mobilität und eine neue form von sicherheitsrisiken

SICHERHEIT
ZUSAMMENFASSUNG
MOBILITÄT UND EINE NEUE FORM VON SICHERHEITSRISIKEN
Als Unternehmenssicherheit noch bedeutete, das eigene
Netzwerkperimeter komplett nach außen hin abschotten
zu müssen, um Bedrohungen zu vermeiden, war es für den
IT-Bereich relativ einfach: So lange das Perimeter sicher
war, blieb alles Böse draußen. Ein gesamter Industriezweig
entstand daraus, Netzwerke basierend aufs Ports und
Protokollen abzusichern. Mit der Zeit entwickelten sich die
Dienste der zweiten Generation, welche die tatsächlich
ausgetauschten Pakete überprüften und die Branche
schwenkte von einem statischen auf einen dynamischen
Ansatz um. Zwar wurde die Perimetersicherheit stets
verbessert, aber der Gedanke war immer noch, sich auf die
Bedrohungen von außen zu konzentrieren.
Mit der explosionsartigen Verbreitung von mobilen Geräten
kam es jedoch zu einer radikalen Weiterentwicklung:
der Auswahl eines WLAN-Anbieters unbedingt für
Indem die Nutzer mobil wurden, fingen sie an, potentielle
wirkungsvollere Sicherheitsfeatures sowie für die Integration
Bedrohungen in das Netzwerk hineinzubringen. Die
allerbester Sicherheitslösungen wie Richtlinienverwaltung,
Schätzungen sind unterschiedlich, aber der absolute Großteil
MDM und Firewalls sorgen.
(> 90 %) der Sicherheitslücken in Unternehmen basieren auf
Angriffen, die durch den Verlust sensibler Daten auf nicht
gesicherten Geräten initiiert wurden, sowie auf riskantem
Endnutzerverhalten.
Tatsache ist, dass es fortan das Ziel einer
sicherheitsorientierten IT-Abteilung sein muss, Lösungen
für drahtlose Infrastrukturen von einem umfassenden
Sicherheitsstandpunkt aus zu evaluieren. Einige zentrale
Dies stellt eine drastische Veränderung bei der Sicherheit
Sicherheitsattribute, die eine IT-Abteilung ab sofort für ein
dar und hat auch die Ansicht von Führungskräften
perimerterloses Netzwerk berücksichtigen sollte:
bezüglich des Perimeters insofern verändert, als diese
Bedrohungen Negativschlagzeilen verursachen können,
welche sie möglicherweise sogar ihren Job kosten können.
Um Unternehmensnetzwerke und -ressourcen zu schützen,
müssen sich Organisationen an die Vorgehensweise der
#GenMobile anpassen – mit einem Ansatz innerhalb des
Perimeters. Indem bekannte und vertrauenswürdige
Kontextdaten analysiert werden – die Rolle einer Person
innerhalb einer Organisation, die Geräte und Apps, die
sie verwendet, sowie ihr Standort – lassen sich Richtlinien
erstellen, die das Netzwerk stärken. Wir nennen diesen
Ansatz „Adaptive Trust Defense“ und er besteht im Grunde in
einer Umkehrung der Idee der Perimetersicherheit.
• Rollenbasierte Durchsetzungsmöglichkeiten
• Integrierte Unterstützung externer
Richtlinienverwaltung/RADIUS-Dienste
• Website- und App-Blocking
• Zustandsorientierte Firewall-Datenverkehrsprüfung
• Blacklisting nicht autorisierter Geräte
• Schutz gegen Man-in-the-Middle-Angriffe
• Client-Fingerabdrücke für Gerätekontext und -sichtbarkeit
• Rollenbasierte Durchsetzung für Nutzer und Geräte
• Sicherer Gast – Unternehmensgeräte dürfen nicht in das
Gästenetzwerk gelangen
Durch eine rollenbasierte Durchsetzung kann die IT
unterschiedliche Zugangsrechte zuzuweisen, ohne jedoch
UMSTELLEN AUF SICHERES WLAN
zusätzliche SSIDs oder VLAN-Zuordnungen erstellen zu müssen.
Wenn Unternehmen eine Mobile-first-Strategie umsetzen,
Außerdem kann die IT ohne großen Aufwand Richtlinien
bei der WLAN das drahtgebundene Netzwerk ersetzt,
erstellen, die Nutzer basierend auf deren Rolle, Gerät oder
unterscheiden WLAN-Anbieter primär zwischen Kapazität
Standort daran hindern, auf sensible Inhalte zuzugreifen.
und Durchsatz. Während Bandbreite an und für sich
Zum Beispiel können Dienstleister Zugriff auf proprietäre
wichtig ist, gibt der Faktor der neuen mobilen Bedrohungen
Dokumente erhalten, so lange sie sich im Büro befinden, als
zusehends Anlass zur Sorge. Der IT-Bereich muss bei
Remote-Nutzer jedoch blockiert werden.
