user
2 TopicsBenutzer- und App-zentrierte Sicherheit
Wer beim Thema Sicherheit an ein statisches Unternehmensnetzwerk denkt, auf das bekannte und durch die interne IT gesteuerte Geräte zugreifen, wird nicht alle Facetten heutiger mobiler Kommunikation erfasst haben. Heutzutage müssen wir hier vielmehr das Benutzerverhalten und die Dezentralisierung mobiler Apps berücksichtigen, um bei den Sicherheitsbetrachtungen nicht ins Hintertreffen zu geraten. Die Grenzen eines Unternehmensnetzwerks verändern sich, und dafür gibt es viele Gründe. Einer davon ist der Trend, Applikationen in der Cloud bereitzustellen, und sie schnell, verfügbar und auch sicher auszuliefern. Ein anderer Grund ist die Tatsache, dass Benutzer inzwischen mehr Kontrolle haben als je zuvor; die „Konsumerisierung“ der IT lässt dem Benutzer die Wahl. Er kann sich das Betriebssystem aussuchen, das Gerät und er kann entscheiden, von wo aus er auf Applikationen zugreift. Darüber hinaus hat der Benutzer Zugang zu mehr Applikationen. Denken Sie doch einmal darüber nach, wie viele Applikationen jetzt auf ihren Geräten (Sie haben vermutlich mehrere) laufen, im Vergleich zu dem einen Desktop im Büro, mit dem Sie vor zehn Jahren gearbeitet haben. Außerdem greifen wir von erheblich mehr Standorten auf diese Apps zu. Wir haben Zugang zu Apps, die von Google.Docs und Salesforce.com gehostet werden, aber auch aus dem Rechenzentrum unseres Arbeitgebers stammen. Der Benutzer hat also mehr Macht als je zuvor. Und daher gibt es bei dem Thema Sicherheit eine ganze Reihe neuer Herausforderungen zu bedenken. Bis jetzt war alles, was zwischen dem Benutzer und der Applikation vor sich ging, Sache der IT, was zum Teil immer noch so ist. Aber die oben beschriebenen Veränderungen bedeuten, dass der Zuständigkeitsbereich der IT inzwischen erheblich größer geworden ist. Das Netzwerk ist nicht mehr privat - also im Zugriff der IT. Apps gibt es heute nicht nur in den Rechenzentren der Unternehmen. Benutzer arbeiten von zu Hause, Cafés oder von Flugzeugen aus. Häufig arbeiten Sie an einem Tag auch einmal von allen drei Standorten aus und das vielleicht auch mit einem Gerät, das sie nicht von ihrem Arbeitgeber bekommen haben. Das birgt viele Gefahren in sich. Ein weiteres Risiko ist die Tatsache, dass Apps ihren „walled garden“ inzwischen verlassen haben und daher erheblich schwieriger zu steuern sind. Bei einer von RightScale im Mai 2013 durchgeführten Umfrage wurde festgestellt, dass sich 77% aller großen Unternehmen mit mehr als 1.000 Mitarbeitern ‑ für hybride Multi-Cloud-Umgebungen entschieden haben. Das bedeutet, dass sich die Arbeit der Benutzer immer schneller in die Cloud verlagert. Die meisten Applikationen sind Web 2.0 Entwicklungen, was bedeutet, dass sie HTTP- und HTTPS-Verkehr erzeugen. Letzterer ist verschlüsselt, sodass die Sitzungen, die vom Benutzer zur App fließen, für Netzwerkgeräte sehr schwierig zu analysieren sind. Die Komplexität des oben Beschriebenen bedeutet, dass IT-Abteilungen sich um eine ganze Menge kümmern müssen. Sie werden mit einer neuen Komplexität konfrontiert, für die Sicherheitsmaßnahmen vorhanden sein müssen. Und es gibt natürlich eine ganze Menge an Bedrohungen auf die sie reagieren müssen, angefangen von Denial-of-Service-Angriffen über Identitätsdiebstahl und DNS-Poisoning bis hin zu SQL-Injection ‑ die gesamte Sicherheitspalette im Layer 2 bis 7. Bei einer vor Kurzem durchgeführten Umfrage sagten 69% der befragten 12.000 IT-Spezialisten, Applikationsangriffe innerhalb der eigenen Umgebung seien die größte Schwachstelle in puncto Sicherheit. Die Unternehmen Cenzic und WhiteHat, die Penetrationstests durchführen, geben an, dass 86% bis 89% aller Webapplikationen erhebliche Schwachstellen aufweisen. Es ist keine Überraschung, dass diese Komplexität zu enormen Herausforderungen geführt hat. Unternehmen übernehmen Cloud-basierte Services oder Produktivitäts- und Mobilitäts-Services nicht so schnell, wie sie das gerne wollen. Im Grunde genommen brauchen wir mehr Kontextualisierung oder, um es anders auszudrücken, wir müssen mehr über die Benutzer und die Apps, mit denen sie sich verbinden, in Erfahrung bringen. Der typische Benutzer von heute hat Zugang zum Unternehmensnetzwerk, wenn er sich in dessen Reichweite befindet. Wenn er es verlässt, greift er in der Regel über VPN darauf zu, was fast das Gleiche ist, als wenn er im Unternehmensnetzwerk selbst wäre. Doch in letzerem Fall kann es vorkommen, dass der Benutzer von Standorten oder Geräten aus zugreift, die unter Umständen nicht sicher sind. Die IT muss daher regeln, welche Art des Zugriffs den Benutzern gestattet wird. Angenommen, ein Benutzer besitzt ein privates Android-Gerät und möchte damit von einem unsicheren Standort aus auf das Unternehmensnetzwerk zugreifen. Eine ‘sichere’ Reaktion könnte darin bestehen, diesem Benutzer nur E-Mail-Zugang oder den Zugriff auf einen VDI-Desktop zu gestatten. Wenn sich derselbe Benutzer einige Stunden später aber von einem Firmen-Laptop und einem vertrauenswürdigen Standort aus einloggen möchte, könnte das als sicher genug für einen vollen VPN-Zugang eingestuft werden. Der Schlüssel zu einer solchen Regulierung liegt in der Endgeräte-Inspektion, Standorterkennung, Einmal-Passwörtern und Ähnlichem. Das zweite Puzzleteil betrifft Applikationen. Das Aufkommen der Cloud hat dazu geführt, dass Unternehmen tatsächlich die Wahl haben, wo ihre Apps bereitgestellt werden. Für einige Unternehmen ergibt es durchaus Sinn, Cloud-basiert zu arbeiten. Diese zusätzliche Komplexität schafft aber auch Probleme für die IT-Abteilungen. Richtlinien, die für die App im Unternehmensrechenzentrum galten, sind unter Umständen nur schwer auf eine App anzuwenden, die von einem Cloud-Provider bereitgestellt wird. Dies ist ein weiteres gutes Beispiel dafür, dass der Versuch von Unternehmen, flexibel zu sein, so viele Probleme hinsichtlich Sicherheit, Verfügbarkeit und Zugang schaffen kann, dass sie hinterher unter Umständen schlechter dastehen als vorher. Apps in der Cloud müssen mit Sicherheits- und Zugangs-Services verknüpft sein, wenn sie IT-Standards für App-Bereitstellung entsprechen sollen. Benutzerverständnis und die Möglichkeit, Richtlinien auf einzelne Applikationen im Rechenzentrum oder der Cloud ‑ wo auch immer die Apps sind ‑ anzuwenden, werden entscheidend sein, da sich bei der Art und Weise, in der wir über Sicherheit und Sicherheitsmaßnahmen denken, der Schwerpunkt verlagern wird.183Views0likes0CommentsUser and App centric security
