Mehr verlangen. Von Ihrer Firewall der nächsten Generation sollten Sie mehr erwarten

Transkript

1 Mehr verlangen Von Ihrer Firewall der nächsten Generation sollten Sie mehr erwarten

2 Inhaltsverzeichnis Kurzfassung 3 Firewall-Aktualisierungen sind eine Geschäftsmöglichkeit 3 Hochverfügbarkeit unter Druck 4 Kontextbezogene Sicherheit für verfeinerte Zugriffssteuerung 4 Automatischer, hochentwickelter Schutz gegen sich entwickelnde Taktiken 5 Einheitliche Software-Plattform 5 Mehr verlangen 6 Informationen zu den McAfee-Netzwerksicherheitslösungen 6 2 Mehr verlangen

3 Kurzfassung Wenn Anwendungssteuerungen und Eindringungsschutzsysteme (IPS, Intrusion Prevention System) der Einstieg in den Wettbewerb für Firewalls der nächsten Generation (NGFW, Next-Generation Firewall) sind, was setzen Sie dann noch auf Ihre Anforderungsliste? Dieses Whitepaper hilft Teams für Netzwerke und Internetsicherheit dabei zu verstehen, was sie von NGFWs verlangen können und sollten: integrierte Hochverfügbarkeit und Lastregelung für betriebliche Widerstandsfähigkeit und die Handhabung wachsender Datenmengen. kontextbezogene Sicherheit, die eine detaillierte Zugriffskontrolle bietet, um Risiken zu senken und die Nutzung zu verwalten. automatische, hochentwickelte Erkennung von Verschleierungsversuchen, die die unbekannten und sich entwickelnden Verschleierungstechniken, die zielgerichtete und hartnäckige Bedrohungen ermöglichen, blockieren und Berichte dazu erstellen kann. eine einheitliche Software-Plattform, die adaptive Netzwerksicherheit und flexible Implementierung von Funktionen der nächsten Generation mit Transparenz und betrieblicher Effizienz unterstützt. Diese Anforderungen gehen über spezifische Funktionen hinaus, um das langfristige Ziel herbeizuführen: Schutz der Verfügbarkeit und Integrität der kritischen Netzwerke bei wachsender Nutzung und sich entwickelnden Bedrohungen. Wenn Sie auf diese Funktionen bestehen, wird damit sichergestellt, dass Ihre NGFW mit Geschäftsanforderungen, cleveren Internetkriminellen und Budget-Gegebenheiten mithalten kann. Eine Firewall der nächsten Generation ist nicht nur eine Sammlung von Antworten der letzten Generation. Sie hebt Sicherheit mit ihrer Fähigkeit zur Erkennung hochentwickelter Verschleierungstechniken auf die nächste Stufe. Die Kombination all dieser Fähigkeiten zu einer Lösung ermöglicht ihr einen besseren Gesamtüberblick und bietet Unternehmen eine bessere Sicherheit Next Generation Firewall Challenge (Die Herausforderung der Firewall der nächsten Generation 2013), Robin Layland, Network World 1 Firewall-Aktualisierungen sind eine Geschäftsmöglichkeit Firewalls sind die erste und wichtigste Verteidigungslinie gegen Netzwerkbedrohungen. Sie dienen gewissenhaft in jedem externen Büro, am Rande und in den Kern-/Distributionsnetzwerken, um Rechenzentren zu schützen. Und alle paar Jahre erfordern diese alten Installationen eine Aktualisierung. Heute müssen alternde Firewalls außer Betrieb genommen werden und durch neue Designs mit integrierten und erweiterten Funktionen, flexibler Implementierung und Kontrolle sowie besserer Skalierbarkeit und Leistung ersetzt werden. Diese Designs helfen dabei, ihre Firewall zukunftssicher zu gestalten, damit sie mit sich ändernden Geschäftsanforderungen und den sich verbreitenden Bedrohungen umgehen können. Diese Firewall-Aktualisierung ist eine wertvolle Gelegenheit. Seit mehr als zehn Jahren erleben wir den Frust und die Kosten bezüglich der Verwaltung komplexer und nicht zusammenhängender Firewall-Regelsätze; wir implementieren zusätzliche Anwendungen für Lastausgleich, Eindringungsschutz, VPNs sowie Bedrohungs analysen und gehen unzählige Protokolle durch. Jetzt können wir diese Erfahrung nutzen, um von Netzwerk-Firewall-Anbietern mehr Aufklärung und Anpassbarkeit zu verlangen. Wahrscheinlichkeit von Internetkriminalität 100 % Zum Beispiel Regierungen, Wehrtechnik, Banken, kritische Infrastruktur Hohes Risiko Mittleres Risiko Zum Beispiel Hightech, Medien, Einzelhandel, Fertigungsindustrie 0 % Geringes Risiko Zum Beispiel gemeinnützige, lokale und kleine Unternehmen und Dienste Gebotener Wert hinsichtlich Finanzen, Politik, Handel oder geistigem Eigentum Gering Hoch Abbildung 1. Wie der Ansturm fortschrittlicher Bedrohungen verschiedene Branchen beeinflusst. 2 Mehr verlangen 3

