Change Management

Firewall-Regeln und -Konfiguration automatisch steuern

| Autor / Redakteur: Jürgen Haekel / Stephan Augsten

Aktualität hat Priorität, doch Eile macht anfällig

Manuell erforderliche Änderungen an sämtlichen Firewalls durchzuführen und zu dokumentieren gleicht schon einer Sisyphusarbeit; dabei noch Unstimmigkeiten, Wechselwirkungen und Schlupflöcher zu erkennen grenzt an Utopie. In jüngerer Zeit gerät der Grundsatz, je aufwendiger die Security, desto kompakter das Netzwerk, ins Wanken.

Auch Unternehmen mit einer sehr strikten Security-Policy können es sich schlicht nicht leisten, gänzlich auf virtuelle Systeme, Cloud Computing und Netzwerkheterogenität zu verzichten. Strukturiertes und gewissenhaftes Vorgehen ist im Change Management ohnehin unabdingbar. Doch das alleine reicht nicht, wenn die zeitliche Dichte und der schiere Umfang der Pakete nicht mehr manuell gestemmt werden können.

Zudem agieren die Verantwortlichen bei stark virtualisierten Netzwerken quasi im Blindflug, wenn versucht wird, Grenzen, deren Verlauf nicht klar ist, zu schützen. Die ambitionierteste Policy wird ausgehebelt, wenn regelmäßige Security-Audits aufgrund unvollständiger Dokumentation wirkungslos sind. Spezielle Automatisierungstools setzen daher zunächst bei der Dokumentation an, reduzieren auf diese Weise den Verwaltungsaufwand und machen regelmäßige Audits wieder zweckmäßig.

Gezielte Analyse gegen klobige Firewalls

Nicht jede Firewall-Regel ist für jedes Netzwerk gleich relevant. Im Vorhinein eine Auswahl im Regelpaket zu treffen ist allerdings zu riskant – erst im laufenden Betrieb kann die Relevanz der einzelnen Regeln dokumentiert werden. Durch die Analyse, welche Regel wie oft oder überhaupt durchlaufen wird, kann die Performance entscheidend erhöht werden.

Auf Basis dieser Analyse kann der Administrator häufig durchlaufene Regeln am Anfang und selten durchlaufene am Ende des Regelsets platzieren und nie gebrauchte entfernen. Das Tool SecureTrack erkennt und eliminiert sogar Shadowed Rules, also Regeln, die schon von vorgeschalteten Regeln erübrigt werden und daher nie durchlaufen werden. Das automatische Deaktivieren temporär eingesetzter Regelkomplexe wirkt außerdem einer Ansammlung unnötiger oder gar schädlicher Regeln entgegen und verbessert die Performance.

Ergänzendes zum Thema
 
Security-Insider hat nachgefragt: „Gibt man mit Automatisierung nicht zu viel Kontrolle aus der Hand?“

Eine automatisierte Erfassung ist auch hilfreich beim gezielten Ansprechen und Auffinden bestimmter Regeln. Zur Einhaltung und Überprüfung der Security-Policy müssen definierte Funktionen durch die jeweiligen Regeln nachgewiesen werden können. Ein zuverlässiger Überblick ohne ausufernde Logs erfordert wiederum eine automatisierte Regelverwaltung.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43391931 / Security-Devices und -Tools)