BLOG

Sichern Sie Ihr grenzenloses Geschäft

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 06. September 2016

Sie haben hier bei F5 vielleicht schon viele Leute witzeln hören: „Identität ist die neue Firewall.“ Das klingt vielleicht abgedroschen, aber in dieser einfachen Aussage steckt eine ganze Menge. Eine ganze Menge Sicherheit und die veränderte Art und Weise, wie wir mit den digitalen Umbrüchen von heute umgehen.

die App ist der Perimeter

Ob es nun die Cloud oder Bedrohungen sind, die sich stetig im Application nach oben bewegen, oder ob es die Auflösung monolithischer Apps in APIs und Microservices ist, die Realität ist, dass diese Störungen einen Welleneffekt nach außen haben. Dieser Effekt hat die Grundlage für den Bau von Rechenzentren erschüttert und führt zu nicht unerwarteten Änderungen in der Architektur von Rechenzentren . Diese Veränderungen werden derzeit stark durch die Entstehung eines grenzenlosen Geschäfts vorangetrieben. Ein Unternehmen, das auf Applications angewiesen ist, von denen viele dort (SaaS), einige dort (IaaS) und einige noch hier (im Rechenzentrum) bereitgestellt werden.

Die Änderungen resultieren aus der Erkenntnis, dass ein grenzenloses Unternehmen nicht wirksam durch traditionelle Architekturen geschützt werden kann, bei denen eine Firewall der strategische Kontrollpunkt des Unternehmens ist.

So funktioniert das nicht mehr, da der gesicherte Perimeter nicht mehr das Rechenzentrum ist. Der Perimeter besteht nun aus jener Application und jener Application und jener anderen Application. Herkömmliche IP-basierte Firewalls sind nicht nur aufgrund ihrer begrenzten Applications , sondern auch aufgrund ihrer gebundenen Natur unwirksam. Herkömmliche IP-basierte Firewalls sind im Rechenzentrum nach wie vor unverzichtbar, in hochvolatilen Netzwerkumgebungen wie der Cloud jedoch weitgehend wirkungslos, da sich der Adressraum der Applications , die sie schützen sollen, oft schnell ändert. Auch die Einführung von Containern hat das Problem der Volatilität bei der netzwerkbasierten Zugriffskontrolle auf Applications verschärft, da diese eine (oft viel) kürzere Lebensdauer haben. Da die Lebensdauer in Minuten und nicht in Tagen oder Wochen (oder Monaten) gemessen wird, ist die Belastung herkömmlicher IP-basierter Firewalls unglaublich hoch.

Bei der identitätsbasierten Zugriffskontrolle auf Applications geht es dagegen um die Zuordnung von Benutzern und Anwendungen und nicht von IP-Adressen. Sie bietet eine bessere Möglichkeit, den Zugriff auf Applications kontext- und nicht konfigurationsbasiert zu steuern. Dies bedeutet, dass die Zugriffsanforderungen der Benutzer nicht auf IP-Adressen beschränkt bleiben, sondern, wenn Sie es wirklich genau betrachten möchten, zusätzlich zur IP-Adresse auch auf Basis von Client, Standort, Gerät, Tageszeit, Netzwerkgeschwindigkeit und Application ausgewertet werden können. Dieser Zugriff bietet eine bessere Möglichkeit zu bestimmen, wer (oder was) Zugriff auf eine bestimmte Application haben sollte (oder nicht). Und es ist viel einfacher, diesen Dienst für Applications bereitzustellen, unabhängig von ihrem Bereitstellungsort. Ein identitätsbasierter Zugriffskontrolldienst kann mit einer Application vom Rechenzentrum in die Cloud und bei Bedarf wieder zurück reisen, da seine Steuerung auf dem Verständnis des Clients und der Application und der Anwendung von Richtlinien in Echtzeit basiert, unabhängig vom Netzwerk, das diese Anfragen und Antworten überträgt.

Eine identitätsbasierte Zugriffskontrolloption bedeutet auch, für Parität in unterschiedlichen Umgebungen zu sorgen. Während bei der Zugriffskontrolle auf Applications herkömmliche IP-basierte Firewalls den Einsatz eines Systems im Rechenzentrum und eines anderen in der Cloud bedeuten, lässt sich in beiden Umgebungen der gleiche identitätsbasierte Zugriffskontrolldienst einsetzen. Das bedeutet konsistente Richtlinien, die eine bessere Einhaltung der Unternehmensrichtlinien sowie einen geringeren Betriebsaufwand hinsichtlich Verwaltung und Prüfung ermöglichen. Wir gehen davon aus, dass diese Parität weiterhin von denjenigen gefordert wird, die in einer hybriden (Multi-Cloud-)Umgebung arbeiten. In unserem „State of Application Delivery 2016“ nannten fast die Hälfte (48 %) der Befragten die Richtlinien- und Audit-Parität mit lokalen Systemen als wichtigen Sicherheitsfaktor für die Cloud-Einführung.

pwc-erweiterte-authentifizierung

Darüber hinaus zeigt die Zunahme von Sicherheitsverletzungen durch gestohlene oder leicht zu entdeckende Anmeldeinformationen, dass es höchste Zeit ist, über die einfache, kennwortbasierte Authentifizierung hinauszugehen und intelligentere Methoden zum Gewähren oder Verweigern des Zugriffs zu verwenden. PWC stellte in seiner jüngsten globalen Sicherheitsumfrage fest, dass 91 % der Befragten „erweiterte Authentifizierung“ verwenden. Unter Berufung auf Token und Zwei-Faktor-Authentifizierungsmethoden weisen sie darauf hin, dass eine erweiterte Authentifizierung nicht nur im Hinblick auf das Kundenvertrauen, sondern auch im Hinblick auf das Unternehmensvertrauen erhebliche Vorteile bietet.

Die kontextbasierte Zugriffskontrolle bietet ähnliche Maßnahmen, indem sie mehrere „Faktoren“ zur Bewertung der Anfragen bereitstellt. Mithilfe solcher Lösungen lässt sich eine Zwei-Faktor-Authentifizierung implementieren. Unternehmen können jedoch auch Authentifizierungsmaßnahmen entwickeln, die auf automatisch bereitgestellten Kontexthinweisen basieren und so für ein noch nahtloseres Application sorgen.  Man könnte argumentieren, dass im Zeitalter von „Dingen“, die als Clients agieren, eine stärker automatische, auf „vielen Faktoren“ basierende Authentifizierungsrichtlinie erforderlich ist, da die meisten „Dinge“ keine eigenen Mobiltelefone besitzen und ihre Besitzer möglicherweise nicht gerne an den häufigen Transaktionen beteiligt sind, die erforderlich sind, damit die Dinge synchronisiert werden und „nach Hause telefonieren“.

Unabhängig davon, welche Entscheidungen Ihre Organisation hinsichtlich Authentifizierung und Zugriffskontrolle treffen wird, ist es nahezu sicher, dass sie sich nicht ausschließlich (wenn überhaupt) auf IP-basierte Firewalls verlassen wird. Denn IP-basierte Firewalls basieren auf der Annahme, dass es klar definierte Unternehmensgrenzen gibt. Und in der heutigen wolkigen, mobilen und nahezu flüchtigen Welt der Anwendungsinfrastruktur existiert diese Grenze nicht mehr.