von Mathias Widler, Regional Vice President & General Manager Central EMEA bei Zscaler
Der Zugriff auf geschäftskritische Anwendungen und die Sicherheit sensibler Daten ist heute schon im normalen Betrieb eine fortwährende Sisyphos-Aufgabe. In einem Übernahme- oder Abspaltungsszenario kommt noch einmal zusätzliche Komplexität hinzu, wenn zwei Netzwerke miteinander gekoppelt werden. Es gilt ein Modell zu erarbeiten, dass die Produktivität aller Mitarbeiter gewährleistet und dabei die geforderte Sicherheit bei der Öffnung gesamter Netzwerke nicht außer Acht lässt. Ein Software definierter Perimeter kann dabei helfen, den Zugriff auf Anwendungsebene sicher zu gestalten.
Schneller und sicherer Anwendungs-Access
Nach einem Merger muss in einem ersten Schritt der Zugriff auf das jeweils andere Netzwerk erfolgen. Die IT steht vor der Aufgabe, zwei Unternehmen mit ihren gewachsenen Infrastrukturen zusammenzufügen und dabei Privacy und Vertraulichkeit beim Zugang zu den Netzwerken zu gewährleisten. Das bedeutet im Klartext, dass nur befugte Personen aus Unternehmen A auf bestimmte Applikationen von Unternehmen B – und andersherum – Zugriff erhalten dürfen. Je schneller dabei der Prozess einer Integration vorangetrieben und abgeschlossen werden kann, desto eher wird sich die Firmenübernahme auszahlen.
Bei der Koppelung klassischer Netzwerkinfrastrukturen über Sicherheits-Hardware beginnen genau dort die Probleme. Denn oft haben die IT-Teams gleich am Anfang der Netzwerkkopplung mit sich überlappenden IP-Adressen zu tun. An diesem Punkt beginnt die Verzögerung der Zusammenführung, wenn das gesamte Netzwerk neu aufgesetzt werden muss. Eine alternative Marschroute besteht im Einsatz von Network Address Translation (NAT). Doch damit sind die Probleme lange nicht ausgestanden, denn neue Hürden tun sich auf, beispielsweise durch:
- DNS Hostnamen von existierenden Servern zeigen auf non-NAT IP-Adressen, wodurch eine komplizierte DNS-Rekonfiguration nötig wird.
- Bestimmter Datenverkehr benötigt möglicherweise Ausnahmen von NAT
- Anwendungen mit hard-coded IPs kommen mit NAT nicht zurecht.
- In anderen Fällen müssen Port-Forwarding Regeln auf andere Adressen/Ports umgelenkt werden.
- Anwendungen, die Datenverkehr nach der Source-IP filtern, müssen auf die neuen NAT-Adressen geändert werden.
- NAT-Adressen könnten überladen werden.
Diese Auflistung macht deutlich, dass die Kopplung von Netzwerken über Appliances langwierig und hochkomplex in der Konfiguration ist. Die Schwierigkeit beginnt eigentlich schon damit, dass vollständige Netzwerke in einem ersten Schritt gekoppelt werden, obwohl eigentlich nur bestimmte Nutzer den Zugriff auf bestimmte Anwendungen erhalten sollen. Das bedingt dann in einem zweiten Schritt, dass die Zugriffsrechte mit Firewalls wieder eingeschränkt werden müssen.
Mit der Öffnung gesamter Netzwerke sind weitere Fallstricke verbunden, denn aus Sicherheitsperspektive haben zwei verschiedene Firmennetze sicherlich unterschiedliche Schwachstellen, Lücken und verschiedene Prioritäten vorzuweisen. Nicht zu vergessen andere Auflagen hinsichtlich von Compliance-Anforderungen. Und zuletzt finden sich vermutlich auch noch einige Leichen im Keller des aufgekauften Unternehmens, die erst im Zuge der Integration schrittweise ans Tageslicht kommen. Ein ständiges Assessment und Re-Evaluieren sind in einem solchen herkömmlichen Modell der Zusammenführung erforderlich, bei dem nicht selten die ursprünglichen Pläne über den Haufen geworfen werden müssen – und ebenso ein ambitionierter Zeitplan.
Ein Software-definierter Perimeter bietet neue Möglichkeiten
Die Grundidee bei einem Software-definierten Perimeter besteht darin, dass ein Nutzer keinen Zugriff auf seine gewünschte Anwendung erhält, bevor er nicht in einem ersten Schritt für den Zugang autorisiert wird. Über eine Konsole behält die IT-Abteilung in Echtzeit den Überblick der Zugriffsberechtigungen aller Anwender in beiden Unternehmensteilen. Aufbauend auf der Rollendefinition werden Rechte zugewiesen, die sich granular nach Funktion oder Standort definieren lassen. Ein solcher Software-definierter Perimeter wird über einen Cloud-basierten Ansatz schnell implementiert.
Bei einem SDP-Lösungsansatz über eine Cloud Security-Plattform wird mittels eines der Anwendung vorgeschalteten Konnektors eine ausgehende Verbindung zu einer vermittelnden Instanz aufgebaut. Diese Instanz bearbeitet die Anfrage und überprüft die Autorisierung der Zugangsberechtigung mithilfe eines Identity Providers des Unternehmens. Da eine Outbound-Anfrage mit dem autorisierten Benutzer verknüpft wird, ist die Anwendung ausschließlich für ihn und nicht exponiert im Internet sichtbar. Auf diese Weise wird aufwendige Netzwerksegmentierung überflüssig, denn es erfolgt eine Microsegmentierung auf Ebene der Anwendung.
