Was ist Richtliniendurchsetzung?

Unter Richtliniendurchsetzung versteht man den Prozess der Verwaltung der Netzwerk- und Anwendungskonnektivität, des Zugriffs und der Verwendung gemäß einer oder mehrerer Richtlinien, die die Bedingungen definieren, unter denen der Zugriff erlaubt ist.

Im Computerkontext bezieht sich die Durchsetzung von Richtlinien normalerweise auf die Erstellung, Kategorisierung, Verwaltung, Überwachung und automatische Ausführung eines bestimmten Satzes von Anforderungen für die Verwendung eines Computers oder Kommunikationsnetzwerks. Dabei handelt es sich nicht nur um die Durchsetzung von Richtlinien, sondern allgemeiner um die Definition, Anwendung und Verwaltung von Richtlinien.

Richtlinien können sich auf praktisch alle „Wer, Was, Wo, Wann, Wie oder Warum“-Parameter beziehen, einschließlich der Frage, wer wann, von wo, mit welchen Geräten oder welcher Software auf Ressourcen zugreifen kann, was der Benutzer tun darf und was nicht, wenn ihm der Zugriff gewährt wurde, und zwar für wie lange und mit welcher Prüfung oder Überwachung. Richtlinien können auch technischere Interaktionen oder Anforderungen behandeln, wie etwa zu akzeptierende Protokolle, zu verwendende Ports oder Verbindungstimeouts.

Organisationen erstellen Richtlinien, um ihre Vermögenswerte und Dienste zu kontrollieren, zu verwalten und manchmal auch zu monetarisieren. Die Durchsetzung von Netzwerkrichtlinien hilft bei der Automatisierung von Daten- und Anlagensicherheitsmaßnahmen, einschließlich BYOD-Anforderungen. Dadurch kann ein Dienstanbieter beispielsweise unterschiedliche Tarife für bestimmte Dienste oder Nutzungszeiten festlegen. Darüber hinaus kann es zur Durchsetzung ethischer Unternehmensstandards (wie etwa zur Nutzung von Firmengeräten und Zeit für private Zwecke) beitragen und zu einem besseren Verständnis und einer besseren Verwaltung der Netzwerknutzung beitragen.

Die Durchsetzung der Richtlinien erfolgt normalerweise durch Software oder Hardware, die als Gateway, Proxy, Firewall oder anderer zentraler Kontrollpunkt im Netzwerk dient. Zunächst müssen Richtlinien sowie eine oder mehrere Maßnahmen definiert werden, die im Falle eines Verstoßes ergriffen werden. Sobald Richtlinien definiert sind, wird die Software oder Hardware zu einem Richtliniendurchsetzungspunkt im Netzwerk – einem Knotenpunkt, an dem die Richtliniendurchsetzung in drei Teilen erfolgt:

• Eine Bewertung der Verbindung oder Anfrage
• Ein Vergleich des bewerteten Status mit bekannten Richtlinien, um zu entscheiden, ob die Verbindung eine (oder mehrere)
• Eine daraus resultierende Aktion, die von der Bearbeitung der Anfrage bis zur Trennung oder Aufnahme in die Denylist reicht.

Eine Richtlinie kann beispielsweise bekannte bösartige IP-Adressen identifizieren und festlegen, dass jeglicher Datenverkehr von diesen Adressen abgelehnt wird. Komplexere Richtlinien können es einem bestimmten Benutzer ermöglichen, eine Verbindung zu einigen Anwendungen herzustellen, zu anderen jedoch nicht, oder nach der Verbindung bestimmte Aktionen auszuführen, für die höhere Gebühren anfallen als für andere (z. B. die Verwendung eines Streaming-Dienstes auf einem Gerät mit hoher Auflösung). Auf diese Weise sind Authentifizierungs-, Autorisierungs- und Abrechnungssysteme (AAA) eine Form der Richtliniendurchsetzung.

Die Durchsetzung von Netzwerkrichtlinien kann die Einhaltung komplexerer und detaillierterer Parameter erfordern, wie etwa das Vorhandensein nicht abgelaufener Zertifikate, den Typ oder die Version eines zur Verbindung verwendeten Geräts oder Browsers oder das Fehlen von Verhaltensmustern, die mit Angriffen in Verbindung stehen.

Die Überwachung oder Dokumentation des gesamten Durchsetzungsprozesses, insbesondere von Fällen der Nichteinhaltung, ist oft Teil einer Lösung zur Richtliniendurchsetzung.

Mehrere F5-Produkte können als Gateways oder vollwertige Proxys dienen, die eine detaillierte Kontrolle über die Erstellung und Durchsetzung von Richtlinien von einem einzigen, zentralen Kontrollpunkt aus ermöglichen. Insbesondere bietet der BIG-IP Policy Enforcement Manager (PEM) ausgefeilte Kontrollmöglichkeiten für Dienstanbieter, die ihre Dienste monetarisieren und die Netzwerkleistung verbessern möchten. Für Unternehmen bietet BIG-IP Access Policy Manager (APM) eine kontextbasierte Verwaltung des Zugriffs auf Anwendungen mit einer grafischen Benutzeroberfläche namens Visual Policy Editor (VPE), die das Erstellen, Bearbeiten und Verwalten identitätsbewusster, kontextbasierter Richtlinien erleichtert.