ZUSAMMENFASSUNG
MOBILITÄT UND EINE NEUE FORM VON SICHERHEITSRISIKEN
Die Gerätesichtbarkeit ermöglicht es der IT, den Zugriff auf das
Nutzeridentitäten können jetzt Rollen, Standorte, Gerätetypen
Netzwerk über gewisse Geräte oder bestimmte, als verletzlich
und Zugangsmethoden beinhalten, um somit differenzierte,
bekannte Betriebssysteme zuzulassen oder zu verweigern.
auf passgenauen Login-Daten basierende Rechte zu erstellen.
Geräteattribute ermöglichen es außerdem, einen Zugang
Führungskräfte können ganz einfach von Mitarbeitern
über einen Laptop zu erlauben, ihn über ein Smartphone
unterschieden werden, von der IT verwaltete von BYOD-
an externen Standorten hingegen einzuschränken. WLAN-
Geräten, und vor allem können diese Kontextdaten mit
Ausrüstung muss fortan gemeinsame Workflows mit externen
Firewalls, IPS/IDS sowie MDM/EMM-Lösungen geteilt
Sicherheitstools miteinbeziehen können, damit die IT von all
werden. In den meisten Fällen können diese anderen
diesen Möglichkeiten profitieren kann.
Sicherheitslösungen ebenfalls Daten mit ClearPass teilen.
NETZWERKZUGANGSKONTROLLE DER NÄCHSTEN
GENERATION
Netzwerkzugangskontrolle (NAC) bedeutete früher schlicht
Endpunkt-Integritätsprüfungen zur Bestimmung des
Sicherheitsstatus, Zwangsupdates und Änderungen nach
Bedarf. Da sich die Sicherheitsanforderungen durch die
heutigen, mobilen Mitarbeiter verändert haben, hat sich
die Netzwerkzugangskontrolle dahingehend entwickelt,
einfacheres Onboarding und Nutzer-Profiling, einen
verwalteten Gästezugang sowie Richtlinienverwaltung ohne
übermäßige IT-Ressourcen zu ermöglichen.
So können zum Beispiel MDM-Lösungen einen JailbreakStatus oder Daten zu Blacklist-Apps mit ClearPass
teilen, um sicherzustellen, dass nur die Geräte, die den
Sicherheitsstandards entsprechen, die Erlaubnis erhalten,
sich mit einem WLAN-Netzwerk zu verbinden.
DURCHSETZUNG, DIE ÜBER DAS
DRAHTLOSNETZWERK HINAUSGEHT
Für umfangreiche Sicherheit geht die rollenbasierte
Wahrnehmung über das drahtlose Netzwerk hinaus.
Die gleichen Prinzipien wie Profiling und rollenbasierte
Durchsetzung werden auf das gesamte Netzwerk angewandt,
Fortgeschrittene Endpunktsicherheit erfordert Adaptive
unabhängig von Geräteeigentum oder -typ: Ein Laptop
Trust Defense, was Richtlinienverwaltung und die Integration
und ein Drucker sind leicht zu unterscheiden und können
von bereits existierenden oder sich in der Entwicklung
unabhängig von bestimmten Ports einfach den passenden
befindlichen Drittanbieter-Sicherheitslösungen wie
Netzwerkzugang erhalten.
MDM/EMM, Firewalls der nächsten Generation sowie
Identitätsverwaltungslösungen beinhaltet. Die Bereitstellung
von punktuellen Produkten, die unabhängig voneinander
agieren, ist so nicht mehr möglich.
GEMEINSAME RICHTLINIENVERWALTUNG
Aruba ClearPass befindet sich im Zentrum Ihrer
Sicherheitskomponenten, um wertvolle Kontexte in
mit mehreren Anbietern geteilte Sicherheitslösungen
aufzunehmen und zu verteilen. Die geteilte Lösung bietet
ein umfassendes Paket mit End-to-End-Sichtbarkeit
und Sicherungsmöglichkeiten, die die bestehende
Sicherheitsarchitektur verstärken. ClearPass bearbeitet
alle Authentifizierungen und Autorisierungstransaktionen
über rollenbasierten Nutzer- und Gerätekontext, welcher
in traditionellen, perimeterbasierten Sicherheitstools nicht
verfügbar ist.
Der Adaptive Trust-Ansatz verteilt die passgenauen
Kontextinformationen der Nutzer in Echtzeit an das
gesamte drahtgebundene und drahtlose Netzwerk und
erweitert somit das traditionelle Modell der statischen PortKonfiguration basierend auf Ports oder VLAN-Zuweisungen
auf das gesamte Netzwerk.
