Blog
Umsetzung Netzwerk-Zonenkonzept in der Praxis
Viele Unternehmungen und Organisationen sind dabei ihr Netzwerk in verschiedene Zonen aufzuteilen.
Im einfachsten Fall werden die Server von den Clients getrennt oder es werden äusserst umfangreiche Zonenkonzepte erstellt. Im Wesentlichen geht es immer darum, Systeme mit demselben Zweck und demselben Schutzbedarf in Netzwerkzonen zusammenzufassen. Damit ein Zonenkonzept erfolgreich umgesetzt werden kann, sind bereits bei dessen Erstellung einige Punkte zu beachten.
Zonenkonzept
Bereits bei der Erstellung des Zonenkonzepts sollte nicht der Anspruch bestehen, 100% der in der Praxis auftretenden Fälle abdecken zu wollen. Ein Ausnahmeprozess ist immer notwendig und es muss eine Vorstellung existieren, was sein muss und was mittels Ausnahmeregelung gehandhabt werden kann. Es sollen möglichst wenige Zonen realisiert werden, die in weitere Subzonen unterteilt werden können. Die Anforderungen für neue, zusätzliche Zonen sollen klar und entsprechend hoch sein.
Da es sich bei einer Netzwerkzonierung um ein anspruchsvolles Vorhaben mit höchst unterschiedlichen Anforderungen handelt, ist es wichtig, dass der Auftraggeber für alle Beteiligten weisungsbefugt ist und dass Vorgaben seitens Business, was überhaupt geschützt werden soll, existieren. Es ist äusserst hilfreich, wenn in einer Unternehmung eine Klassifizierung der Daten existiert und man so weiss, was es zu schützen gilt.
Auf Ebene Security, IT-Architektur, Engineering und Betrieb existieren völlig unterschiedliche, nicht kompatible Anforderungen. So muss es für die Security möglichst sicher, für die IT-Architektur und das Engineering möglichst klar und durchgängig strukturiert und für den Betrieb möglichst einfach in der Sache und auch einfach zu handhaben sein.
Zu Beginn eines solchen Vorhabens geht es darum die Begrifflichkeiten festzulegen damit alle Beteiligten das Gleiche unter einem Begriff verstehen. Beispielsweise bedeutet schon der Begriff Netzwerkzone nicht zum Vornherein für alle Beteiligten das Gleiche.
Umsetzung des Zonenkonzepts
Die Umsetzung eines Netzwerk-Zonenkonzepts besteht aus der Konzeptionsphase, dem Aufbau der Sicherheitselemente um die Zonen abzubilden und der Migration der Applikationen, respektive deren Infrastruktur in die verschiedenen Netzwerkzonen.
Für das Bereitstellen der Sicherheitselemente zwischen den Netzwerkzonen wäre es wichtig zu wissen, welche Kommunikationsverbindungen von den Applikationen benötigten werden. Um zu diesen Angaben zu kommen ist es wichtig, dass die Applikationsverantwortlichen bekannt sind und diese die Kommunikationsanforderungen ihrer Applikationen kennen. Es ist jedoch nicht realistisch davon auszugehen, dass dies immer der Fall sein wird. Es gibt unterschiedliche Methoden mit dieser Problematik umzugehen. Eine häufig angewendete Vorgehensweise ist, die bekannten Kommunikationsverbindungen auf den Sicherheitselementen abzubilden und am Ende des Regelwerks eine «forward any» Regel einzubauen. Dies mit dem Ziel, die «forward any» Regel nach dem Migrieren einer Applikation durch spezifische Regeln zu ersetzen und erst dann die nächste Applikation zu migrieren, wenn diese Regel nicht mehr benötigt wird.
Ein Migrationsteam muss in der Lage sein, alle Belange einer solchen Migration abzudecken. Je nach Migrationsvorgehen sind Security- und Netzwerk-Engineers, Applikationsbetreiber und -Tester und auch Lieferanten der Applikation notwendig, um eine Migration erfolgreich durchzuführen. Der Migrationsverantwortliche erstellt das Drehbuch und moderiert die Migration. Das Drehbuch enthält auch immer ein Fallback-Szenario um bei unüberbrückbaren Problemen wieder auf den Status vor der Migration zurückgehen zu können.
Als Teil der Migration muss eine Applikation anschliessend auf ihre Funktion getestet werden. Da solche Migrationen in der Regel ausserhalb der Bürozeiten durchgeführt werden, kann im Rahmen der Migration lediglich die Funktion, jedoch nicht das Verhalten unter Produktionsbedingungen getestet werden.
Um als Migrationsteam nach einer Migration nicht ewig für Incidents einer migrierten Applikation verantwortlich zu sein, gilt es mit dem Betrieb abzusprechen, wann eine Applikation wieder gemäss Standard-Incident-Prozess gehandhabt werden soll.