Blog
/
Illumio Produkte

Endlich eine neue Methode zur Sicherung von Windows-Servern

Darren Wolstein
,
Senior Manager, Support-Tools
August 7, 2015
23 min. Lesedauer

Windows-Betriebssysteme gehören zu den am häufigsten installierten der Welt, daher ist es verständlich, dass sie ein attraktives Ziel für Hacker wären. Was kann außer herkömmlichem Viren- und Malware-Schutz noch getan werden, um diese Computer und die Netzwerke, in denen sie leben, zu schützen?

Securing Windows servers

Das Hinzufügen von Sicherheitshardware zu Ihrem Netzwerk kann dazu beitragen, einen Angriff zu unterdrücken, Sie davor zu warnen oder ihn vollständig abzuwehren. VLANs und Firewallbasiert Netzwerksegmentierung gehören zu den effektivsten Strategien zur Netzwerksicherheit, haben jedoch einige große Nachteile, darunter die Wartung und ihre Unfähigkeit, schnell zu skalieren.

Selbst die erfahrensten Sicherheitsexperten haben sich entschieden, eine Firewall-Regel nicht zu entfernen, weil sie sich Sorgen um ihre unbeabsichtigten Auswirkungen machen könnten.

Mit der Anzahl der VLANs und Firewallregeln Schritt zu halten, die zur ordnungsgemäßen Segmentierung eines Netzwerks erforderlich sind, kann die Ressourcen eines Sicherheitsteams überfordern. Dieser Ansatz kann im Laufe der Zeit auch scheitern, da er auf menschliches Eingreifen angewiesen ist, um die Richtlinien mit den Änderungen in Einklang zu bringen. Selbst die erfahrensten Sicherheitsexperten haben sich aus Angst vor unbeabsichtigten Auswirkungen dafür entschieden, eine Firewall-Regel nicht zu entfernen.

Wenn die Firewall-Regeln zunehmen, werden sie immer schwieriger zu verwalten — und irgendwann erreichen sie lächerlich hohe Zahlen. Ich persönlich habe große Unternehmen gesehen mit Millionen der Firewall-Regeln, von denen einige älter als ein Jahrzehnt sind.

Das Problem mit portbasierten Regeln

Windows-Betriebssysteme stellen ein einzigartiges Problem dar, wenn versucht wird, mit herkömmlichen Firewalls abzusichern. Diese Firewalls verwenden portbasierte Regeln, sodass ein Port von einer bestimmten IP-Adresse mit einem anderen Port auf einer anderen IP-Adresse kommunizieren darf.

Diese Strategie eignet sich für UNIX und Linux, bei denen in der Regel ein einziger Prozess auf einem einzelnen Port oder Portbereichen ausgeführt wird. In Microsoft-Betriebssystemen ist es jedoch üblich, dass eine Gruppe von Prozessen einen einzelnen Port oder eine Gruppe von Ports verwendet, die dynamisch zugewiesen werden können. Daher wissen Sie möglicherweise nicht im Voraus, welchen Port sie verwenden möchten. Woher wissen Sie also, ob Sie einen Port zulassen sollten, wenn Sie nicht wissen, welcher Prozess ihn verwendet oder welchen Port er verwenden wird?

Unternehmen behandeln die Symptome des Problems, aber nicht das Kernproblem: Die heutige Sicherheit ist statisch und kann mit der Geschwindigkeit der Veränderungen einfach nicht Schritt halten.

Dynamische Ports werden nach dem Zufallsprinzip aus einem Pool von allgemein vereinbarten „High-Ports“ zugewiesen. Wie Sie sich vorstellen können, führt die Ungewissheit, welcher Port verwendet wird, dazu, dass auf den segmentierenden Firewalls eine Vielzahl von Portbereichen geöffnet wird, sodass die Windows-Computer miteinander kommunizieren können. Umgekehrt können Sie diese Portbereiche einschränken, aber dann müssten Sie die Registrierungsschlüssel ändern und alle Ihre Windows-Hosts neu starten.

Dadurch befinden wir uns in der nicht idealen Position, zu versuchen, eine unüberschaubare Menge an Firewall-Regeln zu verwalten oder die nativen Portbereiche unseres Hosts einzuschränken.

