In den letzten 20 Jahren sind die Prinzipien der Netzwerkzugangskontrolle (NAC) weitgehend unverändert geblieben. Die Unternehmen implementierten NAC auf strikt binäre Weise. Geräte wurden entweder im Netzwerk zugelassen, oder sie wurden blockiert. Sie erhielten entweder einen Unternehmenszugang oder nur einen eingeschränkten Gastzugang. Das waren die Optionen.
Doch die Technologielandschaft hat sich stark verändert, und das quasi über Nacht. Das Internet der Dinge (IoT) trat seinen Siegeszug an, und schon bald gingen neben Windows- und Linux-Geräten auch noch zahlreiche andere Devices online. Viele dieser neuen IoT- und OT- (Operational-Technology)-Geräte waren nicht für Agenten ausgelegt, sodass NAC-Lösungen auf sie nicht anwendbar waren. Ohne die Möglichkeit, solche Geräte absichern oder auch nur sehen zu können, boten Unternehmen den Angreifern unweigerlich eine offene Flanke.
NAC ohne Agenten
Der erste große Fortschritt bei NAC war der Verzicht auf Agenten. Forescout trieb diese Weiterentwicklung schon vor Jahren voran, geleitet von der Vision, die gleichen Durchsetzungs- und Kontrollprinzipien auf alle Geräte anwendbar zu machen – von firmeneigenen Computern über IoT-Geräte bis hin zu OT und der Cloud. Um dies zu realisieren – und zwar wirklich unternehmensweit – war eine agentenfreie Lösung erforderlich.
Das war eine immense technische Herausforderung, die sich in der heutigen vernetzten Welt aber als der richtige Weg erwiesen hat: Von den 76 Millionen Geräten, die Forescout verwaltet, haben mittlerweile nur noch rund 25 % ein Windows- oder Linux-Betriebssystem. Der Grund, warum NAC überhaupt entwickelt wurde, ist heute also nur noch für ein Viertel der vorhandenen Geräte relevant. Auch andere Anbieter erkennen diese Entwicklung, und so gewinnt die Kategorie Gerätesichtbarkeit und -kontrolle – wie wir sie heute nennen – zunehmend an Fahrt.
Segmentierung – unternehmensweit
Die Veränderungen der Technologielandschaft schreiten jedoch weiter fort. Die Netzwerke werden immer komplexer und sind über Campus-, RZ-, Cloud- und OT-Umgebungen hinweg miteinander verbunden. So sind die Unternehmen kaum noch in der Lage, einen Netzwerkperimeter aufrechtzuerhalten, der sich verteidigen lässt.
Diese Entwicklungen haben die nächste große Veränderung angestoßen, die sich jetzt gerade vollzieht: den Schritt zur Makro-Netzwerksegmentierung. Unternehmen wollen ein Zero-Trust-Modell einführen, bei dem alle Geräte a priori als nicht vertrauenswürdig gelten. Erreichen lässt sich dies durch eine dynamische Netzwerksegmentierung. Das bedeutet, dass Geräte mit Geräten ähnlicher Art gruppiert werden, um den Ost-West-Verkehr einzuschränken. Wenn ein Gerät dann kompromittiert oder weniger vertrauenswürdig wird, können Sie diese Richtlinien anpassen, sodass das Gerät so lange auf weniger Systeme Zugriff hat, bis die Probleme beseitigt sind oder das Gerät ganz aus dem Verkehr gezogen wird.
Bei dem Versuch, eine Netzwerksegmentierung zu implementieren, stoßen Unternehmen allerdings auf das Problem, dass die verfügbaren Tools die Herausforderungen jeweils nur zum Teil bewältigen können. Bisher gab es kein einziges Produkt, das in der Lage war, die Ziele unternehmensweit zu erreichen. Das Ergebnis ist eine fragmentierte Umgebung, die ineffizient und teuer ist. Und die immer unüberschaubarer wird, wenn Unternehmen Millionen neuer Geräte und fortschrittliche Technologien einführen, etwa durch Umstieg auf die Cloud. Da wundert es nicht, dass die meisten Unternehmen immer noch mit einem großen, flachen Netzwerk arbeiten, das anfällig für Angriffe ist.
Netzwerksegmentierung für das moderne Netzwerk
Heute hat Forescout „eyeSegment“ eingeführt, ein cloudbasiertes Produkt, das Unternehmen in Kombination mit Forescouts Plattform für Gerätesichtbarkeit und -kontrolle zeigen kann, welche Geräte sich in ihrem Netzwerk befinden und mit welchen IP-Adressen sie kommunizieren. Eyesegment verwandelt diese Daten in eine logische Taxonomie der Benutzer, Anwendungen, Dienste und Geräte im gesamten Unternehmen – genau die Detailtiefe, die Sie als Baseline für die Netzwerksegmentierung brauchen.
Auf dieser Grundlage können Unternehmen dann Richtlinien anhand von logischem Geschäftskontext definieren und sie über Enforcement-Lösungen wie Next-Generation-Firewalls oder SDN orchestrieren. Kurz: Mit Eyesegment können Unternehmen in allen ihren Umgebungen und auf alle Geräte einen dynamischen Zero-Trust-Ansatz anwenden, bei dem für den Computer an der Rezeption andere Richtlinien gelten als für den Laptop des CEOs.
Wenn Geräte diese Richtlinien oder normalen Verhaltensmuster nicht einhalten, werden sie von Eyesegment markiert. Ein Beispiel: Eine Überwachungskamera, die normalerweise nur mit drei bestimmten Servern im Rechenzentrum kommuniziert, verbindet sich plötzlich mit etwas Ungewöhnlichem (wie etwa dem Internet). Zudem gibt Eyesegment Unternehmen die Möglichkeit, die Richtlinien zu testen, bevor sie aktiviert werden. Das bedeutet mehr Effektivität und weniger Betriebsunterbrechungen.
So sollte eine echte Netzwerksegmentierung aussehen. Eine, die Unternehmen überall umsetzen können, von der Campus-IT über das Rechenzentrum bis hin zu Cloud-Umgebungen und der OT. Und die CISOs endlich in die Lage versetzt, Seitwärtsbewegungen von Angreifern rechtzeitig Einhalt zu gebieten. All das mit einer Lösung, die auf eine offene, heterogene Netzwerkumgebung zugeschnitten ist.
Forescout ist einzigartig aufgestellt, um eine solche Lösung zu realisieren. Wir waren schon bei den Anfängen von NAC dabei, zu jener Zeit, als es lediglich um eine binäre Kontrolle ging. Wir haben die Entwicklung zu agentenfreien Lösungen vorangetrieben, und jetzt schaffen wir die Grundlage für die Netzwerksegmentierung, die Lösung der Zukunft.
Von Pedro Abreu, Chief Product & Strategy Officer bei Forescout Technologies
#Netzpalaver #Forescout
