Neue Perspektiven zu Consumerization und BYOD

NetzwerkeSicherheit

Viele Firmen gehen davon aus, dass Consumerization ein gerätebezogenes Thema ist und Kontrolle auf Geräteebene stattfinden muss. Was zählt, sind jedoch die Applikationen und die Benutzer, aber die werden im Netzwerk gesteuert. Das Problem wird also durch das Gerät verursacht, die Lösung ist jedoch im Netzwerk zu suchen, meint Achim Kraus, Senior Consultant Strategic Accounts bei Palo Alto Networks.

Zwei der größten Herausforderungen für die IT sind heute die sogenannte Consumerization und Bring Your Own Device (BYOD). Beides sind heiße Themen, die durch die Beliebtheit von Consumer-Computing-Plattformen noch weiter vorangetrieben werden, allerdings handelt es sich um zwei unterschiedliche Sachverhalte. Der Begriff “Consumerization” beschreibt die Auswirkungen der Tatsache, dass die Vorlieben der Mitarbeiter bei der Auswahl der Technologie mit ins Spiel kommen, nämlich mit den jeweiligen persönlichen Affinitäten in Bezug auf Funktionalität und Benutzerfreundlichkeit von Smartphones, Laptop-Betriebssystem oder Tablets. BYOD geht noch einen Schritt weiter: hier erwerben die Mitarbeiter ihre eigenen Geräte und nutzen diese am Arbeitsplatz – mit oder ohne Unterstützung der IT.

Consumerization spielte sich jahrelang in der Tasche ab. Kleine Gruppen von Benutzern drückten so ihre persönlichen Ansichten zur Auswahl von Applikationen und Plattformen aus. Mit der Verfügbarkeit von mobilen Endgeräten für die breite Masse wurde daraus jedoch ein Mainstream-Thema, mit dem sich auch Unternehmen auseinandersetzen müssen. In der Studie “Global State of Information Security” von PriceWaterhouseCoopers aus dem Jahr 2012 gaben 43 Prozent der Befragten an, eine Strategie für die Benutzung persönlicher Geräte durch die Mitarbeiter zu haben.

Achim Kraus, der Autor dieses Expertenbeitrags für ITespresso, ist Senior Consultant Strategic Accounts bei Palo Alto Networks.

Es ist jedoch eine unausgesprochene Tatsache, das es trotz vorhandener Strategie und Richtlinien äußerst frustrierend sein kann, diese Regeln auf unterschiedlichen Technologien durchgängig umzusetzen. Die Auswirkungen der Consumerization auf die Geräte ist ein Thema mit wachsender Bedeutung, das sich auf eine Vielzahl verschiedener Kontrollpunkte auswirkt und zu großen administrativen Schwierigkeiten führen kann.

BYOD geht noch einen Schritt weiter als die Consumerization – hier zeigen sich die Auswirkungen dann, wenn Mitarbeiter ihre Geräte richtlinienwidrig einsetzen. Jede Lücke zwischen gewünschter Richtlinie und umsetzungsfähiger Richtlinie birgt nicht quantifizierbare Risiken – genau das fürchten die Security-Teams.

Viele Unternehmen leben in der Annahme, Consumerization sei ein gerätebezogenes Thema und die Kontrolle müsse auf Geräteebene stattfinden. Betrachtet man das Spektrum an Geräten, die unter den Begriff Consumerization fallen, so scheint es, als sei die Zahl der Tools ebenso groß wie die Zahl der Geräte. Da gibt es ein Tool für gemanagte Laptops, eins für Mobilgeräte, und obendrein noch verschiedene Tools für nicht gemanagte Laptops und Mobilgeräte. So verfügt zum Beispiel der Vice President über einen von der IT gestellten Laptop mit Mac OS X, ein persönliches Smartphone, das den Firmenrichtlinien unterliegt, und ein persönliches iPad, das diesen Richtlinien nicht unterliegt. Logisch wäre es, ein Management-Tool pro User einzusetzen, in diesem Beispiel jedoch gibt es drei verschiedene Tools.

