Fachartikel

Die Zukunft von Network Security Operations

Nachdem die Netzwerksicherheit einige Zeit ausgelagert war, entschied sich der Energieversorger RWE Supply & Trading dazu, sie wieder zurück ins Haus zu holen. Gesucht war eine Lösung für das Management von Sicherheit und Konnektivität mittels einer einzigen Konsole für mehrere Länder, Anbieter und Plattformen. Mit einer "Cloud First"-Strategie und Investitionen in DevOps suchte RWEST nach dem richtigen Werkzeug, um das Netzwerk ohne Kompromisse bei Sicherheit und Compliance in die Zukunft zu führen. Der Anwenderbericht zeigt, wie sich dabei auch ein hybrides Netzwerk koordinieren und absichern ließ.
Änderungen an Sicherheitsprozessen müssen transparent und stets nachvollziehbar sein.
Die RWE AG ist mit über 20 Millionen Stromkunden und 10 Millionen Gaskunden, größtenteils in Europa, der zweitgrößte Versorger in Deutschland. RWE Supply & Trading (RWEST) agiert als europäischer Energieversorger und fungiert als Schnittstelle zwischen den operativen Gesellschaften des RWE-Konzerns und den globalen Großhandelsmärkten für Energie und energienahe Rohstoffe, sowohl in physischer als auch in derivativer Form.

RWEST suchte nach der richtigen Lösung, um den Netzwerkbetrieb in die Zukunft zu führen, ohne dabei Kompromisse bei Sicherheit und Compliance einzugehen. Ein Werkzeug wurde erforderlich, das die Sicherheit konsolidieren und die Konnektivität über ein hybrides Netzwerk koordinieren konnte, einschließlich Legacy-Firewalls und -Routern, Next-Generation-Firewalls und Cloud-Plattformen.

Mehr Sichtbarkeit und Überprüfbarkeit
Im Jahr 2013 musste RWEST wieder Einsicht in die Konfigurationen der Firewalls gewinnen und wie Richtlinienänderungen vorgenommen werden. Zu diesem Zweck entschied sich der Outsourcing-Anbieter für Tufin SecureTrack, das eine Überwachung von Änderungen der RWEST-Netzwerk-Firewalls in Echtzeit bietet. Das Network-Operations-Team erlangte zum einen bessere Sichtbarkeit und zum anderen auch die Erkenntnis, dass der Änderungsprozess optimiert werden sollte, um eine bessere Auditierbarkeit durch Nutzung der Automation zu ermöglichen.

Da die Einhaltung der Richtlinien Pflicht war, entschied sich RWEST, einen Änderungsprozess aufzubauen, der den RWE-Standards entspricht und vollständig auditierbar ist. Der nächste Schritt war die Rationalisierung des Änderungsprozesses und das Ersetzen der E-Mail-Genehmigungen, um für ein internes Audit gewappnet zu sein. Das Network-Operations-Team begann damit, Tufin SecureChange zur Rationalisierung und Automatisierung des Änderungsprozesses zu evaluieren. Kurz nach der Implementierung konnte das Team einen auditierbaren Workflow-Prozess einrichten, 500 vorhandene Anfragen importieren und für das Audit gewappnet ins neue Jahr starten.
Einsicht und Kontrolle für AWS Security
RWEST verfügte bereits über ein hybrides, herstellerübergreifendes Netzwerk mit Legacy- und Next-Generation-Firewalls, als sie beschlossen, diese Mischung mit Amazon Web Services (AWS) zu ergänzen. Die Einführung der Cloud verbessert die Skalierbarkeit und Agilität zwar erheblich, birgt jedoch einige Herausforderungen in Bezug auf Sicherheitskontrollen und Einhaltung der Richtlinien. Wie in vielen anderen Organisationen hat RWEST ein "Cloud-Team" gegründet, das sich um die AWS-Umgebung kümmert und für AWS-Sicherheitsgruppen verantwortlich ist.

Um Einsicht und Kontrolle über die AWS-Sicherheitskonfiguration zu erhalten, überwacht das Netzwerkbetriebsteam mit Tufin AWS VPCs, Instanzen, Sicherheitsgruppen und Zugriffsregeln und erstellt außerdem regelmäßige Berichte, die sich mit anderen Teams teilen lassen. Durch die Verwendung können die Teams Sicherheitsverletzungen in AWS identifizieren und sicherstellen, dass diese behoben werden. Außerdem lässt sich der Nord-Süd Verkehr, der über AWS und die Netzwerk-Firewalls stattfindet, vollständig von einer einzigen Konsole aus steuern.

