Startseite
No. 02.2008		  
 

Klarheit und Nachvollziehbarkeit Das Richtige richtig tun – auch in der IT Security

Sicherheitsupdate 2009 – was bringt das nächste Jahr?

Lohnenswerte Investitionen in integrierte GRC-Lösungen

WAN-Optimierung ja, aber nur schnell und sicher

Den Sicherheits-Gau vermeiden – durch konsequente Überwachung

DLP - Möglichkeiten und Grenzen einer Technik

Der neue Kampf um eine verbesserte Client-Sicherheit
informer 01.2009
.pdf-Datei [425 kB]
Events und
Workshops
Ihr Feedback
ist uns wichtig

Integralis.com
Impressum

e-newsletter »informer« abbestellen

Bessere Performance und höhere Sicherheit für Anwendungen

Norman Wenk, Senior Consultant, Business Development
Globale Unternehmensnetze – performant, verfügbar und sicher

Erst durch die Kombination präventiver Sicherheitsmaßnahmen mit einer gezielten Überwachung und geeigneten Reaktionen im Ernstfall lässt sich wirkliche Sicherheit im Unternehmen erzeugen. Mittlerweile sind gerade die für die Abbildung von Geschäftsprozessen in der IT typischen Anwendungen wie SAP oder Siebel aus modernen Unternehmen nicht mehr wegzudenken – doch die zunehmende Durchdringung durch ERP- oder
CRM-Systeme stellt auf der anderen Seite immer höhere Anforderungen an die Leistungsfähigkeit und damit natürlich nicht zuletzt auch an die Sicherheit von Unternehmensnetzen. Abhilfe dagegen schaffen sollen jetzt neue Security- und WAN-Optimierungskonzepte.
 

Kurze Zugriffs- und Antwortzeiten sind für Anwender in lokalen Netzwerken (LANs) meist eine Selbstverständlichkeit, aber in den sogenannten Weitverkehrsnetzen (WANs) bietet sich dem Anwender meist ein völlig anderes Bild: lange Wartezeiten sind üblich und nicht selten können bestimmte Anwendungen zeitweise überhaupt nicht genutzt werden – lange Datenzugriffszeiten beim Öffnen oder Bearbeiten von Dokumenten bieten als einzige Bildschirmansicht den Blick auf eine unentwegt rieselnde Sanduhr, Videokonferenzen erinnern mit schlechten Übertragungsraten oft an ein Daumenkino und Telefongespräche über VoIP werden zerhackt wieder gegeben. Unter solchen Umständen leidet natürlich die Motivation der Mitarbeiter und damit auch ganz schnell die Produktivität des Unternehmens.

Unternehmen mit mehreren Standorten oder Außenstellen, die über ein gemeinsames Netz wie etwa Leased Lines, SDSL/ADSL oder MPLS miteinander verbunden sind und den „Kommunikations-Flaschenhals“ zwischen LAN und WAN im alltäglichen Betrieb passieren müssen, sind vor allem von diesem Problem betroffen und wünschen sich eigentlich nur eines: Die Mitarbeiter in den Außenstandorten sollen mit der gleichen Performance und Qualität kommunizieren können wie ihre Kollegen in der Zentrale. Allerdings sieht die Realität oft ganz anders aus: Häufig liegen die Bandbreiten für WAN-Anbindungen von Außenstellen nur im Bereich von zwei bis 34 Megabit/s, während in den LANs der Unternehmenszentralen in den Bereichen Backbone und Access meist ein Gigabit-Ethernet  und im Arbeitsbereich zumindest immer noch ein 100-Megabit/s-Ethernet zum Einsatz kommt.

Aber auch ganz unabhängig von den vorhandenen Bandbreiten stellen die hohen Verzögerungen in WANs vor allem für zeitkritische Anwendungen wie Internet-Telefonie oder Videokonferenzschaltungen ein großes Problem dar. Da Server- und Speichersysteme, Anwendungen und Backups zudem ohne hochperformante Fernverbindungen nicht wirtschaftlich zentralisiert werden können, ist die heute in vielen Unternehmen dringend notwendige, kostensparende Zentralisierung von IT-Systemen kaum umzusetzen.