4 Hochverfügbarkeit unter Druck Praktisch jede Geschäftstätigkeit selbst ein Telefonanruf ist heutzutage auf das Netzwerk angewiesen. Das Volumen für Netzwerkverkehr geht nur in eine Richtung: nach oben. Damit IP-basierte Sicherheits- Tools wie NGFWs ihre Aufgabe in dieser Umgebung erfüllen können, müssen sie durchgehend aktiv sein hochverfügbar und nahtlos skalierbar. Einige Firewalls sind so ausgelegt, dass sie sich unter Druck bei einem Ausfall öffnen (Fail Open) und Internetdatenverkehr ermöglichen. Wenn die Arbeitslast einen bestimmten Schwellenwert überschreitet, können Firewalls Datenverkehr abwehren (Standard-Firewall) oder mit der Durchführung von Überprüfungen stoppen (NGFWs), damit der Datenverkehr weiter aktiv bleibt. Durch dieses Verhalten bleiben Unternehmen zwar betriebsbereit, jedoch zu Lasten der Sicherheit. Warum in Anwendungssteuerung und IPS-Regeln investieren, wenn Sie sich nicht darauf verlassen können, dass sie auch umgesetzt werden? Alternativ erweitern viele Unternehmen ihre Kapazität und Verfügbarkeit durch Clustering und nutzen entweder Aktiv/Passiv-redundante Konfigurationen oder Aktiv/Aktiv-Lastausgleich, um Datenverkehr auf mehrere Firewall-Knoten zu verteilen. Statt eines komplexen Add-Ons sollte Clustering ein Teil des Designs sein. Insbesondere Aktiv/Aktiv-Clustering bietet die beste Ressourcennutzung und lässt Sie Ihre Investitionen voll ausnutzen und mit steigender Nachfrage Knoten hinzufügen. Clustering kann sicherstellen, dass Sie über freie Rechenressourcen für Hochleistungs-Überprüfungen durch Firewalls sowie eine hohe Kapazität verfügen, um den erweiterten Datenverkehr zu bewältigen. Bei diesem Aktiv/Aktiv-Modell können drei Faktoren Ihre langfristige Zufriedenheit beeinflussen. Schauen Sie sich erstens das Arbeitslast-Aussteuerungsmodell an. Wenn separate Lastausgleichskomponenten erforderlich sind, sollten Sie beachten, dass diese zusätzlichen Komponenten auch zusätzliche Kosten sowie Komplexität von Betriebsabläufen mit sich bringen üblicherweise müssen ein zusätzliches Gerät, ein Management-Server und eine Konsole verwaltet und überwacht werden. Achten Sie zweitens auf Beschränkungen für die Anzahl der Knoten. Einige Systeme können nur ein paar Knoten clustern. Dieses Design zwingt Sie dazu, jetzt ein System auszulegen und zu bezahlen, dass für Ihre tatsächlichen Spitzenlasten ausgelegt ist, statt mit steigender Arbeitslast Knoten hinzuzufügen. Sind alle anderen Funktionen gleich, sollten Sie ein Design wählen, dass auf 10 oder mehr Knoten skaliert werden kann. Berücksichtigen sie drittens die Wartbarkeit. Wie sieht der Wartungsplan für die Cluster-Firewall-Geräte aus? Der Lastausgleich sollte ermöglichen, dass einzelne Knoten unabhängig aktualisiert oder gewartet werden können. Bei diesem Modell sollte es Ihnen möglich sein, Knoten schrittweise zu aktualisieren und mehrere verschiedene Versionen des Firewall-Codes effektiv auszuführen, ohne dabei die Qualität der Überprüfung zu verschlechtern oder die Verfügbarkeit zu unterbrechen. Wenn ein einzelner Firewall- Knoten ausfällt, sollte das Lastausgleichsmodell sicherstellen, dass der gesamte Datenverkehr zugelassen wurde, während dieser an einen anderen Knoten umgeleitet wurde. Dieses nahtlose und dynamische Design gewährleistet eine durchgehende Überprüfung und Richtlinienumsetzung. Kontextbezogene Sicherheit für verfeinerte Zugriffssteuerung