There is no longer any point in thinking of security in terms of a static corporate perimeter accessed by known, controlled devices. Now, we must be user and app centric in our thinking. The shifting corporate perimeter has come about for a number of reasons. One is the drive to deploy applications in the cloud, and have them be fast, available and also secure. Another is that users are more in control of their destiny than ever before; the consumerisation of IT that has given choice to the user. Choice of OS. Choice of device. Choice of where to access from. The user also has access to more applications. Think about how many applications you have now, over your multiple devices, versus the single corporate desktop you had access to a decade ago. We also access these apps from a great many more locations. We have access to apps served from Google Docs and from Salesforce.com as well as from our companys' data centres. So the user has more power than ever before and that has brought a new set of challenges to the security landscape. Everything between the user and the application has traditionally been the concern of IT. It still is, to an extent. But the shifts described above mean IT now has a much greater area of jurisdiction. The network is no longer private. Apps are no longer just in company data centres. Users work from home. Users work from coffee shops. Users work from aeroplanes. Quite often, they work from all those locations in a given day, likely over a non-corporate provided device. This creates a lot of risk. What adds to this risk is the fact that apps have moved outside their walled garden, and are thus less easy to control. A survey by RightScale in May 2013 found that 77% of all large organisations – those with greater than 1,000 employees - are choosing hybrid, multi-cloud deployments. This means that workloads are moving to the cloud at an ever-increasing rate. Most web applications have been built on Web 2.0 frameworks, meaning that they create HTTP and HTTPS traffic. The latter is encrypted, so the sessions that are flowing from the user all the way to the app are very difficult for network devices to analyse. The complexities of what is described above means IT departments have a lot to deal with. They have a lot of new complexity that needs protection in place. And they are not short of threats to deal with, from denial of service attacks, identity extraction, DNS poisoning, SQL Injection – the entire gamut of Layer 2 – 7 security. In a recent survey of 12,000 IT professionals, 69% said that the number one vulnerability is application attacks inside the environment. Cenzic and WhiteHat, who do penetration testing, claim that 86% to 89% of all web applications have serious vulnerabilities. This complexity, unsurprisingly, has led to challenges. Organisations are not adopting the cloud-based services or the productivity and mobility services at the speed that they would like to. What’s really needed is more contextualisation or, to put it another way, more understanding of the user and the apps they connect to. Today's typical user, when inside the perimeter, has access to the corporate network. When they leave it, they usually get VPN access, which is almost identical to being on the corporate network. But in the latter case, you may be connecting in from locations or devices that may not be secure. IT, therefore, may want to modulate the kind of access users are allowed. Perhaps they have a personal Android device and they are connecting from an unsecure location. A ‘safe’ response might be to only allow them email access or a VDI desktop. The same user, connecting in a few hours later from a corporate laptop and a trusted location might be deemed safe enough to for full VPN access. The key to allowing this modulation is endpoint inspection, geographical awareness, one-time passwords and other strategies of that nature. The second piece of the puzzle concerns applications. The advent of cloud has resulted in companies, in effect, being given a choice about where their apps run. It might make sense for some to be cloud-based. This added complexity also creates issues for IT. Policies that applied to the app in the corporate data centre might be difficult to apply to an app served up by a third party cloud provider. This is another great example of how organisations attempting to be agile can create enough issues in protection, availability and access that they could conceivably end up worse off. Apps in the cloud must have security and access services bound to them in order to meet IT app delivery standards. Tying user understanding with the ability to apply policy to individual applications in the data centre or the cloud – wherever they are – will be key as how we think about and apply security alters focus. Technorati Tags: user,application,security,BYOD,access,SSO,context181Views0likes0Comments