Was hat unsere Kunden und uns bei der InfoGuard im vergangenen Jahr in der IT-Security-Architektur beschäftigt? Wie bereits im ersten Architekturdigest, schauen wir auf das letzte Jahr zurück und versuchen daraus Trends – vielleicht auch für Ihr Unternehmen – abzuleiten. Die Architekturthemen entwickeln sich ständig weiter, sodass das Architekturteam der InfoGuard neue, aber auch alte Themen mit aktualisiertem Fokus bearbeiten durfte. Welche, erfahren Sie in diesem Blogbeitrag.
2022 durften wir vermehrt die Cloud-Architektur von Projekten anhand von Reviews prüfen: Der Entscheid für die Cloud ist gefällt – nun gilt es, die Cloud mit IT-Leben zu füllen.
Die regulatorischen Anforderungen sind wichtig. Diese können auch in der Cloud erfüllt werden, wobei oft hybride (On Premises und Cloud) Setups anzutreffen sind. Hilfreich bei der Erfüllung von regulatorischen Anforderungen in der Cloud sind:
Die Bestrebungen der Cloud-Anbieter, regional angesiedelte Cloud-Stacks anzubieten
Optionen bei der Schlüsselerzeugung und Verwaltung
Je früher spezifisches Fachwissen einbezogen wird, umso geringer ist der Anpassungsaufwand. Gute Zeitpunkte für eine Zweitmeinung sind:
Zu Beginn eines Projekts zur Definition der sicherheitsrelevanten Anforderungen
Während der Designphase mittels Workshops zur Diskussion der vorgesehenen Lösungen (diese Form finden wir besonders nützlich)
Dokumentenreview pro Projektphase
Wichtig erscheint uns, spezifisches Fachwissen früh im Projekt einzubinden. Getreu der alten Projektweisheit: Ein Plan ist leichter zu ändern als das fertige Ergebnis.
Der Reifegrad der Zero-Trust-Produkte steigt. Das sind gute Nachrichten. Die Fragestellungen rund um Zero Trust betrafen:
Zero-Trust-Lösung oder Zero-Trust-Lösung mit Broker-Komponente in der Cloud
Reihenfolge, in der die Komponenten implementiert werden
Micro Segmentation
Unternehmen, und natürlich auch unsere Kunden, sind unterschiedlich aufgestellt. Während für den einen Kunden eine pfannenfertige Lösung ideal ist, wäre ein anderer damit zu stark eingeschränkt. Hier gilt es, die Bedürfnisse abzuklären und abzuwägen. Es gilt das Setup zu finden, das zum Unternehmen passt.
Die Integration mit anderen Produkten kann zur Herausforderung werden. Eine davon war beispielsweise die Integration von Remote Access in eine gewachsene Umgebung unter Berücksichtigung von Zero Trust. Und ja, Zero Trust ist nicht gleich Zero Trust. Nicht überall, wo Zero Trust draufsteht, ist auch Zero Trust – wie es eine spezifische Kundenumgebung benötigt – drin.
Vermehrt durften wir Fragen beantworten, wie eine bestehende IoT- (Internet of Things) oder SCADA- (Supervisory Control and Data Acquisition; Steuerung und Überwachung von Industrieanlagen ) Umgebung besser geschützt werden kann. Dieses Unterfangen ist aus folgenden Gründen herausfordernd:
Es gibt eine Vielzahl von (alten und unsicheren) Kommunikationsprotokollen zwischen OT-Komponenten und Netzwerken
IoT-Geräte sind an exponierten Stellen platziert
Die Ausgestaltung des Schutzes richtet sich nach der Kritikalität und der Exposition der Anlage. Der Aufwand zum Schutz von IoT und SCADA steigt mit zunehmendem Schutzbedarf überproportional. Oft lassen sich jedoch mit verhältnismässig einfachen Mitteln substanzielle Verbesserungen erreichen.
Für Umgebungen mit höchsten Sicherheitsanforderungen ist eine strikte Trennung, gegebenenfalls mittels Datendioden, erforderlich. Dadurch ergeben sich jedoch Einschränkungen in der Funktionalität. Die Kunst besteht darin, eine Lösung zu finden, mit der sowohl die Sicherheitsanforderungen wie auch die Funktionalität sichergestellt werden kann.
Ein anderer Aspekt von IoT betrifft – Vertrauen. Kunden eines Geräteherstellers müssen sicher sein, dass ihre Geräte, z.B. eine Heizung, mit den Servern des Herstellers kommunizieren und nur von diesen ein Update beziehen oder zu diesen Telemetrie Daten hochladen. Dazu braucht es eine Public-Key-Infrastruktur (PKI) und ausgeklügelte Fertigungsprozesse. Auch für uns sind die Facetten von IoT immer wieder überraschend.
Weiter hat sich in unseren Projekten gezeigt, dass IoT-Umgebungen die Tendenz haben, unübersichtlich zu werden. Ursachen sind unter anderem die breite Palette an IoT-Geräten, deren eingeschränkter Funktionsumfang und die geografische Verteilung. Eine gute Netzwerksegmentierung und Dokumentation mit definierten Regeln zur Platzierung von IoT-Geräten im Netzwerk helfen, die Übersicht dauerhaft zu behalten.
Unsere Einschätzung war, dass die guten alten Zonenkonzepte mit dem Fortschreiten von Cloud und Zero Trust einen schwereren Stand haben werden. Da wurden wir aber eines Besseren belehrt:
Zero Trust und Micro Segmentation erfordern eine klare Vorstellung darüber, was sich in den Micro-Segmenten befinden soll.
In Cloud-Umgebungen stellt sich die Frage, wie ein bestehendes Netzwerk in die Cloud integriert werden kann. Zu diesem Thema – IaaS und SaaS verbinden – habe ich bereits einen Blogbeitrag geschrieben.
Cloud-Netzwerksicherheitsarchitekturen haben ebenfalls einen Einfluss auf die Zonierung und können in der Cloud technisch durchaus unterschiedlich umgesetzt werden:
Zonengrenzen werden mit den Subskriptionen definiert
Zonengrenzen sind subskriptionsübergreifend
Technische Implementierung der Zonen in der Cloud
Zonenkonzepte haben auch im Cloud-Umfeld nicht ausgedient. Vielmehr stellen sich ergänzende Fragen wie die Anbindung der Cloud und die Abgrenzung der Zonen innerhalb der Cloud-Umgebung.
Das Highlight für das Architekturteam waren die Definition von strategischen High Level Sicherheitsarchitekturen und daraus resultierende spannende Diskussionen mit den Fachdisziplinen bei den Kunden.
Eine Architektur bedarf einer Abstimmung und kann nicht verordnet werden. Durch die intensive Diskussion mit den Beteiligten können diese ihre Anforderungen an die Sicherheitsarchitektur einbringen. Das stellt den Nutzen der Zielarchitektur sicher und trägt dazu bei, dass die Zielarchitektur von den Beteiligten mitgetragen wird. Letzteres ist ein kritischer Erfolgsfaktor.
Ich und meine Kolleg*innen vom Architekturteam sind immer wieder inspiriert von den unterschiedlichen Aufgabenstellungen und Kundenbedürfnissen. Die Möglichkeit, mit den Kunden auf unterschiedlichen Ebenen und gegebenenfalls auch remote zusammenzuarbeiten, hat sich etabliert.
Falls nun auch Sie Lust haben, ein spannendes, herausforderndes Architekturprojekt mit uns anzugehen, dann kontaktieren Sie uns! Wir freuen uns auf Sie.