Automatisierte Risikoanalyse beschleunigt Umsetzung
Neben der Erhöhung der Komplexität des RWEST-Netzwerks verdreifachte die Einführung von AWS die Anzahl der erforderlichen Richtlinienänderungen, um die Konnektivität mit lokalen Ressourcen zu ermöglichen. Anwendungsentwickler richten Ressourcen in Minuten ein und müssen für die Einrichtung der Anwendungskonnektivität entsprechend agil sein. Das Netzwerkbetriebsteam wurde mit der zeitnahen Verarbeitung aller Firewall-Änderungen beauftragt, stellte jedoch fest, dass Sicherheitsgenehmigungen zu Verzögerungen führten.

Um die Änderungsprozesse zu beschleunigen, ohne die Einhaltung der Richtlinien zu gefährden, begann das Team mit der automatisierten Risikoanalyse in Tufin SecureChange. Die proaktive Identifizierung potenzieller Verstöße und die Analyseergebnisse, die an das Sicherheitsteam gesendet werden, beschleunigten Änderungswünsche, verbesserten die Sicherheit und erhöhten die Produktivität des Sicherheitsteams, indem sie sich dadurch auf risikoreiche Änderungen konzentrieren konnten, anstatt bei jeder Änderung wertvolle Zeit aufwenden zu müssen.

Mehr Geschwindigkeit für DevOps
"Wir haben 60 Entwickler, die Server in Minuten einrichten können und ständig Änderungen der Konnektivität anfordern. Sie denken nicht über IP-Adressen, Ports und Protokolle nach. Sie mögen Tufin, weil sie die Regeln einsehen können, die die Verbindung zu ihren Anwendungen blockieren. Sobald die Änderung implementiert ist, können sie die Statusänderung sehen", so Ralf Buchroth, Network Operations Expert.

Die einzige Möglichkeit, den Prozess vollständig zu automatisieren und mit den Entwicklern Schritt zu halten, bestand darin, sie die Konnektivität überwachen zu lassen und ihre Anforderungen daran direkt zu übermitteln. Tufin SecureApp macht dies zusammen mit einem angepassten Entwicklerportal möglich, indem Anforderungen der Anwendungskonnektivität automatisch verarbeitet werden und die Notwendigkeit einer manuellen Übersetzung in IP-Adressen, Ports und Protokolle entfällt. Dies wird die Arbeit des Network-Operations-Teams künftig reduzieren und die Zufriedenheit der RWEST-Anwendungsentwickler erhöhen.

Fazit
Das Managementteam zeigt sich mit der neuen Lösung zufrieden. Es kommt zum einen zu weniger Beschwerden, dass Änderungsprozesse im Security-Bereich zu langsam sind. Zum anderen behalten die Verantwortlichen den Überblick über die wachsende Menge an Änderungen, den Level der Komplexität der Änderungen und die Prozessengpässe.
18.07.2018/ln/Pierre Visel, Regional Director DACH bei Tufin

Nachrichten

Letzte Verteidigungslinie gegen Ransomware [20.08.2018]

GRAU DATA präsentiert mit 'Blocky' eine Ransomware-Schutzsoftware für Veeam-Nutzer. Ziel der Neuvorstellung ist es, Anwendern von 'Veeam Backup & Replication' die Möglichkeit zu geben, Windows-basierten Ransomware-Schutz nahtlos in ihre Sicherungs- und Wiederherstellungsvorgänge zu integrieren. Der Hersteller sieht das Produkt als 'The Last Line of Defense'. [mehr]

USB-Geräte unter Kontrolle [17.08.2018]

Die USB-Device-Management-Lösung SafeConsole von DataLocker steht ab sofort in Version 5.3.2 zur Verfügung. Sie bietet unter anderem erweiterte Optionen bei der Vergabe von Administrator-Rechten, um eine granulare Verwaltung von Benutzergruppen zu ermöglichen. Daneben hat der Hersteller die Laufwerks- und Benutzeransicht übersichtlicher gestaltet. [mehr]

Sicheres Zuhause [16.08.2018]

Tipps & Tools

Praktische Ablage für Webseiten [21.08.2018]

Oft stoßen Webnutzer auf interessante Seiten, die sie gerne später in Ruhe lesen möchten. Ein Weg sind Lesezeichen im Browser. Deutlich flexibler zeigt sich jedoch der Dienst 'Getpocket'. Dieser legt die zu merkenden URLs für eine spätere Verwendung einfach online ab, wobei auch Videos oder Bilder speicherbar sind. [mehr]

Download der Woche: NetLimiter [20.08.2018]

Selbst in Zeiten sogenannter Datenflatrates im Mobilfunk ist eine Kontrolle des Volumens hilfreich. Denn oft haben die von Anbietern beworbenen Flatrates durchaus ein monatliches Limit. Und auch im Ausland sollte besser sparsam gefunkt werden, besonders, wenn der mobile Windows-Rechner über das Handynetz kommuniziert. Hier hilft das kostenfreie Tool 'NetLimiter' weiter. [mehr]

Buchbesprechung

VoIP Praxisleitfaden

von Jörg Fischer und Christian Sailer

Anzeigen