Von der Next Generation Firewall zur „Software-defined Protection“ Check Point: Umfassende Sicherheit fürs Unternehmensnetz

Autor / Redakteur: IT-BUSINESS / Dr. Andreas Bergler / Dr. Andreas Bergler

Mit „Software-defined Protection“ (SDP) bietet Check Point eine Sicherheitsarchitektur zum Schutz vor aktuellen Cyber-Bedrohungen. Das modulare Konzept erleichtert Durchsetzung, Kontrolle und Verwaltung von Unternehmensrichtlinien.

Firmen zum Thema

Mithilfe von „Software-defined Protection“ (SDP) lassen sich Richtlinien unternehmensweit durchsetzen.
Mithilfe von „Software-defined Protection“ (SDP) lassen sich Richtlinien unternehmensweit durchsetzen.
(Bild: Check Point)

Advanced Evasion Techniques (AETs) gelten heute als das Schreckgespenst jedes Sicherheitsverantwortlichen. Bei AETs handelt es sich um hochentwickelte Verschleierungsmethoden, die Hacker nutzen, um möglichst unentdeckt in Netzwerke einzudringen. Die Anzahl der heute im Umlauf befindlichen AET-Varianten schätzen Branchenkenner derzeit auf fast eine Milliarde. Zeit für die Security-Hersteller, etwas dagegen zu tun.

Um diese neuartigen Bedrohungsformen daran zu hindern, sich über das ganze Unternehmensnetz auszubreiten, hat Check Point die Sicherheitsarchitektur „Software-defined Protection“ (SDP) entwickelt. Christine Schönig, Technical Manager Germany bei Check Point, bezeichnet SDP als die logische Weiterentwicklung des bisher vom Hersteller propagierten Konzepts der „3D-Security“.

Bildergalerie

Der Markt ist reif

Die 3D-Sicherheitsarchitektur basiert auf folgenden drei Säulen, die wiederum eine direkte Weiterentwicklung des Check-Point-eigenen Konzepts der Next-Generation-Firewalls darstellen:

  • Policies: Sicherheitsrichtlinien, die Geschäftsprozesse unterstützen. Ihre Etablierung soll die IT-Security selbst zu einem Teil des Geschäftsprozesse machen.
  • People: Das Verhalten der Menschen ist konstitutiv in die Policy-Definitionen einzubeziehen.
  • Enforcement: Die dritte Säule des Konzepts fasst alle Security-Layer und -Maßnahmen wie Netzwerk-Aspekte, Daten, Anwendungen sowie deren Inhalte und die Anwender in einer Kontroll-Instanz zusammen.

„In den vergangenen zwei Jahren, in denen wir das Konzept der 3D-Security im Markt haben, hat es eine sehr gute Resonanz bei den Kunden erfahren“, berichtet Schönig im Gespräch mit IT-BUSINESS. „Es liefert eine Blaupause für Informationssicherheit, die über rein technologische Security-Aspekte hinausgeht. Mit SDP wird diese Basis ausgebaut.“ Das Software-zentrierte Schutzkonzept soll Verantwortlichen vor allem einen größeren Überblick über das Netzwerk verschaffen. „Es werden nicht nur die Appliances im Netzwerk überwacht, sondern auch die gesamte Netzwerk-Umgebung mit einbezogen, um den AETs wirkungsvoll begegnen zu können“, so Schönig.

Drei-Schichten-Architektur

„Die Lupe, mit der das Netz auf Sicherheitsaspekte hin untersucht wird, rückt quasi ein Stück weiter nach oben.“ Dazu werden wieder drei Instanzen eingesetzt:

  • Durchsetzung: Auf dem Enforcement-Layer können Administratoren auf einfache Weise Netzwerkbereiche beliebig stark segmentieren und überwachen.
  • Kontrolle: Die mittlere Ebene vereint sicherheitsrelevante Informationen aus dem Inneren des Netzwerks und aus der Check-Point-Cloud. Hier fließen Daten des CERT (Computer Emergency Response Team), Sicherheits-Updates und Informationen zu Schwachstellen im Unternehmensnetz zusammen.
  • Verwaltung: Das oberste Layer bündelt alle Informationen und macht sie für das Management sicht- und verstehbar.

„Diese oberste Ebene war die eigentliche Anforderung, die die Kunden vermehrt gestellt haben“, sagt Schönig. Der Kunde könne hier sehen, was tatsächlich in seinem Netzwerk vor sich geht, da mit SDP an sämtliche relevante Schnittstellen angedockt werde. Auf der mittleren, der Kontroll-Ebene, lassen sich laut Hersteller DDoS-Attacken (Distributed Denial of Service) wirkungsvoll verhindern. Schon in acht bis 15 Sekunden stünden die notwendigen Filter bereit. Die oberste Ebene wird bei einem solchen Angriff sofort mit entsprechenden Informationen versorgt und ermöglich damit eine flexible Anpassung der Unternehmensrichtlinien.

Partnern mit Expertise in Virtualisierung und Infrastruktur-Software bietet sich die neue Architektur laut Schönig als Erweiterung der Geschäftsmöglichkeiten. Für den Einstieg ins Security-Business sei jederzeit mit Hilfe zu rechnen. SDP kann beim Kunden, beim Dienstleister oder auf Servern von Check Point gehostet werden. Den Zugriff auf die Server kann der Admin auch Länder-spezifisch einstellen und restringieren. □

(ID:42658881)