Laptop-Management

Firmenlaptops unterliegen den Gesetzen der Desktop-Management-Tools. Diese Systeme können den Endpunkt erkennen, dem Nutzer Zugang zum Netzwerk ermöglichen sowie Packages und Patches auf das Gerät pushen. Für Geräte, die vom Unternehmen gesteuert werden, funktionieren diese System auch gut. Es gibt jedoch unzählige Betriebssysteme, die nicht so einfach unterstützt werden. Mit der Consumerization kommt auch Mac OS X in Spiel. Bemerkenswert ist jedoch, dass es in Unternehmen auch zahlreiche Windows-7-Desktops gibt, die noch auf Windows XP standardisiert sind.

Das ist aber noch nicht alles: Es gibt zudem Linux-Laptops und Chrome-OS-Netbooks, und aktuell steht Windows 8 auf ARM-Prozessoren vor der Tür. Fragt man eine beliebige IT-Abteilung, bekommt man zu hören, dass sich das Desktop-Management bereits mit standardisierter Hardware und Corporate Image schwierig gestaltet. Nun kommen noch die Consumerization und andere Sachen hinzu, die noch viel schwieriger zu betrieben und abzusichern sind, insbesondere Plattformen, die nicht zu den ursprünglichen Anforderungen des Desktop-Management-Tools gehören.

Betrachtet man privat genutzte Computer, so sind Laptops von externen Partnern des beste Beispiel dafür, wie die IT mit nicht-standardmäßigen Corporate Images in ihrem Netzwerk klarkommen muss. Die Externen sitzen direkt neben den internen Mitarbeitern, sind mit dem gleichen Subnetz verbunden und greifen auf dieselben Applikationen und Ressourcen zu. Trotzdem ist der externe Laptop nicht Bestandteil des Corporate Image und wird nicht von der IT gesteuert – und somit ist fraglich, ob das Gerät die Sicherheitsregeln erfüllt, die für interne Mitarbeiter gelten.

IT-Abteilungen von Unternehmen sind oftmals über die Risiken besorgt, die von diesen Endpunkten ausgehen. Dies gilt insbesondere dann, wenn es doch einmal ein infiziertes System ins Netzwerk schafft. Weil die Mitarbeiter aufgrund der Consumerization zusätzlich private Laptops mitbringen, wird es zunehmend schwieriger, zuverlässigen Schutz vor Malware zu bieten und das Patch Management zu meistern.

Management für Smartphones und Tablets

Die Gerätesteuerung für Smartphones und Tablets erfordert vollständig andere Rahmenbedingungen, die unter dem Begriff Mobile Device Management (MDM) zusammengefasst werden. Die meisten Firmen verfügen bereits über eine produktive Gerätemanagement-Plattform: den altehrwürdigen BlackBerry Enterprise Server. Um die Consumerization sowie die Einführung weiterer Geräte zu unterstützen, von denen auch einige Eigentum der Mitarbeiter sein können, fügen Unternehmen derzeit ein zweites MDM hinzu, um den BlackBerry Enterprise Server zu ersetzen oder zu ergänzen. Mobile Device Management Tools bieten Richtliniensteuerung für Smartphones und Tablets und haben den Vorteil, per Drahtlosnetzwerk auch Änderungen an Geräten vornehmen zu können, die sich nicht im Firmengebäude befinden.

Mit einem MDM lassen sich Richtlinien auf gemanagten Unternehmens- oder Privat-Smartphones oder Tablets durchführen, allerdings ist damit keine Verwaltung oder Steuerung von nicht gemanagten Geräten im Netzwerk anhand von Unternehmensrichtlinien durchführbar. Wie oben schon erwähnt, lassen sich mit einem MDM auch nicht alle Arten von Laptops steuern. Aus Sicht der Privatgeräte muss der Mitarbeiter entweder eine Richtlinie oder eine Applikation installieren, die von der IT-Abteilung gesteuert wird und die durchaus zu Reibungsverlusten führen kann.

