Der neue Perimeter

Noch vor ein paar Jahren war der Perimeter eines Unternehmens deutlicher definiert. Dieser stellte die Grenze zwischen dem dem öffentlichen Internet oder dem eigenen Netzwerk dar. Üblich war schon damals bei Unternehmen der Einsatz von von so genannten Next Generation Firewalls, um mit verschiedenen Techniken diese wichtige Schnittstelle zu schützen. Jedoch ist der klassische Perimeter im Wandel, denn die zentralen Ressourcen sind durch die Cloud Dienste und die mobilität der Mitarbeiter eben nicht mehr so zentral hinter dem einem Perimeter.

Eines vorweg, am Einsatz von Systemen zum Schutz des Perimeters wird sich auch durch die neuen Anforderungen nichts ändern, jedoch müssen die Sicherheitssysteme an die aktuellen und kommenden Rahmenbedingungen angepasst werden. Ob einem der Gedanke gefällt oder nicht, die Migration von lokalen Ressourcen in die Cloud ist in vollem Gange und nimmt immer weiter zu, wie auch die mobilität der Mitarbeiter, die mit verschiedenen Geräten und vor allem von beliebigen Standorten auf die diese Ressourcen zugreifen. Alleine die beliebigen Standorte zeigt sofort die Unzulänglichkeit der klassischen Absicherung des Perimeters auf, es werden ja nur die geschützt, die sich hinter der Schutzeinrichtung befinden. Mehr oder weniger ungeschützt sind alle Mitarbeiter, die sich an einem anderen Standort befinden oder auch Cloud Services, bei denen die Administratoren es versäumt haben, diese entsprechend zu schützen. Dass dies passiert, zeigen die vielen Dataleaks, wie zum Beispiel im vorangegangenen Artikel beschrieben. Dieser Beitrag beschränkt sich auf den Schutz des mobilen Clients, für den Schutz von Cloud Services braucht es schon eine ganze Beitragsreihe und würde den Rahmen dieses Artikels völlig sprengen.

Das eigene Netzwerk nach dem Stand der Technik zu schützen, ist heute kein Problem mehr, es gibt entsprechende Produkte auf dem Markt, die das mehr oder weniger gut bewerkstelligen und mit Schutzfunktionen wie IPS, URL- und DNS-Filter, Botnet Erkennung usw. einen entsprechenden Schutz bereitstellen. Normales Firewalling können diese Produkte alle, aber es kommt mehr auf die Analyse und die Erkennung der Datenströme an. Soweit so gut, könnte man nun denken, aber das nützt einem Mitarbeiter auf Dienstreise oder im Home Office recht wenig, denn er ist “nur” hinter einem einfachen Router, die in manchen Fällen noch nicht einmal auf dem Niveau einer Fritz!Box sind. Das ist aber die Realität und ohne den sonst üblichen Schutz greift der Mitarbeiter auf Ressourcen des Unternehmens zu und dies dann noch sehr häufig mit einem Clients VPN welches eine vollständige Netzwerkkopplung zum internen Netzwerk herstellt. Ab jetzt hängt der komplette Schutz des Unternehmens von einer Client AV Lösungen auf dem mobilen Gerät ab. Salopp gesagt, kann es das aber nicht sein und genau hier muss ein Umdenken stattfinden, um das eigene Netzwerk bzw. die eigene IT Infrastruktur besser zu schützen.

An diesem Punkt spielen nun mehrere Bereiche eine wesentliche Rolle, was die IT Sicherheit angeht. Ein sehr wichtiger Punkt ist das Client VPN Konzept an sich, dieses stammt mehr aus den 90’er als von einer aktuellen IT Strategie und ist aus heutiger Sicht völlig überholt und eher ungeeignet Mitarbeiter auf zentrale Ressourcen zugreifen zu lassen. Ja, es gibt auch immer noch Sonderfälle und hier ist es auch völlig richtig weiterhin auf VPN Verbindungen zu setzen, aber eben nicht mehr für den größten Teil der Remote Zugriffe in ein Unternehmen. Unabhängig vom zukünftigen Remote Konzept, spielt der Schutz des Clients eine wesentliche Rolle und an dieser Stelle kommt als Basis eine Technik aus den 90’er wieder zum Einsatz: Zugriffe auf das Internet über einen jetzt modernen Web Proxy in der Cloud, der zum nun Einsatz kommt, wenn der Benutzer sich nicht mehr hinter der eigenen Perimeter Firewall befindet.

Dabei geht die Funktionalität dieses modernen Web Proxy weit über den eines klassischen Squid, an dem man jetzt vielleicht denkt, hinaus. Aus Sicht des Anwenders greift man einfach auf die gewünschten Ressourcen im Internet, in der Cloud oder auf die Web Applikationen im Unternehmen zu. Mit solchen Szenarien wird zum einen der Internet Zugriff des Clients abgesichert, als auch das VPN in das Unternehmen ersetzt und der Zugriffe auf die Cloud Ressourcen des Unternehmens priorisiert. Dabei verhalten sich diese Systeme sehr intelligent, es wird immer der für den Client nächstgelegen Einstiegspunkt gewählt und somit eine gute Leistung aus Sicht des Anwenders erzielt. Gleichzeitig wird über die Backbones des Anbieter die Zugriffe zu den Unternehmensressourcen mit einer so geringen Latenz wie möglich hergestellt. Die Benutzererfahrung des Anwenders ist somit auch dann wenn er unterwegs ist, sehr positiv.

Da die Anforderungen in den Unternehmen sehr unterschiedlich sind, gibt es keine universelle Lösung. Aber die Optionen der umsetzbaren Szenarien bieten fast unendliche Möglichkeiten ein passendes Konzept für jede Anforderung zu entwickeln.

Das Fazit sollte auf jeden Fall sein, dass man über die IT Sicherheit unter den geänderten Rahmenbedingen der mobilen Clients und Cloud Applikationen neu nachdenkt und den notwendigen Schutz bei den mobilen Zugriffen wieder auf das gewünschte Niveau bringt.