Zero-Touch Change ManagementBalance zwischen Geschwindigkeit und Sicherheit
30. Januar 2019Die Fähigkeit, Änderungen an Sicherheitsrichtlinien schnell, einfach und effizient vorzunehmen, ist für eine agile Organisation unerlässlich. Dabei spielt die Automatisierung eine wichtige Rolle. Aber es ist wichtig, zu verstehen, wie man das richtige Gleichgewicht zwischen Geschwindigkeit und Sicherheit findet, um weder in mühsame, manuelle Prozesse zu verfallen und gleichzeitig sicherzustellen, dass menschliche Eingriffe bei Bedarf zuverlässig erfolgen.
Um dieses Gleichgewicht zu erreichen, lohnt es sich, zu betrachten, wie der typische Änderungsprozess an einer Firewall aussieht. Dabei sind vier Schritte von Bedeutung:
- Die Änderung beginnt in der Regel mit einer Anfrage, den Datenverkehr von einer Quelle zu einem Ziel unter Verwendung eines bestimmten Protokolls zuzulassen. Ein Beispiel wäre die Anfrage, den Datenverkehr von 1.1.1.1 zu 2.2.2.2 unter Verwendung von HTTPS zuzulassen.
- Anschließend gilt es, den Änderungsauftrag zu planen. Das heißt, die Firewalls, die modifiziert werden sollen, um diesen neuen Verkehrsweg zu ermöglichen, müssen identifiziert werden. Des Weiteren müssen die vorgeschlagenen Änderungen überprüft werden, um sicherzustellen, dass sie keine Sicherheits- oder Compliance-Richtlinien verletzen.
- Der Änderungsauftrag wird dann in einen technischen Arbeitsauftrag übersetzt. In der Regel handelt es sich um eine Tabelle, in der alle Felder in der Sprache der Geräte, mit denen der Änderungsauftrag ausgeführt wurde, ausgefüllt sind.
- Schließlich muss der Arbeitsauftrag über die relevanten Firewalls implementiert und dann überprüft werden, um sicherzustellen, dass er korrekt umgesetzt wurde und dass alles wie erwartet funktioniert.
Automatisierung vs. Kontrolle
Auf dem Markt gibt es Lösungen, die diesen Workflow halbautomatisieren: Nach der Anfrage kann die Planungsphase durch Routing-Analyse automatisiert werden, um die relevanten Firewalls zu finden. Die Risiko- und Compliance-Prüfungen sowie die Erstellung des Arbeitsauftrags können ebenfalls semi-automatisch erfolgen.
Die Implementierung kann entweder manuell erfolgen, sodass der Administrator sich umständlich den Weg durch die Benutzeroberfläche der einzelnen Firewall-Anbieter erarbeiten muss, oder semi-automatisch über die API-Aufrufe des Anbieters, die durch den Anwender mit dem Klick auf eine Schaltfläche ausgelöst werden.
Der Vorteil des semi-automatischen Prozesses besteht darin, dass die Teams für Informationssicherheit und Netzwerkarchitektur ein entscheidendes Maß an Kontrolle behalten. Wenn in einer der Phasen etwas schief geht, etwa weil hohe Risiken identifiziert oder Informationen von einem Schritt zum nächsten falsch übersetzt werden, dann kann der menschliche Nutzer den Prozess stoppen, untersuchen und entweder das Problem beheben oder manuell schnell eine Ausnahme bearbeiten.
Eine Alternative sind „Zero-Touch“-Orchestrierungslösungen, die Änderungsanfragen beschleunigen können, sodass es von der Anfrage bis zur Implementierung nur wenige Minuten dauert. Eine solche Orchestrierung umgeht jedoch in der Regel den Change-Prozess: Die eingegebenen Informationen gelten als valide und werden so wie sie sind in die Sicherheitsvorrichtungen eingespeist. Diese Geschwindigkeit ist zwar äußerst vorteilhaft für Unternehmen, die so agil wie möglich sein müssen oder DevOps-Methoden verwenden, hat aber auch ihren Preis.
Der Preis ist, dass es wenig Kontrolle über den Prozess gibt. Wenn die Befolgung der Anfrage in ihrer jetzigen Form Risiken oder Compliance-Verstöße verursacht, wenn Informationen fehlen oder wenn die Firewalls nicht genau identifiziert werden, dann könnte eine berührungslose Orchestrierung möglicherweise zu einer Fehlkonfiguration der Sicherheitsvorrichtungen führen. Dies kann ein erhebliches Sicherheitsrisiko darstellen oder kritische Netzwerkströme unterbrechen. So oder so, es ist ein potenziell großes, operatives Problem.
Die richtige Balance finden
Die Frage ist, wie sich das richtige Gleichgewicht zwischen den beiden Ansätzen finden lässt. Der beste Ansatz besteht darin, die Geschwindigkeit und Effizienz der „Zero-Touch“-Orchestrierung zu nutzen und konditionale Logik in sie einzubetten, um Probleme zu erkennen, bevor sie einen großen Einfluss auf die Sicherheitskonformität und Verfügbarkeit von Anwendungen haben.
Im Wesentlichen besteht dieser Ansatz darin, jeden Schritt im Change Management mit „Zero-Touch“-Technologie zu automatisieren und dann in einzelne Bedingungen zu verpacken. Sobald beispielsweise ein Änderungsauftrag definiert ist und die Lösung alle relevanten Firewalls identifiziert, die geändert werden müssen, überprüft ein automatisierter Prozess, ob es sich um sinnvolle Firewalls für den Änderungsauftrag handelt. Wenn die Firewalls korrekt identifiziert wurden, fährt der automatisierte Prozess ohne Eingriffe mit dem nächsten Schritt fort.
Wird jedoch bei der Überprüfung ein Problem festgestellt, weil etwa eine ungewöhnliche Anzahl von Firewalls identifiziert oder gar keine gefunden wurde, stoppt der Prozess, und das System gibt eine Warnmeldung aus. Jetzt kann ein Netzwerkadministrator eingreifen. Ebenso löst der automatisierte Prozess eine Risikoüberprüfung aus und geht nur dann zum nächsten Schritt über, wenn keine Risiken erkannt werden. Sobald ein Risiko deutlich wird, stoppt der automatisierte Prozess.
Dadurch können normale Änderungsprozessanforderungen innerhalb von Minuten von der Anfrage bis zur Implementierung durchgeführt werden, ohne dass das IT-Personal einspringen muss, um bereits getätigte Schritte der Änderung erneut zu überprüfen. Mit einem effektiven Management der Sicherheitsrichtlinien sollte dies in den allermeisten Fällen geschehen. Wird jedoch aus irgendeinem Grund ein Problem gemeldet, kann ein manueller Eingriff am richtigen Ort im Änderungsprozess erfolgen. Und in beiden Fällen wird der Prozess durch einen vollständigen Audit Trail und die Historie für jede Phase unterstützt, unabhängig davon, ob sie automatisch oder manuell angestoßen wurde.
Entscheidend ist, dass durch diese Automatisierung auch keine Prozessschritte verpasst werden. Manuelle Übersteuerungen müssen nur dann vorgenommen werden, wenn sie tatsächlich zur Behebung eines Problems erforderlich sind. Das Ergebnis ist ein effizienteres IT-Team und effizientere und sicherere Firewall-Veränderungsprozesse, die Unternehmen die Agilität und Geschwindigkeit von Zero-Touch bei gleichzeitigem Verlust der Kontrolle geben.
Prof. Avishai Wool ist CTO bei AlgoSec
Hier geht es zu Algosec