So kann eine MDM-Richtlinie beispielsweise dazu führen, dass der User bestimmte Einstellungen auf seinem Privatgerät nicht mehr ändern kann. Es gibt auch Szenarien, bei denen die IT sowohl Firmendaten als auch private Daten löschen muss. Um diese Problematik zu umgehen, suchen Unternehmen nach Zusatzmaßnahmen zur Datenpartitionierung, zum Beispiel den Einsatz sogenannter “Wrapper”, um Firmenanwendungen auf dem Mobilgerät herum, um die Firmendaten vom Rest des Speichers zu isolieren.

Umgang mit nicht gemanagten Privatgeräten

Das Privat-Tablet, das der Vice President in der Arbeit verwendet, unterliegt weder den Gesetzen des Desktop-Management noch des Mobilgeräte-Managements. Anstatt jedoch das Gerät selbst steuern zu können, bevorzugen einige Anbieter Lösungen, die auf einer Zugangssperre zum Netzwerk basieren. Zu diesen Methoden gehört auch Network Access Control (NAC). Dabei werden zulässige Geräte identifiziert und anderen Geräten der Zugang zum Netzwerk verwehrt.

Im Prinzip ist es eine kluge Idee, mit NAC zulässige Geräte zu profilieren und zu identifizieren, jedoch machen einige Herausforderungen die Implementierung in der Praxis kompliziert. Die Schwierigkeit besteht darin, dass es eine Vielzahl an Geräten gibt, die unter BYOD zulässig sind – genau herauszufiltern, wer ins Netzwerk darf und wer nicht, kann dabei knifflig werden. So kann zum Beispiel ein Gerät für bestimmte Anwendungen zulässig sein, für andere wiederum nicht. Die korrekte Nutzung abzubilden, ist daher nicht trivial.

Zum Beispiel könnten Tablets von einem ordnungsgemäß konfigurierten Unternehmensendpunkt aus problemlos auf das Intranet zugreifen, jedoch für das CRM gesperrt sein. Das Erstellen einer Liste von Ausnahmen für alle möglichen Geräte, deren Gebrauch richtlinienkonform ist, kann eine undankbare Aufgabe sein, insbesondere angesichts der Geschwindigkeit, mit der Mitarbeiter ins Unternehmen ein- und austreten, und der Anzahl an Geräten, die jeder der Mitarbeiter besitzt. Dies ist gerade für die Netzwerkspezialisten eine Herausforderung, die normalerweise nicht mit einem so hohen Volumen an Changetickets arbeiten; Grund für dieses hohe Volumen ist die explosionsartige Zunahme an Mobilgeräten.

Vor Kurzem besuchte ich einen Kunden, und der Leiter Netzwerksicherheit eröffnete das Meeting mit der Frage “Wozu brauche ich Mobile Device Management?” Zuerst referierte ich über die wichtige Rolle, die Mobile Device Management im Hinblick auf Richtlinien für gemanagte Geräte spielt und wie dies zum Beispiel mit der Firewall von Palo Alto Networks zusammenspielt. Dann erkannte ich jedoch, dass er lediglich seine Sicht auf BYOD darlegen wollte. Daher diskutierten wir dann den breiteren Denkansatz, dass es sich bei Consumerization und BYOD um ein Problem mit der Verbreitung von Geräten handele, welches zu kontrollieren ist.

Im Laufe des Gesprächs stimmten wir überein, dass der Kern des Problems darin besteht, mit nicht gemanagten Geräten umzugehen, und dass das ein Netzwerksteuerungs-Problem ist. “Das Problem bei BYOD ist, dass das unternehmen keinerlei Kontrolle darüber hat, was die User mit ihren eigenen Geräten machen. Das heißt, man kann sich nicht auf den User verlassen, damit dieser etwas installiert, um das Gerät unter Kontrolle zu bringen”, so der Kunde. “Ich habe keine Kontrolle darüber, was die Nutzer machen, aber ich habe Kontrolle über das Netzwerk, und genau da setze ich an.”

So begannen wir, über Network Access Control (NAC) und seine Anwendungsfälle zu diskutieren. NAC kann die Geräte beschränken, die auf das Netzwerk zugreifen dürfen, aber ist dies wirklich eine gute Methode mit BYOD und nicht gemanagten Geräten umzugehen? Das Problem ist doch nicht, alles auszusperren, was keine Berechtigung hat, sondern zu steuern, was erlaubt ist.