Performance verbessern, Verfügbarkeit sichern
Dabei erhöht eine Optimierung des Weitverkehrsnetzes sowohl die Performance als auch die Verfügbarkeit der benötigten IT-Ressourcen und stellt damit einen zentralen Bestandteil der IT-Sicherheit dar. Ganz im Gegensatz zu anderen Möglichkeiten und Technologien im WAN, etwa die Einführung von MPLS oder der Ankauf höherer Bandbreiten vom Provider, können Unternehmen mit einer effizienten WAN-Optimierung einen wirklich messbaren Performance-Gewinn erzielen, weil die Ursachen im Netzwerkverkehr so gezielt analysiert und verhindert werden. Denn eine höhere Bandbreite hat nicht automatisch bessere Antwortzeiten zur Folge, da schlechte Response-Zeiten oft ganz andere Ursachen haben: beispielsweise spezifische Applikationsdesigns, besondere Protokolleigenschaften oder auch sogenannte „geschwätzige Netzwerkprotokolle“, also Kommunikationsschnittstellen, die den Anwender vor dem Bildschirm verzweifeln lassen.

Um diesen notorischen Flaschenhals im WAN zu weiten, setzen Hersteller mittlerweile auf unterschiedlichste technische Ansätze. Das Spektrum reicht hierbei von Wide Area File Services (WAFS) über Beschleunigungs- und Komprimierungsmaßnahmen, Datenreduktion, Caching und Block-Replikation bis hin zur TCP-Optimierung, Web Application Acceleration, SSL-Beschleunigung (Secure Socket Layer) und zur Einführung von Priorisierung sowie Quality-of-Services (QoS). Diese Technologien sind bereits, auf verschiedenste Art und Weise miteinander kombiniert, in Geräten für WAN-Optimierung integriert und am Markt verfügbar.
Im Gegensatz zu einer pauschalen Erhöhung der Verbindungsbandbreite ist eine zielgerichtete WAN-Optimierung darüber hinaus in der Regel auch viel wirtschaftlicher und effektiver – und nicht zuletzt deshalb stellt sich bei gezielten WAN-Optimierungsprojekten schnell ein hoher Return of Investment (ROI) ein. Zusätzlich ermöglichen diese Lösungen eine flexible, schnelle und optimale Reaktion auf aktuelle Veränderungen in den Geschäftsprozessen, z. B. durch Firmenzukäufe oder eine Erweiterung des Filialnetzes. Doch wie auch die Analysten von Gartner in ihrer Bewertung „Magic Quadrant for WAN Optimization Controllers, 2007“ feststellen, sollten Unternehmen nicht nur auf die WAN-Optimierung alleine setzen. Denn neben dem Bedarf nach mehr Netzperformance erkennt man gleichzeitig auch einen steigenden Bedarf bei den Anwenderunternehmen für mehr Security-Funktionen in WAN-Optimierungslösungen.

Schnell allein reicht nicht, auch sicher muss es sein
Durch die zunehmende Bedeutung des Internets als Basis der Informationstechnologie lassen sich zentrale Anwendungen im Unternehmen auch von immer mehr externen Kommunikationspartnern nutzen. Dies zeigt sich z. B. sehr deutlich beim konsequenten Weg, den das Unternehmen SAP mit seiner Unternehmensportal-Software Netweaver gegangen ist. Denn stehen Schnittstellen im Web-Format bereit, können wichtige Geschäftsprozesse besser integriert werden – und damit werden Unternehmensportale wie auch E-Business-Anwendungen und -Plattformen Teil des täglichen Geschäftes. Dabei spielt der damit einhergehende Sicherheitsaspekt eine zunehmend entscheidende Rolle für die Einsetzbarkeit solcher Architekturen – denn die sich aus der Nutzung von Firmenportalen notwendigerweise ergebende Öffnung der Netzwerke sollte von vornherein so gestaltet werden, dass etwaige Risiken eingegrenzt und minimiert werden.