Zu den Kernfunktionen von NGFWs zählen Benutzer- und Anwendungssteuerungen. Sie bieten einen großen Vorteil gegenüber Firewall-Regeln zum Blockieren und Zulassen. Doch sobald Unternehmen mit Regeln herumexperimentieren, um diese Steuerungen voranzubringen, erkennen viele, dass benutzerund anwendungsbasierte Regeln noch immer zu simpel sind. Sie funktionieren für die wesentlichen Anwendungen von Angreifern (wie z. B. kostenloses File-Sharing), sind jedoch möglicherweise nicht für komplexere Situationen wie die Nutzung von LinkedIn geeignet. Eine Herausforderung ist, dass wenige IT-Teams über die Einsicht in Benutzer und Anwendungen verfügen, um sich beim Blockieren vollständig sicher zu sein. Sie wollen nicht, dass es so scheint, dass sie willkürlich den Zugriff auf Anwendungen diktieren, um sich dann mit Support-Anrufen von unzufriedenen Benutzern befassen zu müssen. Administratoren bevorzugen den Einsatz von Schwellenwerten, wie die mögliche Häufigkeit, wie oft eine bestimmte Situation in einem bestimmten Zeitfenster oder in der Gruppe oder Reihenfolge von Ereignissen auftritt. Sie wollen Ereignisse korrelieren und aggregieren, einschließlich Ereignisse, die von verschiedenen NGFW-Sensoren erfasst wurden. Diese Gruppierung von Ereignissen und Faktoren bietet eine höhere Gewissheit und Klarheit zu Tätigkeiten von Remote VPN-Nutzung bis zum Surfen im Internet. Sobald Sie diesen Pfad beschreiten, können Sie aus dieser Methode sehr viele Vorteile schöpfen. Zum Beispiel kann die Verbindung von ein- und ausgehenden IP-Adressen bedeutend sein, wenn Administratoren sich um eine bestimmte Insider-Bedrohung, einem bestimmten Botnet oder vermutlichen Angreifer sorgen. All diese kontextbezogenen Steuerungsoptionen ermöglichen es der IT, das Unternehmen zu unterstützen und es gleichzeitig geschützt zu halten. Sicherheitsvorrichtungen sollten auf jeder TCP/IP-Schicht Datenverkehrnormalisierung durchführen. Aber viele Vorrichtungen zur Netzwerksicherheit ziehen Geschwindigkeit der Netzwerksicherheit vor und nehmen daher Abkürzungen. Sie überprüfen nicht alle vier Schichten des TCP/IP-Modells. Auf diese Art kann die Vorrichtung zur Netzwerksicherheit vielleicht schneller arbeiten, aber das Netzwerk ist empfänglich für hochentwickelte Verschleierungsversuche. Advanced Evasion Techniques for Dummies (Hochentwickelte Verschleierungstechniken für Dummies) 3 4 Mehr verlangen

5 Automatischer, hochentwickelter Schutz gegen sich entwickelnde Taktiken Aufeinander aufgesetzte NGFWs verstärken und ergänzen Schutzmaßnahmen und unterstützen dabei bewährte gestaffelte Verteidigungspraktiken. Schadsoftware- und Eindringungsschutz helfen bei der Identifizierung und Blockierung bekannter Schadsoftware sowie von Zero-Day-Bedrohungen, die auf nicht gepatchte Schwachstellen abzielen. Allgemein nutzen diese Systeme Signaturen oder Verhalten zur Identifizierung von böswilligem Code. Zusätzlich ermöglichen es Anwendungssteuerungen der IT, die Angriffsfläche durch Einschränkung der Verwendung riskanter Anwendungen und Inhalte zu verringern. Zusammen stellen diese Funktionen verglichen mit der veralteten Netzwerk-Firewall einen bedeutenden Schritt beim Schutz am Netzwerkrand dar. Es handelt sich um eine besonders leistungsfähige Kombination zum Schutz an entfernten Standorten, bei der Richtlinien und Schutzmaßnahmen zusammen funktionieren, um die Netzwerksicherheitsstrategie von Unternehmen zu verbessern. Jedoch entwickeln Kriminelle laufend neue Wege, um weit verbreitete Schutzsysteme zu umgehen. Während Angreifer vor ein paar Jahren mit Investitionen in Verschlüsselung und polymorphe Schadsoftware erfolgreich sein konnten, dringen die entschlossensten und fortschrittlichsten Hacker von heute in Netzwerke ein, indem sie mit mehreren Schadsoftware-Exemplaren böswilligen Code verteilen häufig sogar verschleiert. Manchmal