NAC funktioniert aber am besten in einer geschlossenen, statischen Umgebung mit unternehmensinternen Geräten. Unter diesen Voraussetzungen ist es relativ leicht, festzulegen, welche Geräte Zugang erhalten. Ein Unternehmen mit Hunderten von Verkaufsläden kann zum Beispiel an jedem Standort eine definierte Ausrüstung haben. Zum Beispiel gibt es in jedem Laden drei Kassen, drei POS-Geräte, einen PC im Büro des Leiters und zwei Internet-Kiosks. Mitarbeiter kommen und gehen, aber das Equipment bleibt. Mit NAC kann man sicherstellen, dass diese Geräte die einzigen sind, die im Laden betrieben werden, und dass es keine Probleme mit BYOD gibt, weil ja nichts anderes online gehen kann.

Die Herausforderung für NAC ist der Umgang mit einer ganzen Vielfalt an Geräten, und ein Unternehmensnetzwerk unterscheidet sich fundamental vom der Umgebung im Einzelhandel. Am Unternehmenssitz findet sich eine breitere Landschaft an Nutzern, Applikationen und Geräten, und hier schnell festzustellen, worum es sich handelt, kann schwierig werden.

Die Next Generation Firewall setzt die Messlatte für den Aufbau passender Kontrollen im Netzwerk höher. Da sie applikationssensitiv ist, kann sie entscheiden, welcher Traffic zulässig ist und welcher nicht. Im BYOD-Szenario könnte zum Beispiel eine allgemeine Richtlinie den Zugriff auf geringwertige Applikationen (etwa die Speisekarte der Kantine) freigeben, und den Zugang zu sensiblen Applikationen (zum Beispiel die Kundendatenbank) sperren. Die Firewall verknüpft außerdem die Netzwerkrichtlinien mit Benutzern und Gruppen und stellt somit sicher, dass nur berechtigte Nutzer auf die freigegebenen Applikationen zugreifen können. Anhand dieser Grundregeln kann das Unternehmen festlegen, was eigentlich zulässig ist, ohne sich in jedem einzelnen Fall mit den Problemen herumzuschlagen, die aus der Identifizierung nicht freigegebener Geräte resultieren.

Bei näherwer Betrachtung sind das die eigentlichen Probleme, die gelöst werden müssen, um das Szenario mit nicht gemanagten Geräten anzugehen. Was zählt, sind Applikationen und Benutzer, und genau das wird im Netzwerk gesteuert. Das Problem liegt zwar am Gerät, aber die Lösung liegt im Netzwerk.

Die Grundlage für die Absicherung besteht darin, die Benutzer und die Applikationen, auf die sie zugreifen, zu kennen – das sollte unabhängig vom verwendeten Gerät stets gewährleistet sein. Kennt man seine Benutzer und die Applikationen genau, so kann man auch die Geräte über engmaschige Steuerung kontrollieren. Entsprechen die Laptops der Mitarbeiter den internen Vorgaben? Verwendet ein Mitarbeiter ein nicht identifiziertes Gerät? Ist ein Nutzer für den zugriff auf die Applikation freigegeben, sind die genauen Bedingungen festzulegen.

Im Gespräch mit dem Kunden war das exakt der Gedankengang, den er verfolgte. Obwohl er die Palo-Alto-Firewalls ursprünglich angeschafft hatte, um seine vorherigen Firewalls an der Netzwerkgrenze und im Rechenzentrum zu ersetzen, stellten diese sich nun als Basis für die Lösung seiner BYOD-Problematik heraus. Die IT kann einen Finanzer für den Zugriff auf Finanzapplikationen freigeben, wenn dieser einen internen Laptop nutzt, bei dem sichergestellt ist, dass der Endpunkt über die nötigen Datenschutzmaßnahmen verfügt.

Greift der selbe Benutzer von seinem privaten iPad auf die selbe Applikation zu, kann der Zugang eingeschränkt werden, zum Beispiel ein Pfad über einen Remote-Desktop. Über die Remote-Desktop-Sitzung kann der Nutzer dann zwar auf die Applikation zugreifen, aber die Daten nicht lokal auf das Gerät herunterladen. Ein unbekannter Nutzer mit einem unbekannten iPad sieht ein Eingangsportal, das erst die Berechtigung abfragt, bevor in irgendeiner Form Zugriff gewährt wird. Danach können dann auch die entsprechenden Applikationsrichtlinien umgesetzt werden.