Die von ClearPass gesammelten Kontextdaten garantieren,
dass Nutzerdaten in einem drahtgebundenen oder
drahtlosen Netzwerk für die IT bezüglich einer in Echtzeit
umsetzbaren Richtlinienänderung nutzbar sind. Diese
Vorgehensweise ist erheblich anpassungsfähiger als
die statischen Nutzerprofildaten, die üblicherweise von
traditionellen Identitätsspeichern an die Firewall übermittelt
werden. Gast- und Besucherinformation sind üblicherweise
gar nicht in diesen Verzeichnissen enthalten, was
Schwachstellen verursacht, die allein eine Richtlinien-Engine
beheben kann.
ZUSAMMENFASSUNG
MOBILITÄT UND NEUE SICHERHEITSRISIKEN
VERNETZEN SIE DIE IT MIT IHRER NUTZERCOMMUNITY
ZUSAMMENFASSUNG
IT-Ressourcen und Aufwand können eingespart werden,
Defense, um alle relevanten Sicherheitskomponenten zur
indem eigenes Eingreifen der Endnutzer und vordefinierte
Absicherung einer mobilen Umgebung zusammenbringen
Richtlinien eingesetzt werden: Das Onboarding der
zu können. Sowohl drahtlose als auch drahtgebundene
Endnutzer kann über einen einfachen, webbasierten
Infrastrukturen benötigen, obwohl primär auf
Workflow eigenständig geschehen und ClearPass erledigt
Geschwindigkeit und Verkehr ausgerichtet, Kontext sowie
den Rest – inklusive der Übertragung der Zertifikate auf das
interne und externe Sicherheitsressourcen, welche in
Gerät. Hinzu kommt, dass durch den Einsatz von ClearPass
Zusammenarbeit sicherstellen, dass Nutzer sicher und
sicherer Gästezugriff und Mitarbeiter-Onboarding zu einem
zielorientiert arbeiten können, unabhängig von ihrem
reibungslosen und sicheren Ablauf werden.
Standort oder Gerät.
Außerdem kann die Richtlinien-Engine von ClearPass
Durch das reibungslose Verbinden von passgenauen
Vorteile außerhalb der Reichweite des Sicherheitsteams
Kontextinformationen von Geräten an eine Richtlinien-
bieten. Dadurch, dass Rollen basierend auf dem Nutzer
Engine und den Datenverkehrsschutz können Unternehmen
sowie der Anwendungsart definiert werden, können QoS-
sicher sein, dass ihre Netzwerke mit Rücksicht auf die
Richtlinien erstellt und automatisch an die WLAN- sowie die
Netzwerk-Sicherheitslücken der nächsten Generation
drahtgebundene Infrastruktur übertragen werden. Zum
entwickelt werden.
Beispiel können WLAN-Infrastruktur-Dienste durchsetzen, dass
Social Media-Apps für Marketing-Gruppen zugänglich sind, nicht
jedoch für den Vertrieb, wo SFDC-Zugang Priorität hätte.
Die heutigen mobilen Mitarbeiter benötigen Adaptive Trust
Weitere Information zu ClearPass und Adaptive Trust
Defense finden Sie unter www.arubanetworks.com/de
IT- und Netzwerksicherheit-Verantwortliche benötigen auch
die Möglichkeit, eine notwendige Sicherheitsposition für
bösartige Endnutzer-Geräte durchsetzen zu können, etwa in
streng regulierten Umgebungen wie im Gesundheitswesen,
wo verschlüsselte Sicherung und segmentierter Verkehr
Pflicht sind. Ein weiteres Beispiel ist eine vertikale
Hierarchie im Bildungswesen: Bezirksverwaltungen können
nutzerbasierte Durchsetzung benötigen, beispielsweise
sollen Lehrer Zugriff auf andere Unterlagen haben
als Schüler, und für bestimmte Anwendungen sind
Einschränkungen der Bandbreite denkbar.
ClearPass ist sowohl für Endnutzer als auch für ITVerantwortliche sinnvoll, da den Endnutzern beim Onboarding
oder der Authentifizierung ermöglicht wird, reibungslos
Kontext in das Richtlinien-Engine einzuspeisen, während ITVerantwortliche sicher sein können, dass die entsprechenden
Attribute eine passgenaue Durchsetzung über alle
bestehenden Netzwerk-Sicherheitslösungen erlauben.
KARL-HAMMERSCHMIDT-STRASSE 36 | 85609 DORNACH | DEUTSCHLAND
www.arubanetworks.com/deEO_AdaptiveTrustDefenseAwareness_110915

Download Report