Die Corona-Pandemie zwang im Frühjahr viele Unternehmen quasi über Nacht zur Digitalisierung. Dies gelang mal besser, mal schlechter, doch so langsam ist der Großteil von ihnen in der neuen Realität von Fernarbeit und Onlinekonferenzen angekommen.
Dennoch ist die Anpassung von Prozessen und Arbeitsabläufen an die neue Situation noch längst nicht abgeschlossen – insbesondere im Netzwerkbereich.
IT- und Netzwerkteams sehen sich heute mit einer Vielzahl an Anwendungen konfrontiert, die jenseits des Perimeters arbeiten, mit Benutzerbewegungen außerhalb des Perimeters sowie mit einer Zunahme der Netzwerkheterogenität. Dies hat zu einem stärker fragmentierten Netzwerk und einem erheblichen Anstieg der Anzahl von Firewalls oder Firewall-ähnlichen Lösungen geführt, die Unternehmen verwalten müssen. Umso wichtiger ist ein automatisiertes, einheitliches und zentralisiertes Netzwerkmanagement, das Einblick darüber verschafft, wer mit wem und was mit wem sprechen kann, um mit dem Ausmaß all dieser Veränderungen auch langfristig Schritt zu halten.
Herausforderung Fernzugriff: Das Problem mit geänderten VPN-Konfigurationen
Die Hauptherausforderung lag im März sicherlich im rasant gestiegenen Bedarf an Fernzugriffen. Dies hatte zahlreiche Änderungen an der Infrastruktur zur Folge, wobei standardmäßige Sicherheits- und Risikoüberprüfungen in vielen Fällen aufgrund von Zeitnot vernachlässigt wurden. Viele Unternehmen änderten ihre VPN-Konfiguration, um den IP-Pool zu vergrößern, oder schufen zusätzliche Pools, um den Zugriffsanforderungen aller Benutzer gerecht zu werden. Durch den Einsatz einer kleinen Anzahl von Fernzugriffs-IP-Pools erhielten alle angeschlossenen Fernmitarbeiter dann den gleichen internen Netzwerkzugriff auf die Unternehmensressourcen. Das Problem: Firewalls, vor allem solche der nächsten Generation (NGFW), kamen oft nicht zum Einsatz, denn nicht immer war es möglich, die NGFW-Richtlinien einfach und schnell genug auf andere ältere Netzwerksicherheitsgeräte zu übertragen, um eine durchgängige Durchsetzung der Richtlinien zu gewährleisten.
Zugriffsfreigaben: Sicherheit versus Schnelligkeit
Da Änderungen schnell vorgenommen werden mussten, war es für viele IT-Teams das Einfachste, Zugriffe unabhängig von der Rolle des Mitarbeiters und seiner „normalen“ Berechtigungsstufe zu gewähren. Dabei wurden die meisten implementierten Änderungen aus Zeitnot nicht gemäß den standardmäßigen Änderungsverfahren und Evaluationen durchgeführt und wurden zudem nicht vollständig dokumentiert. Hinzu kam, dass viele Änderungen manuell erfolgt sind, was zu einer höheren Wahrscheinlichkeit menschlicher Fehler und Fehlkonfigurationen führt.
Infolgedessen wurde die Zugriffskontrolle den anwendungsspezifischen Benutzerberechtigungen und der Authentifizierung überlassen. Doch indem die eigentlich notwendige Segmentierung übergangen wird, eröffnet dies potenziellen Eindringlingen die Möglichkeit, ohne größere Anstrengungen in das Netzwerk zu gelangen und sich dort lateral fortzubewegen. Um den Änderungen für die Mitarbeiter an entfernten Standorten Rechnung zu tragen, wurden die gängigen Sicherheitsvorkehrungen also abgeschwächt und die Angriffsflächen gleichzeitig deutlich erhöht.
Drei grundlegende Schritte für mehr Netzwerksicherheit im Remote-Umfeld
Jetzt gilt es, das Netzwerkmanagement nach risikoreichen Entscheidungen in den letzten Monaten wieder abzusichern, potenziell schädliche Änderungen rückgängig zu machen und nachhaltige Netzwerkmanagement-Konzepte umzusetzen, die auch in Zukunft sichere Fernzugriffe ermöglichen. Hierzu sollten Security- und Netzwerkteams folgende drei Schritte umsetzen:
1. Risiken identifizieren, bewerten und priorisieren
Um die durch die ungeplante Remote-Arbeit in Schieflage geratene Unternehmenssicherheit wieder zu stabilisieren, müssen zunächst sämtliche Sicherheitslücken identifiziert und bewertet und die daraus resultierenden Risiken priorisiert werden. Wo haben die rasch vorgenommenen Änderungen neue Angriffspunkte geschaffen? Welche Audit-Probleme ziehen diese nach sich? Und wie kann man Compliance schnell wiederherstellen?
- Stellen Sie zuallererst fest, welche Änderungen vorgenommen wurden, von wem und aus welchem Grund und prüfen Sie die Art des Netzwerkzugriffs, die Remote-Mitarbeiter jetzt haben. Ziehen Sie idealerweise Tools heran, die Ihnen eine sofortige Transparenz über Geräte, Sicherheitsgruppen oder Zeitrahmen ermöglichen und den genauen Zeitpunkt anzeigen, wann ein Objekt geändert wurde bzw. welche dieser Änderungen sensibel sind, weil sie kritische Objekte betreffen.