Anwendungen im Web - Schwachstellen finden und beseitigen
Nahezu jede Web-Anwendung weist diverse Schwachstellen auf. Eine der Hauptursachen dafür ist, dass bereits bei der Implementierung nicht so sehr die Sicherheit, sondern vielmehr die Funktionalität der Applikation im Fokus steht – ein alarmierender Zustand, kann so doch ein Angriff völlig anonym und ohne großen Aufwand von jedem Ort der Welt aus ausgeführt werden. Und oft reichen schon wenige Minuten, um erste Sicherheitslücken in E-Business-Anwendungen aufzuspüren. Natürlich haben Hacker dies längst erkannt: Laut Gartner finden über 90 Prozent der Angriffe mittlerweile auf Anwendungsebene statt – über Schwachstellen, die häufig aus bereits in der Entwicklung entstandenen groben Softwarefehlern, falschen oder nicht überprüften Benutzereingaben oder auch aus Fehlern beim Session-Management stammen. Die so entstehenden Angriffsmöglichkeiten auf den Client und seine Identität sind vielfältig: besonders häufige Attacken entstehen etwa durch Cross-Site-Scripting oder Manipulationsversuche via SQL-Injection. Oft versuchen Hacker auch über Buffer-Overflow-Schwachstellen oder Konfigurationsfehler die Fremdkontrolle über Web-Anwendungen zu gewinnen. Und solche gezielten Angriffsversuche sind sehr verbreitet: Bei nahezu jedem Web-Server lassen sich Spuren davon in den Web-Logs finden.

Erfolgreiche Hacker-Angriffe auf Unternehmensportale oder E-Business-Anwendungen sind dabei nicht nur Image-schädigend, sondern sorgen in der Folge auch zunehmend für massive finanzielle Einbußen. Denn ob sich hinter den Angriffen gezielte Wirtschaftsspionage, die sich auf das Aushorchen aller über die Anwendung und daran angeschlossene Datenbanken erreichbare Informationen konzentriert, verbirgt oder ob die Angriffe Transaktionen unter Vorgabe falscher Identitäten oder Manipulation von Daten wie Preisen, Stückzahlen oder Rabatten zum Zwecke des Betrugs mit sich bringen: die wirtschaftlichen Folgen für das Unternehmen sind oft kaum absehbar.

Normale Netzwerk-Firewalls zur Absicherung der Unternehmensnetze bieten hier nur einen geringen Schutz. Denn diese „Schutzwälle“ haben die Aufgabe, alle HTTP-Zugriffe auf den Web-Server als erwünscht durchzulassen –  und damit unter Umständen also auch mögliche Web-Angriffe von außen, so dass Web-Server und -Anwendungen im Internet Browser-Angriffen auf Port 80 oder 443 schutzlos gegenüber stehen.
 

Typischerweise erstellen Angreifer zunächst Listen der Schwachstellen, um sich dann aus den möglichen Angriffspunkten diejenigen auszusuchen, welche die für ihre Zwecke größte Wirkung erzielen können. Für diese Angriffsmethode brauchen Angreifer noch nicht mal spezielle Tools  
einzusetzen – ein normaler Browser reicht völlig aus, um die Angriffsmuster an die Web-Anwendung zu übergeben. Daher sind solche Attacken in vielen Fällen auffallend einfach und schnell ausführbar. Schützen können sich Unternehmen dagegen mit einer Web Application Firewall (WAF): Diese schützt Web-Anwendungen genau da, wo diese ‚schwach’ – also genau an dem Punkt, an dem herkömmliche Firewalls an ihre Grenzen stoßen.
Denn da externe Angriffe fast immer anwendungstypisch sind, müssen Unternehmen ein positives Sicherheitsmodell implementieren, mit dem sie Anfragen an die Anwendung nach „zulässig“ oder „nicht zulässig“ detailliert filtern können. In Kombination mit Load-Balancern und Traffic-Optimizern sind WAF-Lösungen daher nicht nur ein probates Mittel zur Absicherung von Unternehmensportalen und E-Business-Anwendungen, sondern gewährleisten gleichzeitig auch die geforderte Performance und Verfügbarkeit im täglichen Geschäftsbetrieb.

Performance und Sicherheit – ein starkes Team
Zusammenfassend lässt sich sagen, dass eine WAN-Optimierung für sich alleine genommen wenig Sinn macht, wenn nicht gleichzeitig auch die Sicherheit der Anwendungen gewährleistet ist. Und ebenso wenig hilfreich ist es, wenn die Anwendungen zwar sicher, aufgrund miserabler Zugriffs- und Verarbeitungszeiten allerdings kaum nutzbar sind und so die Geschäftsprozesse im Unternehmen empfindlich stören. Nach heutigem Stand sollten Unternehmen daher vor allen Dingen auf konsolidierte Web Application Firewall-Lösungen zur Absicherung von Firmenportalen und E-Business-Anwendungen setzen, die geeignet sind, ihre Anforderungen an Sicherheit, Verfügbarkeit und Performance ausreichend zu erfüllen.


E-Mail an den Autor     Artikel weiterempfehlen