Mit einer Next Generation Firewall an der Netzwerkgrenze kann das Unternehmen private Geräte der Mitarbeiter beim Übergang zwischen den Sicherheitszonen kontrollieren, zum Beispiel zwischen Firmennetzwerk und Intranet. So kann etwa ein User mit seinem privaten iPad auf das Web zugreifen, und die Firewall verhindert über Content Control Policies unerwünschtes Surfverhalten gemäß den Unternehmensrichtlinien. Zusätzlich kann das Unternehmen durch Implementierung von GlobalProtect das Problem lösen, wie mit privaten Geräten der Mitarbeiter zu verfahren ist, die extern genutzt werden, und so den sicheren Zugriff auf das Firmennetzwerk gewährleisten.

Sind diese grundlegenden Kontrollen im Netzwerk installiert, ist der Einsatz einer Vielzahl an weiteren Technologien zur effektiven BYOD-Strategie umso einfacher. Doch zurück zur ursprünglichen Frage des Kunden: Mobile Device Management passt hervorragend zu all den oben genannten Kontrollen. Im Beispiel des Rechenzentrums hätte der autorisierte Benutzer mit dem nicht gemanagten Gerät nur sehr beschränkt Zugriff auf die Umgebung, ein unbekannter Nutzer hätte überhaupt keinen Zugriff.

Mit Mobile Device Management könnte ein Unternehmen, sobald die Kontrollen für die Geräte-Policy einmal aufgebaut sind, auch Optionen für weitreichenderen Zugriff umsetzen, zum Beispiel PIN, Aussperren und Löschen aus der Ferne. Möchte etwa ein Benutzer umfassenderen Zugriff von seinem privaten Gerät aus, könnte er ein Mobile-Device-Management-Profil installieren. Wie erwähnt, kann man den Benutzern zwar nicht vorschreiben, was sie mit ihren Privatgeräten anstellen, aber mit der Next Generation Firewall im Netzwerk lässt sich der Zugriff durch nicht gemanagte Geräte steuern.

Um noch mehr Funktionen nutzen zu können, kann der Benutzer auch von nicht gemanagt auf gemanagt umstellen. Hierbei gewinnen beide Seiten – das Unternehmen kontrolliert das Risiko ohne zusätzliche administrative Probleme, und Nutzer können mit ihrem bevorzugten Gerät zugreifen. Kontrollen müssen im Netzwerk umgesetzt werden, egal, ob es sich um Applikationen, Benutzer, oder um Geräte handelt.

Klar ist, dass das Netzwerk der Ort ist, an dem die IT die Kontrollen zwischen Applikationen und Benutzern aufbauen muss, und zwar unabhängig vom verwendeten Gerät. Was herkömmlichen Netzwerken jedoch fehlt, ist die Kontrollstruktur, um Applikationen, Benutzer oder Geräte nach Richtlinienkriterien zu steuern. So kann zum Beispiel eine herkömmliche Firewall nicht bestimmen, welche Applikationen, Benutzer und Geräte sich im Netzwerk befinden, obwohl dies der richtige Ort für die Umsetzung ist. Ein VPN mag zwar wissen, wer nach Eingabe seiner Zugangsdaten auf das Netzwerk zugreifen will, es weiß aber nicht, wie diese Identität mit der Trafficsteuerung der Firewall zu verknüpfen ist.

Die Methoden zur Geräteidentifizierung und Sperrung reichen von ineffektiv (zum Beispiel MAC-Adressfilterung) bis unpraktisch (zum Beispiel Network Access Control). Außerdem verfügt kein einziges herkömmliches Security-Produkt über Kontrollen zur Steuerung der Consumerization, etwa Möglichkeiten festzustellen, ob auf eine Applikation über ein IT-gesteuertes Gerät (mit der Erlaubnis zum lokalen Speichern von Applikationsdaten) zugegriffen wird.