- Ermitteln Sie, ob alle Zugriffsänderungen auch tatsächlich notwendig waren und ob eine geschäftliche Rechtfertigung für diese Änderungen vorliegt bzw. ob alle dafür definierten Richtlinien Beachtung gefunden haben.
- Bewerten Sie das Risiko, das von den einzelnen Änderungen ausgeht und prüfen Sie die neuen Zugriffsrechte unter Berücksichtigung der Sicherheitsrichtlinien Ihres Unternehmens, um die Auswirkungen auf die Compliance zu ermitteln. Um manuelle Überprüfungen zu vermeiden, setzen Sie ein Werkzeug ein, dass Richtlinienverletzungen, die beispielsweise aufgrund von Zonenänderungen oder anomalem port-spezifischem Netzwerkverhalten erkannt werden, automatisch anzeigt.
2. Sofortlösungen für eine schnelle Schadensminderung umsetzen
Sobald die Risiken identifiziert und abgeschätzt wurden, sollten unmittelbar Best Practices umgesetzt werden, welche die Netzwerksicherheit wieder erhöhen – ohne hohen Aufwand und ohne dabei die Geschäftskontinuität zu unterbrechen.
- Zugriffsrechte, die zu weit gefasst oder aber ungenutzt geblieben sind, weil eigentlich gar nicht notwendig, sollten umgehend gelöscht bzw. eingeschränkt werden. Nutzen Sie granulare Regeln, um eine minimale Rechtevergabe durchzusetzen, bei der jeder nur den Zugriff erhält, den er auch wirklich braucht. Zu Beginn der überstürzten Remote-Arbeit war das in vielen Unternehmen sicherlich nicht sofort sichtbar, weshalb Zugriffe lieber großzügiger vergeben wurde. Allmählich sollte aber klar sein, welche Zugriffe Homeoffice-Mitarbeiter brauchen und welche nicht. Idealerweise haben Sie einen Rule Decommission-Workflow zur Hand, um ungenutzte, zu weitgefasste Regeln stillzulegen, sowie einen Rule Modification-Workflow, um Änderungen an bestehenden Regeln unter Aufrechterhaltung der Geschäftskontinuität durchzuführen.
- Erstellen Sie grundlegende Richtlinien zur Segmentierung des Fernzugriffs, um zwischen Fernbenutzern auf Grundlage von Rollen, Gruppen, Standorten etc. zu unterscheiden. Auf diese Weise können Sie für Remote-Benutzer dieselben Segmentierungsprinzipien anwenden, die in den on-premises-Segmenten verwendet werden. Gebrauchsfertige Segmentierungsvorlagen, die auf vordefinierten Zonen basieren, können Ihnen dabei helfen, den Datenverkehr für bestimmte Zonen und AppIDs zuzulassen oder zu blockieren.
3. Planung für die Zukunft: langfristige Überlegungen
Wurden die aktuellen „Baustellen“ in der Netzwerksicherheit behoben, geht es daran, langfristige Netzwerkmanagement-Konzepte umzusetzen, die Unternehmen Herausforderungen wie Remote-Arbeit und ähnliches meistern lassen.
- Nutzen Sie User-ID-Technologien mit Next Generation Firewalls, um noch granularere Segmentierungsrichtlinien zu erstellen. Auf diese Weise können Sie Netzwerksicherheitsrichtlinien auf der Grundlage von Identität und Kontext und weniger auf der Grundlage von IP-Adressen anwenden, um Benutzern den Zugriff von überall her zu ermöglichen.
- Wenden Sie ordnungsgemäße Rezertifizierungsprozesse auf alle geänderten Firewall-Regeln an, um sicherzustellen, dass die Firewall-Regeln regelmäßig rezertifiziert werden und immer noch benötigt werden. Dies gelingt umso besser, je mehr Automatisierung Sie ins Spiel bringen. Nutzen Sie daher spezielle Tools, die den Prozess der Verfolgung, Überwachung und Verwaltung von Firewall-Regeln vollständig automatisieren – über Anbieter und Plattformen hinweg.
- Automatisieren Sie manuelle Prozesse im Zugriffsmanagement, um Zeit und Kosten einzusparen. Nahezu jede Änderung des Netzwerkzugriffs erfordert eine komplexe Implementierung über mehrere Firewalls, Switches und Router verschiedener Hersteller sowie Sicherheitsgruppen hinweg. Die manuelle Durchführung dieser Aufgaben macht es unmöglich, Tickets rechtzeitig zu bearbeiten, ohne das Netzwerk potenziellen Risiken auszusetzen. Selbst wenn nur 60 Prozent aller Änderungen automatisiert werden, führt dies zu erheblichen Zeit- und Kosteneinsparungen. Richten Sie daher Workflows ein, die jeden Schritt im Änderungsprozess automatisch rationalisieren und auf diese Weise schnelle, präzise und dokumentierte Zugriffsänderungsprozesse gewährleisten. Engpässe im täglichen Betrieb werden ebenso wie das Risiko für Konfigurationsfehler deutlich minimiert.
Klare, gut dokumentierte und wiederholbare Prozesse mit einem Minimum an manuellen Eingriffen sind in den herausfordernden Zeiten wie diesen unabdingbar, um Sicherheit und Betriebskontinuität in Balance zu halten. Durch die Implementierung der oben beschriebenen bewährten Verfahren ist das Netzwerk- und Zugriffsmanagement auch für eine weitere Ausdehnung der Fernarbeit gut gerüstet.