Nach einem Bericht der Enterprise Strategy Group besitzen bereits zwei von drei US-Unternehmen mit mehr als 1.000 Mitarbeitern eine Private-Cloud-Infrastruktur, und 90 Prozent nutzen mehr oder weniger intensiv Public-Cloud-Angebote wie IaaS oder PaaS. Die hybride Cloud ist dort also schon weitgehend der Normalzustand. Doch bei allen Gewinnen an Effizienz und Flexibilität stellt die Verlagerung großer Teile der IT völlig neue Anforderungen an die IT-Sicherheitsstrategie und den Betrieb der entsprechenden Infrastruktur.Einer der wesentlichen Gründe dafür ist die immense Komplexität heutiger Netzwerke. Es wird immer schwieriger, einen Überblick darüber zu behalten, wie die einzelnen Elemente auf den verschiedenen Schichten der IT-Infrastruktur miteinander interagieren. Bewegt man zum Beispiel eine Workload zwischen physischen und Cloud-basierten Komponenten dieser Infrastruktur, muss man nicht nur über entsprechende Firewall-Regeln den reibungslosen Zugriff darauf gewährleisten: Dies muss zudem auf eine Art und Weise erfolgen, die die Compliance und die Einhaltung der Sicherheitsrichtlinien gewährleistet. Für die Verantwortlichen bedeutet dies, dass sie Security Policies in physischen Umgebungen, in privaten und in gegebenenfalls unterschiedlichen öffentlichen Clouds konsistent implementieren und durchsetzen müssen. In größeren, dynamischen Umgebungen ist dies eine erhebliche Herausforderung.
Die Agilität, die man durch Virtualisierung und „Cloudifizierung“ gewinnt, bringt es naturgemäß mit sich, dass ständig und vor allem schnell eine große Zahl von Zugriffsregeln in Dutzenden oder gar Hunderten von Firewalls modifiziert werden muss. Auch Cloud Security Groups, Load Balancer oder andere Sicherheitssysteme können von solchen Veränderungen betroffen sein. Erschwerend kommt hinzu, dass oft unterschiedliche Teams mit der Implementierung solcher Changes befasst sind, die nicht notwendigerweise optimal zusammenarbeiten – und sei es nur, weil sie nicht die gleichen Informationen besitzen.
 
Jede Migration ist ein Risiko
Jeder einzelne Migrationsprozess innerhalb einer hybriden Cloud ist mit Risiken behaftet, da er zu Ausfällen führen kann. Zwar gibt es heute Tools für die Verlagerung von Anwendungen oder Workloads mit minimalen Auswirkungen auf den laufenden Geschäftsbetrieb. Doch ohne die notwendige Aktualisierung der Netzwerkkonfiguration und der Sicherheitsrichtlinien bleibt dies eine Illusion. Im Extremfall läuft die Anwendung dann zwar reibungslos in der Cloud statt wie zuvor auf dem physischen oder virtuellen Server im Hause, aber die Anwender können nicht darauf zugreifen, weil Firewall-Regeln oder Sicherheitsrichtlinien sie daran hindern.
Noch gravierender ist jedoch oft die Möglichkeit, während der Migration unbemerkt neue Risiken einzuführen und Sicherheitslücken aufzureißen, während man Anwendungen von einer Plattform auf die andere verschiebt. Gerade weil die Unternehmen die Ausfallzeiten minimieren wollen, tendieren viele dazu, während des Migrationsprozesses vor allem Wert auf die Anbindung der Applikationen und damit den ununterbrochenen Geschäftsbetrieb („Business Continuity“) zu legen.
 
Freizügige Konfiguration
Die IT-Organisationen konfigurieren die Firewalls daher tendenziell zunächst einmal eher zu permissiv – Connectivity geht vor Sicherheit. Natürlich ist der Plan dabei, zu großzügige Berechtigungen später wieder zurückzunehmen, wenn die Migration erst einmal erfolgreich abgeschlossen ist – doch gar zu oft gerät dies im Tagesgeschäft wieder in Vergessenheit. Bedenkt man, dass in agilen virtuellen und Cloud-Umgebungen solche Verlagerungsprozesse praktisch ständig ablaufen, kann man die Dimension dieses Problems leicht erahnen. Auch die Compliance gerät dabei in Gefahr, zumal es bei manuell und von verschiedenen Teams durchgeführten Änderungen in der Regel keinen umfassenden Audit Trail, sondern nur eine Sammlung von Excel-Dateien gibt.
Um Business Continuity, Sicherheit und Compliance in derart heterogenen Umgebungen wie hybriden Clouds zu gewährleisten, ist die Auswahl der richtigen Werkzeuge essenziell. Manuelle Prozesse können einfach nicht mehr mit der automatisierten Provisionierung und Workload-Verlagerung mithalten. Orchestrierung ist daher das Schlagwort der Stunde, doch zu oft bezieht es sich nur auf eine automatisierte Kommunikation zwischen einzelnen Sicherheitslösungen wie Firewall und IDS (Intrusion Detection System). Was in den meisten Umgebungen fehlt, ist die Orchestrierung auf einer höheren Ebene, die es erlaubt, die Implementierung unternehmensweiter Sicherheitsrichtlinien über sämtliche Plattformen, Netzwerke und Systeme hinweg zu überwachen und zu automatisieren.
 
