In kleinen Unternehmen kann ein umfassendes Sicherheitssystem als Bestandteil der Netzwerkinfrastruktur ausreichen, aber können auch größere Unternehmen diese Idee umsetzen?
Kürzlich stolperte der Autor mehr oder weniger zufällig über ein Unternehmen, das seine Netzstrukturen auf einem sogenannten „No-Network-Vendor“-Netzwerk realisiert hat. Das heißt, anstatt Platzhirschen wie „Cisco“ oder „Dell“ wird auch keine White-Box-Lösung für Switching und Routing genutzt. In diesem Fall hat das Unternehmen für sein gesamtes Netzwerk nur Fortinet-Geräte installiert. Das heißt, jede Netzwerkkomponente ist Teil der Sicherheitsinfrastruktur des Unternehmens.
Mit der Realisierung des Netzwerk sollte nicht nur die Sicherheit in den Kern des Netzwerks implementiert sein (an sich eine großartige Idee), sondern auch folgende Vorteile realisiert werden:
- Einfache Verwaltung: Man verfügt nur noch über ein einziges Tool zur Verwaltung aller Komponenten.
- Einfacher Einsatz: Es gibt nur zwei oder drei Versionen jeder Appliance, die bis auf die Kapazität und die Anzahl der Ports alle gleich sind.
- Einfache Erweiterung auf neue Standorte: jeder Standort ist derselbe wie jeder andere Standort von ähnlicher Größe.
Darüber hinaus verfügt das Unternehmen über einen kleinen Vorrat an Ersatzgeräten, mit denen es eine schnelle Wiederherstellung aller Standorte gewährleisten kann. Auch kann ohne weiteres auch ein Security-Operations-Center als Service in Anspruch genommen und professionelle Dienste für fast den gesamten übrigen Netzbetrieb genutzt werden. Im Grunde genommen könnte die realisierte Sicherheitslösung auch zu deren kompletten Netzwerklösung werden.
Daher stellt sich die folgende Frage: Sollten Unternehmen ähnliche Lösungen von Sicherheitsanbietern (die immer weiter in den Netzwerkbereich vordringen) in ihre Netze implementieren?
Die Antwort lautet: Ja und nein.
Es ergeben sich einige klare Vorteile, da sich ein solches System auf die betriebliche Einfachheit und das einfache Management konzentriert. Das Unternehmen verfügt nur über einen einzigen Anbieter und eine minimale Anzahl von Gerätetypen, die den konvergenten Netzwerk-/Sicherheits-Stack bilden. Noch wichtiger ist, dass die Sicherheit das Herzstück des Netzwerks ist, was eine Diskrepanz zwischen Sicherheitsrichtlinien und Netzwerkpraktiken unwahrscheinlicher, wenn nicht gar unmöglich macht. In Umgebungen, bei denen die Sicherheit von der Konnektivität getrennt ist, kommen solche Probleme nur allzu häufig vor.
Auf der anderen Seite macht jede Art von Monokultur in der IT die Infrastruktur anfälliger für die Schwächen der installierten Plattform und für die Probleme des spezifischen Anbieters. Weist das Betriebssystem der Kerngeräte eine Sicherheitslücke auf, ist mit hoher Wahrscheinlichkeit das gesamte Netz und alle Standorte zur gleichen Zeit und auf die gleiche Weise davon betroffen. Verfügt die Sicherheit über eine eigene Infrastrukturebene, besteht zumindest die Chance, dass ein Problem in der Sicherheitsebene durch geänderte Konfigurationen auf der Netzwerkebene entschärft werden kann, ähnlich wie die Sicherheitsebene die Risiken im Netzwerk entschärft. Wenn der Anbieter von einem anderen Anbieter übernommen wird oder einen anderen Anbieter aufkauft, ist der Support für die gesamte Konnektivitätsinfrastruktur während des Übergangs gefährdet.
Die Kehrseite der Medaille besteht darin, dass man im Falle eines Problems nur einen Ansprechpartner hat. Wahrscheinlich werden durch diese Abhängigkeit die Support-und Wartungskosten steigen. Der Wechsel zu einem neuen Anbieter ist umso schwieriger, je mehr Dinge von einem bestimmten Anbieter abhängig sind.
Die wirklichen Vorteile von Sicherheitssystemen für das gesamte Netz sind für kleinere und mittlere Unternehmen am deutlichsten. Diese Unternehmen haben eher einheitliche und relativ einfache Anforderungen und verfügen auch meist über eine zu dünne Personaldecke. Für diese Unternehmen ist es wahrscheinlich schwieriger, die für die Sicherheit und die Vernetzung benötigten Fachkräfte zu finden und zu binden. Nutzt man daher eine Plattform, auf der das Unternehmen seine Experten und neue Mitarbeiter ausbildet oder lagert das Unternehmen die Verwaltung des Netzwerks aus, kann man das Beste aus dem vorhandenen Personal herausholen.
Für größere Unternehmen sind die Vorteile weniger deutlich. Diese haben in der Regel komplexere Umgebungen und Anforderungen und sind weniger geneigt, die Risiken einer Monokultur zu tolerieren, da sie besser in der Lage sind, Personal für ein gemischtes Ökosystem bereitzustellen und zu unterstützen.
Sollten Sicherheitssysteme also im Netz realisiert werden? Für kleinere Unternehmen ist dies machbar, allerdings mit den oben genannten Einschränkungen. Für die meisten größeren Unternehmen lautet die Antwort derzeit nein. Stattdessen sollten sie sich darauf konzentrieren, ihre Netzwerksysteme zu einem größeren Teil der Sicherheitsinfrastruktur zu machen.
Bei der Implementierung einer Zero-Trust-Architektur (und das sollte jeder tun) oder eines SD-LAN oder bei der Bereitstellung eines Software-definierten Perimeters können und sollten Netzwerk-Switches eine zentrale Rolle spielen. Switches sollten als Policy-Enforcement-Points agieren, die Richtlinien umsetzen, die in einer Art Sicherheitsrichtlinien-Engine definiert und verwaltet werden.
Von Matthias Hein, Consultant, Autor, Redakteur