Fünf Tipps für die nutzerbasierter Zugriffskontrolle
30. Januar 2017Um das Bedrohungsrisiko durch unwissende Nutzer in den Griff zu bekommen, bietet sich eine benutzerbasierte Zugriffskontrolle an. Damit lässt sich der Zugriff auf sanktionierte Anwendungen erlauben, basierend auf Daten zur Benutzeridentität und nicht auf IP-Adressen. Dies verschafft einen Einblick, wer welche Anwendungen im Netzwerk verwendet und welche Dateien übertragen werden und möglicherweise Bedrohungen darstellen.
Bei ordnungsgemäßer Anwendung kann die benutzerbasierte Zugriffskontrolle die Reaktionszeiten bei einem Vorfall reduzieren und das Sicherheitsniveau maßgeblich erhöhen. Die Sicherheitsexperten von Palo Alto Networks haben fünf wichtige Tipps für Administratoren und Sicherheitsverantwortliche zusammengestellt, wie sich User-ID-Technologie optimal nutzen lässt.
1. Es ist dafür zu sorgen, dass man die Benutzerumgebung und Architektur des Unternehmens versteht. Hierzu sollte man sich folgende Fragen stellen: An welchen Standorten ist mein Unternehmen aktiv? Dies können verschiedene Standorte sein, wie etwa Hauptniederlassung/Hauptcampus, Zweigstellen und sonstige entfernte Standorte. Welche Authentifizierungsmethode wird an jedem Standort verwendet? Melden sich Benutzer direkt bei den Verzeichnisservern an oder müssen sie sich an WLAN-Controllern, VPN-Systemen oder Network Access Control (NAC)-Geräten authentifizieren und autorisieren? Was sind die Betriebssysteme an jedem Standort? Es könnten heterogene Umgebungen mit Windows, Mac und Linux oder homogene Umgebungen mit nur einem Betriebssystem existieren. Wie können sich Endpunkte im Netzwerk anmelden? Werden Endpunkte vor der Anmeldung am Netzwerk identifiziert und authentifiziert?
2. Es sind die unterstützten User-to-IP-Mapping-Strategien zu bestimmen und festzulegen, welche verwendet werden sollen. Dabei ist zu klären, welche Benutzer-zu-IP-Zuordnungsstrategien der Next-Generation-Firewall unterstützt werden. Eine Anzahl von Mechanismen werden typischerweise unterstützt, um Benutzer zu identifizieren: Drittanbieter-Proxy-Server, WLAN-Controller, Agenten für Terminaldienste, Verzeichnisdienstprotokolle und vieles mehr. Basierend auf den Erkenntnissen im ersten Schritt, sind dann die User-to-IP-Mapping-Strategien zu wählen, die für Ihre Umgebung gelten.
3. Außerdem ist eine ausgewählte User-to-IP-Mapping-Strategie für Benutzersichtbarkeit aufzustellen. Hier sollte man die ausgewählte Strategie umsetzen, um das Verhalten des Benutzers sichtbar zu machen. Wichtig ist hierbei die Zusammenarbeit mit anderen Teammitgliedern, wie IT-Architekten, Sicherheitsbetreibern und Netzwerkadministratoren. Diese Sichtbarkeit ermöglicht die Identifizierung von Aktivitäten und Nutzungsmustern, die an die Benutzer gebunden sind, anstelle der IP-Adresse, einschließlich Einsichten wie: aktivste Benutzer und Browserverlauf; Top-Anwendungen, die in den letzten 24 Stunden von Nutzern der Marketinggruppe abgerufen werden; oder die Nutzung von Software-as-a-Service (SaaS) für jeden einzelnen Benutzer. Damit stehen wertvolle Daten zur Verfügung, um Kriterien für die benutzerbasierte Zugriffskontrolle zu formulieren.
4. Als weiteren Aspekt sollten die IT-Verantwortlichen sicherstellen, dass Richtlinien vorhanden sind, um die benutzerbasierte Zugriffskontrolle zu rechtfertigen. Bevor man User-ID-Technologie ausrollt, sollte man sicherstellen, dass unterstützende Richtlinien vorhanden sind, um die Zugriffsparameter zu definieren. Typischerweise werden solche Richtlinien durch die Personal- und/oder Rechtsabteilung vorgegeben. Wenn solche Richtlinien nicht vorhanden sind, ist mit den Abteilungen zusammenzuarbeiten, um Richtlinien zu definieren, wobei benutzerbasierte Nutzungsberichte als Leitfaden dienen können. Darüber hinaus empfiehlt sich bei der Definition von benutzerbasierten Zugriffskontrollen diese basierend auf Gruppen, anstatt einzelne Benutzer vorzunehmen. So lassen sich Richtlinien vereinfachen und der Verwaltungsaufwand auf ein Minimum reduzieren.
5. Generell ist eine benutzerbasierte Zugriffsrichtlinie notwendig: Sobald die entsprechenden Geschäftsrichtlinien festgelegt und die Benutzergruppen definiert sind, können benutzerbasierte Zugriffskontrollen implementiert werden. Unternehmen sollte eine Liste von Sicherheitsregeln vorgeben, die akzeptable Anwendungen und Websites auflisten und den Zugriff auf alle anderen verweigern. Anschließend ist diese Richtlinie für die einzelnen Gruppen anzuwenden. (rhh)