senden Sie Schadsoftware über eine Reihe von Protokollen wie FTP, HTTP und HTTPS. Dieser Zusatzaufwand ermöglicht es dem Code, die Erkennung durch standardmäßige Signaturen-anpassende, protokollspezifische und Muster-erkennende Schutzsysteme zu umgehen. Um diese Umgehungstaktiken zu bekämpfen, wird der Datenverkehr über die Schichten drei bis sieben normalisiert, der gesamte Datenstrom wird beendet sowie untersucht und die Teile werden zu einem einheitlichen Ganzen zusammengesetzt. Sobald er neu zusammengesetzt ist, kann der Code mittels Signaturen und Mustern überprüft werden. Zusammen mit den anderen Abwehrmaßnahmen in einer NGFW stellt diese Verschleierungstechnik die Spitze der Inline-Netzwerkschutzsysteme dar. Wenn Sie diese Funktionen als Teil Ihrer NGFW erhalten, können Sie die weit verbreiteten Schutzsysteme von morgen in das Netzwerk von heute integrieren. Einheitliche Software-Plattform Diese Reihe an Schutzsystemen sollte Teil einer flexiblen und effizienten Betriebsarchitektur sein. Netzwerksicherheits-Teams sollten die Steuerungs- und Überprüfungsfunktionen von NGFWs in Hinsicht auf Ihre Anforderungen bezüglich Schutzeffektivität und betrieblicher Effizienz beurteilen. Zur effektiven Sicherheit werden Sie die Möglichkeit haben wollen, die fortschrittlichsten Analysen zu implementieren und alle Steuerungen, die Sie einsetzen, voll auszunutzen. Wenn Sie hoffen, ein Gesamtsystem einzusetzen, sollten Sie sich vor Implementierungen vorsehen, die von Ihnen fordern, sich zwischen Schutzsystemen zu entscheiden wie zum Beispiel zwischen Anwendungssteuerung und IPS oder vor solchen, die Überprüfungen oder andere Funktionen bei Spitzenlasten deaktivieren. Auch wenn Sie jetzt mit diesen Einschränkungen leben können oder die Flexibilität mögen, eine Firewall/ein VPN, eine NGFW und ein IPS zu nutzen, wo auch immer Sie meinen, dass es passt, ist eine gemeinsame Software-Architektur für diese Lösungen wünschenswert. Eine gemeinsame Plattform ermöglicht die Zusammenarbeit von Richtlinien und Regeln, um Datenverkehr effizient zu verarbeiten, Rechenressourcen auszuweiten und Anomalien zum Vorschein zu bringen. Da sich Ihre Geschäftsanforderungen, Ihre Netzwerkarchitektur und Ihre Risikolage schnell ändern kann, kann Ihnen ein einheitliches Design helfen, unverzüglich zu reagieren und Firewall-Konfigurationen anzupassen, ohne die Strafen für Hauruck -Upgrades zu zahlen. Eine einheitliche Software-Plattform bietet einen zweiten Vorteil: betriebliche Effizienz. Jahrelange Wartung alter Firewalls hat Sie wahrscheinlich für die Probleme mit der Komplexität von Betriebsabläufen bei Firewalls sensibilisiert. Verwaltung von Regeln, das Hin und Her zwischen Verwaltungskonsolen, Integration von Daten über Tabellen all diese täglichen Bemühungen addieren sich im Laufe eines Jahres zu Wochen. Wenn Sie mehr Firewalls an mehr Orten verwalten, summiert sich diese Arbeitsbelastung auf Monate und diese Belastung wird häufig von einem schrumpfenden Team getragen. Je mehr Funktionen Sie der Firewall hinzufügen, einschließlich Funktionen wie Lastausgleich und VPN, desto höher wird die Wichtigkeit der Effizienzsteigerung. Detaillierte Richtlinien, zum Beispiel, sollten für weitere Firewalls wiederverwendbar sein. Eine zentrale Richtlinienarchitektur bietet praktische Methoden zur Integration einer detaillierten und konsistenten Steuerung in Ihre Firewall-Regeln. Seit dem 4. Quartal 2011 vergrößert sich der Anteil integrierter Sicherheitsanwendungen in jedem Quartal, und Infonetics prognostiziert vierteljährliche Anteilsgewinne bis zum 2. Quartal Network Security Appliances and Software (Appliances und Software zum Schutz von Netzwerken), Infonetics Research, September Mehr verlangen 5

