Drei grosse Vorteile

Reto Zürcher ist Product Manager von Open Systems, Zürich. www.open.ch

In einem globalen Netzwerk werden immer häufiger operative Anforderungen an die IT gestellt, welche sich auf einzelne Standorte beschränken. Die Folge: Die Anzahl der Konfigurationen steigt und jeder Standort wird zur Insellösung. Die Herausforderungen sind vielfältig, denn die Konfigurationen müssen compliant zur globalen Security-Policy gehalten und ihre Auswirkungen untereinander mit einem Gesamtblick auf das Netzwerk erkannt werden. Zudem müssen sie periodisch gesichert und fachmännisch implementiert werden.

Ein Lösungsansatz, der häufig gefahren wird, besteht in simplem Reporting. Alle Standorte rapportieren Änderungen an der bestehenden Konfiguration an eine zentrale Stelle, welche sie mit der globalen Security Policy abgleicht. Die Auswirkungen auf den restlichen Perimeter werden errechnet und alle weiteren Aufträge an die betroffenen Stellen erteilt. Bei diesem Ansatz geht die Kontrolle über das Netzwerk verloren und der Netzwerkstatus ist bis zur vollständigen Umsetzung der Änderungen ungewiss.

In der Folge werden Sign-Off-Prozesse eingeführt: Änderungen werden bei der zentralen Stelle beantragt und gemeinsam nach dem Review implementiert. Durchsetzung und Koordination bringen aber einen wesentlichen betrieblichen Aufwand mit sich. Daher ist der nächste Schritt - und dieser ist sogleich der Ansatz, welcher heute zum Grossteil zur Anwendung kommt - das zentrale Management: Die Anträge treffen an einer Stelle zusammen, durchlaufen dort einen Review-Prozess und werden dann von der gleichen Stelle ausgerollt.

Dieses Vorgehen führt aber häufig zu Problemen in der technischen und betrieblichen Umsetzung. Kann die Informatikabteilung aufgrund von Überlastung oder technischen Limiten den lokalen Bedürfnissen nicht nachkommen, verhindert sie die effiziente operative Tätigkeit des gesamten Unternehmens.

Die Herausforderung, die sich der IT stellt, ist durchaus vergleichbar mit der Finanzbuchhaltung. Einerseits gelten unternehmensweite Richtlinien und andererseits müssen länder- und regionsspezifische Gesetze beachtet werden. Die Parallele zur Perimetersicherheit zieht die Distributed Firewall. Sie besteht - analog zum Kontenplan - aus einer einzigen Policy, welche aus globalen und lokalen Elementen besteht und zentral verwaltet wird. Wie ein landesspezifischer Finanzauszug wird die Policy der Distributed Firewall automatisch an das jeweilige Umfeld des Standorts abgeleitet und auf allen notwendigen Elementen umgesetzt.

Die Distributed Firewall hat gegenüber dem Multi-Konfigurationsansatz drei überzeugende Vorteile:

Erstens wird das WAN entlastet und die User Experience steigt. Das einfache und übersichtliche Ausrollen der Policy in die Standorte erlaubt lokale Regeln und der spezielle Verkehr muss nicht mehr über die zentralen Hubs geleitet werden. Dies führt gerade bei lokalen Zugriffen zu massiv kürzeren Antwortzeiten.

Zweitens reduziert sich der operative Aufwand. Durch die Übersichtlichkeit der Single-Policy-Firewall und der modularen Übertragbarkeit der -Regeln wird die Verwaltung im Vergleich zu einer Multi-Policy-Firewall entscheidend erleichtert.

Dritter Vorteil einer Distributed Firewall ist der zentrale Audit-Trail. Die Nachvollziehbarkeit von Änderungen und Erweiterungen der Policy wird auf einen Punkt konzentriert und kann somit einfacher umgesetzt werden.

Werden zudem dynamische Automatismen mit standortbezogener Objektgenerierung und Installationszielen im Gesamtpaket eingeschlossen, gewinnt die Distributed Firewall sowohl aus operativer wie auch aus finanzieller Sicht nochmals zusätzlich an Attraktivität.