Die Next Generation Firewall nutzt einen grundlegend anderen Ansatz für Traffic-Klassifizierung und Richtlinienumsetzung. Durch Verwendung einer App-ID, User-ID und Content-ID bietet sie Transparenz und Kontrolle in einer Kombination aus bestehenden, herkömmlichen Produkten für die Netzwerkabsicherung.

Am besten lässt sich das an einem Beispiel verständlich machen. Nehmen wir ein Unternehmen, das eine Finanzapplikation im Rechenzentrum absichern möchte, indem der Zugang für die Sachbearbeiter auf einen von der IT gemanagten Endpunkt beschränkt wird. Darüber hinaus möchte das Unternehmen zum Schutz vor Datenlecks sicherstellen, dass auf diese Klasse von Applikationen nur von einem gemanagten, im Corporate Image enthaltenen Endpunkt mit Festplattenverschlüsselung, gepatchtem Betriebssystem und aktuellen Sicherheitssignaturen aus zugegriffen wird.

All das lässt sich in der Next Generation Firewall mit einer Richtlinie umsetzen. Möglich wird dies, das die Next Generation Firewall eine App-ID für die Trafficidentifizierung nutzt, anstatt sich blind auf Portzuordnungen zu verlassen. Die Firewall identifiziert den Applikationstraffic an sich, und kann so die spezifische Finanzanwendung freigeben und gleichzeitig den unerwünschten Traffic sperren. Mit Hilfe der User-ID nutzt die Firewall-Richtlinie auch Informationen über User oder Gruppen aus einem internen Verzeichnis, um zu bestimmen, wer zum Bereich “Finanzen” gehört. Die Content-ID kann zur Überprüfung nicht zulässiger Daten (es kann zu Beispiel ein regelmäßiger Ausdruck oder ein zuvor definiertes Muster zur persönlichen Identifizierung verwendet werden) und zum Blockieren von gefährlichem oder unzulässigem Traffic genutzt werden, etwa Malware.

GlobalProtect fügt zwei weitere wichtige Fähigkeiten hinzu. Zum Einen stellt es für Endpunkte und Mobilgeräte die ortsunabhängige Verbindung mit der Next Generation Firewall her. Diese Kombination ermöglicht sowohl Remote-Zugang als auch Netzwerkabsicherung, indem sichergestellt wird, dass die Firewall für die durchgängige Umsetzung der Richtlinien sorgt, egal, ober der Nutzer sich im Netz oder unterwegs befindet. Präzise gesagt, wird damit der Ort auch zu einem richtlinienbasierten Element, wodurch das Unternehmen zusätzliche Beschränkungen für externe Benutzer festlegen kann.

Die zweite Komponente, die GlobalProtect ins Spiel bringt, ist die Fähigkeit, den Status des Endpunkts bei Auswertung der Firewall-Richtlinie zu nutzen, egal, ob dieser intern oder extern zugreift. Der Client überprüft das Vorhandensein und den Status verschiedener Sicherheits-Features und erzeugt ein Host Information Profile (HIP). Die Next Generation Firewall nutzt diese Information im Zuge der Richtlinienevaluierung. In unserem Beispiel ermöglicht dies dem Unternehmen, zu überprüfen, ob es sich um einen gültigen Benutzer mit einem ordnungsgemäß gemanagten Endpunkt handelt, bevor der Zugriff auf die Applikation im Rechenzentrum freigegeben wird.

GlobalProtect ergänzt die Mobile Device Management (MDM)-Lösungen der Technologiepartner von palo Alto, einschließlich MobileIron und Zenprise. Mit MDM erhalten nicht gemanagte Geräte den Status “gemanagt”, und im gleichen Zuge wird die Konnektivität zu GlobalProtect durch Installation eines Authentifizierungszertifikats hergestellt.

Wer mehr darüber erfahren möchten, wie die Next Generation Firewall mit der Mobile-Device-Management-Plattform zusammenarbeitet, kann sich das Video von MobileIron anschauen. Beim Webcast “Coming to Grips with Consumerization” mit Nir Zuk und Rich Mogull erfahren Interessierte zudem mehr über die Auswirkungen von Consumerization.