Fünf Tipps von Palo Alto zur Implementierung nutzerbasierter Zugriffskontrolle
Das Risiko durch Endnutzerfehler verringern
Die chronische Schwachstelle in der Sicherheitsinfrastruktur von Netzwerken sind laut Palo Alto die Endbenutzer. Dieses Problem verschärft sich noch mit zunehmender Mobilität, so der Security-Hersteller. Demnach wechseln immer mehr Mitarbeiter ständig zwischen Standorten und nutzen mehrere Geräte, Betriebssysteme und Anwendungsversionen, um auf die benötigten Daten zuzugreifen. Daher sei es entscheidend, zu ermitteln, wer die Netzwerkbenutzer - jenseits der IP-Adresse - sind und welche Risiken aus dem jeweils verwendeten Gerät hervorgehen.
Eine benutzerbasierte Zugriffskontrolle kann laut Palo Alto dabei helfen, das Bedrohungsrisiko durch den Nutzer in den Griff zu bekommen. Damit soll sich der Zugriff auf sanktionierte Anwendungen erlauben lassen, die auf Daten zur Benutzeridentität basieren und nicht auf IP-Adressen. Laut Palo Alto verschafft dies einen Einblick, wer welche Anwendungen im Netzwerk verwendet und welche übertragenen Dateien möglicherweise Bedrohungen darstellen.
Des Weiteren könne eine benutzerbasierte Zugriffskontrolle die Reaktionszeiten bei einem Vorfall reduzieren und das Sicherheitsniveau erhöhen, so Palo Alto. Mit fünf Tipps für Administratoren und Sicherheitsverantwortliche will der Security-Hersteller zeigen, wie sich die User-ID-Technologie optimal nutzen lässt.
- Die Benutzerumgebung und Architektur des Unternehmens verstehen
Hierzu sei es zunächst erforderlich, herauszuarbeiten, an welchen Standorten das Unternehmen aktiv ist. Schließlich kann eine Firma neben einer Hauptniederlassung noch Zweigstellen oder sonstige entfernte Standorte haben. Als nächstes gelte es zu erörtern, welche Authentifizierungsmethode an jedem Standort zum Einsatz kommt. Melden sich Benutzer direkt bei den Verzeichnisservern an oder müssen sie sich an WLAN-Controllern, VPN-Systemen oder Network Access Control (NAC)-Geräten authentifizieren und autorisieren? Auch die Frage, welche Betriebssysteme sich an jedem Standort befinden, muss im Vorfeld geklärt sein. Beispielsweise können heterogene Umgebungen mit Windows, Mac und Linux oder homogene Umgebungen mit nur einem Betriebssystem existieren. Außerdem sollen Administratoren in Erfahrung bringen, wie sich die Endpunkte im Netzwerk anmelden und ob diese vor der Anmeldung am Netzwerk identifiziert und authentifiziert werden.
- Ermittlung von unterstützten User-to-IP-Mapping-Strategien
Im nächsten Schritt müssen die Sicherheitsverantwortlichen ermitteln, welche Benutzer-zu-IP-Zuordnungsstrategien die im Unternehmen verwendete Next-Generation Firewall unterstützt. Laut dem Security-Hersteller unterstützen diese typischerweise eine Anzahl von Mechanismen, um Benutzer zu identifizieren. Beispielsweise Proxy-Server von Drittanbietern, WLAN-Controller, Agenten für Terminaldienste oder Verzeichnisdienstprotokolle. Basierend auf den Erkenntnissen aus dem ersten Schritt erfolge dann die Auswahl der User-to-IP-Mapping-Strategie für die eigene Umgebung.
- Verhalten des Benutzers durch Implementierung sicherbar machen
Durch das Implementieren der ausgewählten IP-Mapping-Strategie lässt sich anschließend das Verhalten des Benutzers sichtbar machen. Wichtig sei hierbei jedoch die Zusammenarbeit mit anderen Teammitgliedern wie IT-Architekten, Sicherheitsbetreibern und Netzwerkadministratoren, so Palo Alto. Dadurch sei es anschließend möglich, Aktivitäten und Nutzungsmuster, die an die Benutzer gebunden sind, zu identifizieren. Bei diesen Einsichten handele es sich beispielsweise um aktivste Benutzer und Browserverlauf, Top-Anwendungen, die beispielsweise die Marketing-Gruppe in den letzten 24 Stunden abgerufen hat, oder die Nutzung von SaaS (Software as a Service) für jeden einzelnen Anwender. Anhand dieser Daten lassen sich laut Palo Alto dann Kriterien für die benutzerbasierte Zugriffskontrolle formulieren.
- Benutzerbasierte Zugriffskontrolle mit Richtlinien rechtfertigen
Bevor die User-ID-Technologie ausgerollt wird, sollte der Administrator sicherstellen, dass unterstützende Richtlinien vorhanden sind, um die Zugriffsparameter zu definieren. Laut dem Security-Hersteller gibt die Personal- oder Rechtsabteilung diese normalerweise vor. Sollten solche Richtlinien nicht existieren, rät Palo Alto dazu, gemeinsam mit den Abteilungen Richtlinien zu definieren. Hierbei empfehle es sich, bei der Definition von benutzerbasierten Zugriffskontrollen diese nicht auf einzelne Benutzer, sondern auf Gruppen zu beziehen. Dies vereinfache die Richtlinien und reduziere den Verwaltungsaufwand.
- Implementierung einer benutzerbasierten Zugriffsrichtlinie
Erst wenn die entsprechenden Geschäftsrichtlinien festgelegt und die Benutzergruppen definiert sind, wird die benutzerbasierte Zugriffskontrolle implementiert. Dazu sollte der Administrator eine Liste von Sicherheitsregeln erstellen, die akzeptable Anwendungen und Web-Seiten auflisten und den Zugriff auf alle anderen verweigern. Anschließend soll er diese Richtlinie für die einzelnen Gruppen implementieren.
"Die von den neuen Zugriffskontrollen betroffenen Benutzergruppen werden wahrscheinlich Fragen haben. Kommunikation ist hier der Schlüssel. Lassen Sie die betroffenen Benutzergruppen wissen, was Sie planen, und wann Sie planen, etwas durchzuführen", rät Martin Zeitler, Senior Manager System Engineering bei Palo Alto Networks. "Unternehmen können auch in Erwägung ziehen, ein spezielles Incident-Response-Team zu bilden, um Anfragen im Zusammenhang mit der Implementierung zu bearbeiten und die Informationssicherheit und den Datenschutz bei der Verarbeitung zu gewährleisten."
Weitere Informationen finden sich unter www.paloaltonetworks.com.
Lesen Sie mehr zum Thema