6 Die Integration Ihrer Schutzsysteme in eine Architektur ermöglicht die Integration Ihrer Schutzsysteme auf Management-Ebene, wodurch die Effizienz gesteigert und gleichzeitig Situationsbewusstsein für Netzwerkereignisse geschaffen wird. Das System kann für Sie Protokolle korrelieren und analysieren, Ereignisse in einer gemeinsamen Konsole darstellen und Visualisierungen sowie Analysen bereitstellen, die Ihnen helfen, aufkommende und aktuelle Ereignisse herauszustellen. Einige Unternehmen fordern von der IT, mehrere oder verteilte Domänen zu verwalten: zum Beispiel für verschiedene Organisationseinheiten oder als ein Anbieter für verwaltete Sicherheitsdienste (MSSP Managed Security Service Provider). In diesen Szenarios sollten Sie sicherstellen, dass Sie gemeinsame Aufgaben teilen und die Situation von einem einzigen Bildschirm aus überwachen können, während Sie für jede Domäne eine separate logische Trennung aufrechterhalten. Diese Funktionen sind ein Vorteil der NGFW auf Ihrem Weg zur Cloud. Die Integration und Automatisierung von Richtlinien, Prozessen und Tools innerhalb einer einheitlichen Software-Plattform und -Architektur stellt einen wesentlichen Erfolgsfaktor dar, um aus Ihren Firewalls der nächsten Generation den maximalen Sicherheitswert zu schöpfen. Sie verbessern die Effektivität Ihrer Steuerungen und Gegenmaßnahmen, während Sie den Betriebsaufwand minimieren. Mehr verlangen Ihr Einsatz von NGFWs sollte zu einer erheblichen Erweiterung im Angebot von Schutzsystemen und Steuerungen führen, die Sie in Ihrem Netzwerk anwenden können. Grundlegende NGFW- Funktionen wie simple Anwendungssteuerung sind ein Ausgangspunkt für Ihre Checkliste. Grundlegende Funktionen sind jedoch erst der Anfang. Sie können auch andere wertvolle Funktionen fordern: Eindringungsschutz, Kontextregeln, hochentwickelte Verschleierungsanalysen, gesicherte Zugriffssteuerung und hohe Verfügbarkeit. Verlangen Sie neben Funktionen auch Betriebsleistung. Überprüfen Sie den Ansatz, den Ihre Anbieter verfolgt haben, um die derzeitigen Gegebenheiten zu berücksichtigen: eingeschränkte Fachkenntnisse und administrative Ressourcen konfrontiert mit steigender Nachfrage und der Notwendigkeit von Transparenz, Abwehr-Kreativität sowie Situationsbewusstsein. Fragen Sie, wie sie Ihnen helfen werden, sich Ihrer zukünftigen Arbeitslast anzupassen, Ressourcen zu optimieren und die nächste Welle von Angriffstechniken zu erkennen und unschädlich zu machen. Indem Sie diese Fragen jetzt stellen, können Sie Ihre Investition sowie Ihr Netzwerk schützen und Enttäuschung, Störungen und unnötige Ausgaben im Laufe der Zeit vermeiden. Informationen zu den McAfee-Netzwerksicherheitslösungen McAfee bietet im Rahmen seines Security Connected-Frameworks eine vollständige Palette an Lösungen zur Netzwerksicherheit. Mehr über den Ansatz von McAfee zu Firewalls der nächsten Generation finden Sie auf Informationen zu McAfee McAfee, ein hundertprozentiges Tochterunternehmen der Intel Corporation (NASDAQ: INTC) unterstützt Unternehmen, Behörden und Privatnutzer dabei, die Vorteile des Internets sicher zu nutzen. Das Unternehmen bietet präventive und bewährte Sicherheitslösungen und Services an, mit denen Systeme, Netzwerke und Mobilgeräte weltweit geschützt werden. Mit der visionären Security Connected-Strategie, dem innovativen Ansatz für Hardware-unterstützte Sicherheit sowie dem einzigartigen Global Threat Intelligence-Netzwerk engagiert sich McAfee unermüdlich dafür, seine Kunden zu schützen ebd. 4 McAfee GmbH Ohmstr Unterschleißheim Deutschland +49 (0) McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, Inc. oder der Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Die in diesem Dokument enthaltenen Produktpläne, Spezifikationen und Beschreibungen dienen lediglich Informationszwecken, können sich jederzeit ohne vorherige Ankündigung ändern und schließen alle ausdrücklichen oder stillschweigenden Garantien aus. Copyright 2013 McAfee, Inc wp_demand-ngfw_1013_fnl_ETMG