, dass unterschiedliche Regeln vorhanden sind, die sich zudem oft sogar widersprechen.

Automatisierung und Zentralisierung

Welches Vorgehen verspricht hier Erfolg und stellt sicher, dass alle Perimeter-Geräte die gleichen Regeln als Basis einer durchgängigen Sicherheitslösung verwenden? Es muss eine Lösung sein, die die Policy-Implementierung normiert und die Implementierung der Regeln über alle Firewalls hinweg vornimmt – ebenso bei anderen für die Perimeter-Sicherheit eingesetzten Geräten wie Routern. Die Regelwerk-Validierung kann manuell durchgeführt werden, aber jeder Security-Verantwortliche, der jemals ein komplettes manuelles Firewall-Review durchgeführt hat, weiß, dass dies nicht nur sehr zeitintensiv, sondern zudem auch extrem fehlerbehaftet ist.

Eine Möglichkeit, diesem Problem zu begegnen, ist die Nutzung von Firewall-Management-Lösungen, die im Bereich der Sicherheitslösungen immer populärer werden. Sie ermöglichen die Verwaltung von Firewall-Policies mit Hilfe einer zentralen Management-Konsole. Der entscheidende Vorteil: Es gibt kein manuelles Policy-Update mehr an einer einzelnen Firewall. Die zentrale Überwachung und Steuerung bedeutet aber auch, dass es für einzelne Firewalls sehr wohl unterschiedliche Regeln geben kann. Dies ist insofern wichtig, als mittelständische und große Unternehmen oft auf anforderungsspezifische Policies setzen – abhängig zum Beispiel von den jeweiligen Unternehmensstandorten oder Business-Aktivitäten. Für jede Gruppe von Firewalls aber, für die die gleiche Policy gilt, ermöglicht die zentrale Konsole einen Top-Down-Ansatz, mit erheblichen Vorteilen in Bereichen wie Audits, Reporting, Troubleshooting oder Optimierung.

Ein weiterer Vorteil einer solchen Zentralisierung ist die Möglichkeit, die Firewall-Policies automatisch im Hinblick auf die Erfüllung von Compliance-Anforderungen zu überprüfen, die sich zum Beispiel aus Basel II, SOX oder PCI-DSS ergeben. Erfolgen bei solchen Richtlinien Änderungen, kann mit automatischen Policy-Tools, wie sie Tufin Technologies mit der Tufin Security Suite bietet, einfach und schnell ein Update-Prozess gestartet werden – auch auf Basis von Empfehlungen für Regeländerungen in der jeweiligen produktspezifischen Syntax. Dadurch wird eine effiziente Regel-Implementierung sichergestellt, unabhängig vom jeweiligen Firewall-Hersteller. Die automatischen Policy-Tools können darüber hinaus bei der Bestimmung des am besten geeigneten Implementierungsortes für die neue Regel unterstützen, damit es keine Überschneidungen oder Konflikte mit bestehenden Regeln gibt.

Mit Tufins Security Suite können Security-Verantwortliche den Firewall-Betrieb und Risk Assessments effizient managen. Die Suite besteht aus den Produkten SecureTrack, einem Firewall-Management-Tool, und SecureChange, einer Lösung, mit der sich Änderungen an Sicherheitsrichtlinien automatisiert durchführen lassen (Quelle: Tufin) Grafikdownload

Ein weiteres Argument für automatisch arbeitende Firewall-Management-Lösungen: Security-Manager müssen die Möglichkeit haben, zu jeder Zeit die Risiken und Sicherheitslücken aller unternehmenskritischen Netzwerk-Geräte zu überprüfen. Die Herausforderung ist hier am größten bei Unternehmen mit mehreren Standorten und Niederlassungen, denn es ist nahezu unvermeidlich, dass unterschiedliche Teams ihre eigenen Standards und Arbeitsmethodiken festlegen. Um sicherzustellen, dass jeder die richtigen Security-Policies erfolgreich implementiert, sollten Unternehmen hier automatisierte Lösungen nutzen, mit denen Risiken und die Erfüllung von Compliance-Vorgaben jederzeit sichergestellt und durch die vollständige Dokumentation auch nachvollzogen werden kann.

Insgesamt bieten also Firewall-Management-Lösungen die Möglichkeit, eine konsistente, durchgängige Regelbasis zu schaffen, die mehr Sicherheit bietet, Compliance-Vorgaben zuverlässig erfüllt und die auf die konkreten Business-Anforderungen hin optimiert werden kann. ROI-Studien zeigen zudem, dass die Automatisierung den Zeitaufwand und die Kosten von Firewall-Audits um rund 75 Prozent reduzieren kann. Abhängig von den im Unternehmen vorhandenen Fire-wall-Richtlinien kann auch der Aufwand für das Firewall-Change-Management um bis zu 50 Prozent verringert werden.

Armin Schaal ist Vice President Sales EMEA bei Tufin.