Holistische Sicht
Es gibt allerdings mittlerweile Anwendungen, die genau eine solche Orchestrierung von Sicherheitsrichtlinien ermöglichen. Sie bieten eine holistische Sicht auf die gesamte heterogene Umgebung und erlauben ein automatisiertes Change-Management von Security Policies – vom Design über die Implementierung bis hin zur Nachverfolgung für die Auditierung. Basis ist in der Regel ein Werkzeug zur automatischen Erkennung und Dokumentation der in den physischen, virtuellen und Cloud-Umgebungen des Rechenzentrums laufenden Anwendungen sowie deren Anforderungen an das Netzwerk.
Ein solches Tool analysiert sowohl die Firewalls als auch den Netzwerkverkehr, um die Kommunikationsstränge der einzelnen Server aufzudecken – einschließlich der relevanten Ports, der Quellen und der Ziele. Alle Information werden dann in einem zentralen Repository gespeichert, das alle für die Change-Prozesse notwendigen Daten zur Verfügung stellt. Quasi als Nebeneffekt erhält man bei dieser Analyse auch wertvolle Informationen über gar nicht genutzte Regeln – etwa, weil die zugehörige Anwendung nicht mehr existiert.
Das zentrale Repository erlaubt vor jeder Veränderung, beispielsweise einer Server-Migration, die schnelle und automatisierte Identifikation aller Firewalls und Regeln, die bisher den dann erforderlichen Verkehr einschränken. Auch die Frage, ob neue Objekte anzulegen oder bestehende zu modifizieren sind, lässt sich mittels einer Firewall-Analyse einfacher und schneller beantworten. Zudem ist es ohne ein solches Hilfsmittel in komplexen Umgebungen oftmals sehr schwer, bestehende Regeln zu identifizieren, die möglicherweise die neuen Regeln ausschließen, also dazu führen, dass diese niemals durchlaufen werden.
Ein umfassende Analyse ermöglicht dem Operations-Team, schnell zu erkennen, welche Firewalls sie wie aktualisieren müssen. Erfolgen kann die Implementierung dann manuell oder ebenfalls automatisiert durch ein weiteres Tool, das auf die Ergebnisse der Analyse zugreift. Manche dieser Werkzeuge ermöglichen vor der Implementierung zudem eine Simulation, sodass man neue oder veränderte Regeln nicht erst im produktiven Betrieb und mit ungewissem Ausgang testen muss.
 
Kompletter Audit Trail statt Excel Sheets
Die automatisierte Firewall-Analyse sowie die über einen entsprechenden Workflow ebenfalls automatisierte Planung und Implementierung von Veränderungen ermöglichen den Netzwerk- und Security-Teams, vollumfänglich von der Agilität ihrer Infrastruktur mit physischen, virtuellen und Cloud-basierten Systemen zu profitieren. Denn die langwierige manuelle Konfiguration der Sicherheitsinfrastruktur bremst die schnelle Migration von Servern oder Workloads nicht mehr aus. Die Automatismen bilden zudem die Basis für ein ebenfalls automatisiertes und umfassendes Auditing der Firewall-Umgebung durch ein entsprechendes Tracking-Tool.
Wann immer auf einer Firewall eine neue Policy installiert wird, kann eine solche Lösung damit automatisch einen vollständigen Report mit Informationen über Änderungen und den aktuellen Zustand der Firewalls generieren. Sie speichert alle relevanten Informationen aus sämtlichen Analyseläufen, sodass ein kompletter Audit Trail der gesamten Netzwerkinfrastruktur entsteht. Damit hilft eine solche Orchestrierung auch, Compliance-Anforderungen etwa nach Basel II, Sarbanes-Oxley, ISO 27001, HIPAA oder PCI-DSS zu erfüllen.

Security-Orchestrierungswerkzeuge leben von der breiten Unterstützung von Firewall- und Cloud-Plattformen. Bild: Tufin

LANline.