Warum Port- und IP-basierte Sicherheit nicht mehr ausreicht

Wichtige Funktionen einer Next Generation Firewall

| Autor / Redakteur: Achim Kraus, Palo Alto Networks / Stephan Augsten

Am Beispiel der Firewall-Lösung von Palo Alto Networks gehen wir im Folgenden darauf ein, wie sich die Netzwerk-Sicherheit leistungsfähiger, verfügbarer und benutzerfreundlicher gestalten lässt.

1. Multi-Gigabit-Unterstützung

Ein Gerät zu Absicherung der Netzwerkgrenzen sollte vor allem leistungsfähig sein, um eine schnelle Datenanalyse und Umsetzung der bevorzugten Richtlinien zu gewährleisten. Palo Alto Networks nutzt drei verschiedene proprietäre Techniken:

  • App-ID zur Identifizierung der spezifischen Applikation, die auf einem Endgerät genutzt wird,
  • User-ID zur Feststellung der Person, die den Rechner benutzt und
  • Content-ID zur Untersuchung der übertragenen Daten.

Als Ergebnis lässt sich innerhalb des Rechenzentrums steuern, welche Applikationen erlaubt sind, wer sie benutzen darf, und wie sie im Netzwerk eingesetzt werden dürfen. Das alles wird mit Hilfe eines Multi-Gigabit-Gerätes erreicht. Eine gute NGF bietet eine flexible Netzwerk-Integration sowie einen „unsichtbaren“ Schutz, der die gestatte Nutzung und erwartete Systemleistung nicht beeinträchtigt.

2. Netzwerk-Segmentierung

Obwohl jede Firewall die Netzwerk-Segmentierung beherrscht, ist die Trennung auf Basis von Ports und IP-Adressen im Rechenzentrum nutzlos, da sie an der Netzwerkgrenze stattfindet. Angesichts der Mischung aus Applikationen und Bedrohungen, die zum größten Teil jeden beliebigen offenen Port nutzen können, wird das sehr deutlich.

Ergänzendes zum Thema
 
Die wichtigsten NGF-Anforderungen in Kürze

Darüber hinaus stellt die Zugangskontrolle über IP-Adressen oder einen IP-Adresspool nur eine Notlösung für die Benutzer dar. Zur besseren Erfüllung von zonenbasierten Anforderungen braucht ein Unternehmen eine Netzwerksegmentierung nach Anwendern und Anwendungen.

Auf diesem Weg kann ein Unternehmen beispielsweise jene Server abgrenzen, die Cardholder-Daten enthalten und nur Benutzern aus dem Finanzbereich den Zugang gestatten, die auch die Zahlungsapplikation verwenden. So wird der Zugang beschränkt und die Eigenverantwortung gestärkt.

3. Architektonische Vielfalt

Ein weiteres Schlüsselmerkmal von Rechenzentren in Unternehmen ist die architektonische Vielfalt. Teilweise liegt dies daran, dass in manchen Unternehmen die internen „Rechenzentren“ nicht unbedingt am selben Standort sitzen. Das heißt, die üblichen Netzwerkressourcen können sich angesichts des umfangreichen Einsatzes von VLANs und verteilten Applikationskomponenten immer ein wenig unterscheiden.

Im Falle der Lösung von Palo Alto kommt die Fähigkeit hinzu, die Netzwerk-Layer L1 (virtual wire), L2 und L3 zu integrieren – sogar im gemischten Betrieb in einer Port-intensiven Appliance. Darüber hinaus können Unternehmen mit Hilfe von VLAN-Trunking, Portaggregation und rollenbasierter Administration über Sicherheitszonen und virtuelle Firewalls hinweg die NGFs in jede beliebige Architektur und Systemlandschaft integrieren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 32742530 / Security-Devices und -Tools)