Mit der Geschwindigkeit des Wandels Schritt halten

Unternehmen versuchen zu helfen, indem sie Software zur Verwaltung von Firewall-Regeln entwickeln, ihre Firewalls auf Anwendungen aufmerksam machen und generell bei dem einen oder anderen Aspekt einer frustrierenden Situation helfen. Aber sie alle behandeln die Symptome des Problems und nicht das Kernproblem: Die heutige Sicherheit ist statisch und kann mit der Geschwindigkeit der Veränderungen einfach nicht Schritt halten.

Es ist jetzt möglich, eine granulare Anwendungssegmentierung zu erreichen, auch bei Cloud-Migrationen.

Geben Sie das ein Adaptive Sicherheitsplattform (ASP) von Illumio, ein völlig neuer Ansatz zum Schutz Ihrer Windows- (und Linux-) Workloads mit einem dynamischen, adaptiven Sicherheitsmodell. Illumio ASP verwendet die systemeigenen Sicherheitsdienste, die von den Betriebssystemen, der Windows Filtering Platform und iptables bereitgestellt werden. Anschließend wird ein intuitives Kennzeichnungssystem hinzugefügt, das es überflüssig macht, dass IP-Adressen und Ports zum Schreiben von Regeln verwendet werden müssen.

ill_blog_inline_img_securing_windows_server-1

Wenn also neue oder geänderte Hosts einchecken, liest Illumio ASP die ihnen zugewiesenen Labels und konfiguriert sein Sicherheitsprofil automatisch. Das Gleiche gilt, wenn ein Host IP-Adressen verschiebt: Die Änderung wird sichtbar und alle entsprechenden Richtlinien werden innerhalb von Sekunden neu berechnet.

Wenn Sie Ihre Umgebung über Labels definieren, können Sie die Sicherheit einer Anwendung gruppieren. Wenn Sie Komponenten Ihrer Anwendung hoch- oder herunterschalten, folgt die Sicherheit, ohne dass Sie die Firewallregeln ändern oder VLANs verwalten müssen.

Was heißt das? Wir können jetzt eine granulare Anwendungssegmentierung erreichen, auch bei Cloud-Migrationen.

Die Policy Compute Engine (PCE) ist das „Gehirn“ des Vorgangs.

Mit der Einführung der prozessbasierten Durchsetzung in Windows-Umgebungen wird Illumio endlich die Frage lösen, wie mit dynamischen hohen Ports umzugehen ist. Sie definieren den genehmigten Prozess, und Illumio ermöglicht es dem System, über beliebige Ports sicher zu kommunizieren.

Was macht das möglich? Die Policy Compute Engine (PCE) ist das „Gehirn“ des Vorgangs. Mithilfe eines leichtgewichtigen Agenten namens Virtueller Erzwingungsknoten (VEN) erkennt das PCE sofort, wenn eine Änderung stattgefunden hat und korrigiert die betroffenen Systeme innerhalb von Sekunden. Mit dieser dynamischen Richtlinien-Engine können Sie nicht nur schnell Sicherheitsrichtlinien in natürlicher Sprache verfassen, sondern auch eine interaktive Live-Map Ihrer Anwendungsstruktur mit dem Namen Illumination anzeigen. Ein sehr effektives Tool, um komplexe Sicherheitsvorkehrungen an nahezu jeden zu kommunizieren.

Die Sicherung von Windows-Servern ist gerade richtig interessant geworden.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Wenig bekannte Funktionen von Illumio Core: Die Illumio Map
Illumio Produkte

Wenig bekannte Funktionen von Illumio Core: Die Illumio Map

Verschaffen Sie sich einen Überblick darüber, was die Illumio Map-Visualisierung bietet und wie sie Ihrem Team helfen kann, Ihr Netzwerk besser zu erkennen, zu segmentieren und zu sichern.

Lesen Sie mehr
Wenig bekannte Funktionen von Illumio ASP — Broadcast- und Multicast-Filter
Illumio Produkte

Wenig bekannte Funktionen von Illumio ASP — Broadcast- und Multicast-Filter

In dieser Ausgabe der ASP-Serie Little Known Features of Illumio stellen wir Broadcast- und Multicast-Filter vor.

Lesen Sie mehr
Ihre erste und beste Investition in Zero Trust
Illumio Produkte

Ihre erste und beste Investition in Zero Trust

Erfahren Sie, warum Illumio Ihre erste und beste Investition in Zero Trust ist.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr