Worauf es bei Network Access Control-Lösungen ankommt
29. März 2017Lösungen für die Zugangskontrolle zu Firmennetzen (Network Access Control, NAC) mögen heute technologisch eher zum Mainstream gehören. Dennoch ist deren Verbreitung noch stark ausbaufähig, denn ihre Rolle wird immer wichtiger. Je mehr vernetzte Geräte (auch private) im Umlauf sind, die theoretisch Zugriff auf die Ressourcen eines Firmennetzwerks haben könnten und je mehr Geräte vernetzt werden, die nicht einzelnen Nutzern zugeordnet werden können (Stichwort Internet der Dinge, IoT), desto wichtiger wird es genau bestimmen zu können, welches Gerät unter welchen Bedingungen ins Firmennetz darf, was es genau dort tun darf und was nicht.
Hinzu kommen einige Entwicklungen, die es nötig machen, sich unter Network Access Control einiges mehr vorstellen zu können als einfach nur den Ausschluss von Geräten, die dem Administrator nicht bekannt sind. Den Marktforschern von Gartner zufolge treiben eine Reihe neuer Notwendigkeiten die Weiterentwicklung von NAC-Lösungen:
- BYOD (Bring Your Own Device): Viele Unternehmen haben mittlerweile erkannt, dass die Nutzung privater Geräte für berufliche Zwecke einerseits ein kaum aufzuhaltender Trend ist, der von den Mitarbeitern immer stärker gefordert wird, andererseits dass BYOD mithilfe einer dafür ausgelegten Infrastruktur und wirksamen Richtlinien zum Vorteil der Unternehmen genutzt werden kann.
- Eine bessere Sichtbarkeit aller im Netzwerk aktiven Geräte und der fein abgestufte Zugriff auf Netzwerkressourcen tragen stark zur allgemeinen Netzwerksicherheit bei.
- Integrierte Security-Lösungen: Die Sicherheitsinfrastruktur eines Netzwerks sollte nicht mehr als eine Reihe einzelner Komponenten gesehen werden, die nicht miteinander kommunizieren. Wenn eine NAC-Lösung mit anderen Security-Komponenten wie Next-Generation Firewalls oder Advanced Threat Protection (ATP) gut abgestimmt ist, ist ein nahezu nahtloses Netzwerk-Monitoring möglich. Zudem kann eine NAC-Lösung auf ein Alarmsignal der anderen Komponenten mit entsprechenden Maßnahmen reagieren und bestimmten Geräten die Rechte entziehen.
- Bessere Zugriffskontrolle für Partner und Gäste: IT-Verantwortliche müssen einerseits ihr Netzwerk schützen, andererseits Geschäftspartnern, freien Mitarbeitern oder Gästen den jeweils passenden Zugriff auf Netzwerkressourcen gewähren. Das sollte besser nicht im ‚Alles oder nichts‘-Modus passieren. Je besser der Zugriff abgestuft und je flexibler er gesteuert werden kann, desto sicherer das Netzwerk.
- Gesetzkonformität und Datenschutz: Unternehmen müssen immer häufiger Geschäftspartnern und Behörden gegenüber nachweisen, dass vertrauliche Daten hinreichend geschützt sind. Zwar wird vom Gesetz nicht explizit die Anwendung einer NAC-Lösung gefordert, doch mit deren Einsatz ist es leichter, diesen Nachweis effektiv zu erbringen.
Was eine NAC-Lösung unbedingt mitbringen sollte
Mit folgenden grundlegenden Features sollte eine NAC-Lösung mindestens ausgestattet sein:
- Richtlinien-Management (Policy Management): Über ein entsprechendes Interface muss definiert werden können, welchen Anforderungen gerade genügen müssen, um ins Firmennetz gelassen zu werden, und welche Maßnahmen greifen, wenn bestimmte Endgeräte diese Anforderungen nicht erfüllen. Richtlinien beinhalten beispielsweise Parameter wie Authentifizierung, Autorisierung sowie die Örtlichkeit, Dauer und die Art des Zugriffs.
- Baseline: Die Baseline-Funktion ermittelt die Sicherheitsstufe eines Endgeräts, das ins Netzwerk will, und bestimmt selbständig das Zugriffsniveau. Die Funktion sollte mit möglichst vielen Arten von Geräten und Betriebssystemen wie Windows, Mac OS, iOS oder Android umgehen können.
- Zugriffskontrolle: Die NAC-Lösung sollte in der Lage sein, den Zugriff ins Netzwerk in verschiedenen Abstufungen zu gewähren, Geräte zu blockieren oder sie in Quarantäne zu setzen. Das sollte idealerweise in heterogenen Netzwerken mit Komponenten verschiedener Hersteller möglich sein.
- Profiling und Sichtbarkeit: Die Profiling-Engine der NAC-Lösung sollte eine dynamische Erkennung, Identifizierung und das Monitoring aller im Netzwerk angeschlossenen Endgeräte ermöglichen.
- Bidirektionale Integration: Die Koppelung der NAC-Lösung an andere Security-Komponenten sollte entweder über Syslog über die Open/RESTful API möglich sein.
Was Sie beim Rollout einer NAC-Lösung berücksichtigen sollten
Folgende Empfehlungen hat Gartner für Unternehmen parat, die sich mit dem Gedanken tragen, in eine NAC-Lösung zu investieren:
- Integration mit EMM: Sollte Ihr Unternehmen eine Lösung für das Management mobiler Geräte (Enterprise Mobility Management, EMM) in Betrieb haben, stellen Sie sicher, dass diese auch eine direkte Integrationsmöglichkeit mit der NAC-Lösung Ihrer Wahl bietet.
- Probebetrieb: Vor der endgültigen Entscheidung für eine bestimmte NAC-Lösung sollte letztere in einem umfassenden Testszenario ausprobiert werden, damit sichergestellt wird, dass sie im Betrieb keine Kompromisse hinsichtlich Sicherheit und Compliance abverlangt. Auch sollte die Lösung den Administrationsaufwand nicht über die Maßen erhöhen.
- Planung und Rollout: Die Dauer des Rollouts richtet sich nach dem Integrationsaufwand, der Komplexität der Richtlinien und der Anzahl der Endgeräte, die berücksichtigt werden müssen. Gartner empfiehlt eine zeitlich eher großzügige Rollout-Phase von 6-12 Monaten, um mit Bedacht die verschiedenen Konfigurationen zu erarbeiten und zu testen. Zudem wäre laut Gartner eine Pilotinstallation hilfreich, die einen begrenzten aber in seiner funktionalen Vielfalt repräsentativen Bereich des Unternehmens zuerst abdeckt. Während der Pilotphase sollte erst der Schwerpunkt auf die Sichtbarkeit der Endgeräte (Monitoring) liegen, bevor restriktive Richtlinien angewandt werden.
Um Kosten zu sparen empfiehlt Gartner zudem, während der ersten Betriebsphase nicht alle Features freischalten zu lassen, sondern nur jene, die zu diesem Zeitpunkt tatsächlich angewendet werden sollen.