Management- Landkarte Teil2: technische Methoden

Schreibe eine Antwort

Bei den technologischen Methoden und Verfahren ist es extrem wichtig, die Menge der eingesetzten Methoden so klein als möglich und so umfangreich wie nötig zu halten. Konkurrierende Methoden führen zu Intransparenz und stark erhöhtem Aufwand.

Beispiel:
Wenn man als Autorisierungsinstanz Microsoft Active Directory und Oracle LDAP Server gleichermaßen einsetzt, führt das auch bei stringentem Einsatz von Richtlinien auf beiden Seiten (über kurz oder lang) zu Abweichungen in den Berechtigungen und in den genutzten Accounts. Strukturelle Sicherheitslücken sind eine Folge. Software- Migrationen werden unnötig erschwert, weil Authentifizierungsverfahren nicht kompatibel sind,

Komplexität in den Griff bekommen: Keep IT simple

Erfolgreiche IT-Organisationen gestalten ihre Prozesse so einfach und transparent wie möglich. Sie benutzen wesentlich weniger Softwareplattformen und Anwendungen, darüber hinaus setzen sie auch bei der Hardware auf einfache, effiziente Lösungen. (Quelle:

Gesenkte Komplexität in der IT verbessert auch die Prozesse anderer Abteilungen. Dabei setzen Sie vor allem auf Standardlösungen und auf möglichst einheitliche Datenbestände On-Premise und in der Cloud. Es gibt immer nur eine wahre Daten-Quelle.

Technische Methoden für den Erfolg

Die nachfolgenden Methoden sind die das Mindestmaß an Struktur, die eine IT Organisation benötigt. Sicherlich gibt es weitere Methoden, die notwendig werden können, wenn kann im konkreten Fall erfolgreich IT betreiben will.

  • User Life Cycle Management / Identity Access Management
    Ein Großer Teil der Angriffe erfolgen über Identitätsklau. Dabei wird mit verschiedenen Methoden versucht, an Identitäten im Unternehmen zu kommen und mit deren Hilfe weitere Identitäten mit höheren Rechten zu erlangen.
  • Enterprise Access Management
    Ein wichtiger Bestandteil User Life Cycle Managements ist die Sorge um Konten, die erhöhte Rechte bis hin zur Enterprise Administration, haben. Sie sind eins der eigentlichen Angriffsziele von Hackern. Deshalb ist konsequente Betrachtung von Authentifizierung und Autorisierung genau so wichtig der Schutz unternehmenswichtiger Daten und Informationen.
  • Software Life Cycle Management
    Die Menge der Software bestimmt die Lizenz- und – noch wichtiger – die Prozesskosten.
    Denn Software muss verteilt, in das Berechtigungskonzept eingepasst, gewartet und aktualisiert werden.
  • Vulnerability- Management
    Schwachstellen (Vulnerability-) Management ist die Zentrale Methode, Schwachstellen in der IT-Infrastruktur zu erkennen, zu bewerten und zu sanieren. Das gilt nicht nur für programmatische Schwachstellen, die immer wieder in jeglicher Software auftreten, sondern auch für das Design der IT-Infrastruktur und alle damit eingesetzten Prozesse.
  • Certification- Management
    Neben User Life Cycle Management / IAM ist der gezielte Einsatz und Pflege von Zertifikaten existentiell für eine sichere IT-Infrastruktur. So sollten nicht nur alle Devices und User mit Zertifikaten abgesichert werden. auch alle Kommunikationsbeziehungen sind verschlüsselt auszuführen.
    Darüber hinaus sind alle Scripte, die der Automation dienen, mit einem Zertifikat zu signieren.
  • Aufbau der IT-Infrastruktur nach Security Levels
    Security-Levels bilden die Vertrauenswürdigkeit eines Netzwerkes je VLAN ab. Je höher der Security-Level ist, desto vertrauenswürdiger ist sie. Hohe Security-Levels haben per Default Zugriff auf niedrige Security-Zonen, andersrum wird der Zugriff verwehrt. Kommunikation zwischen Zonen desselben Security-Level werden per Default geblockt.

Folgende Security- Level bilden aus meiner Sicht das Minimum:

  • DATA (Level 5)
    DATA ist mit der höchsten Vertraulichkeitsstufe belegt. Hier werden alle strukturierten und unstrukturierten Daten (Datenbanken, Datei), das Active Directory und die Zertifikatsserver. Darüber hinaus sind Backup- , Deployment- und Automationsumgebungen in diesem Level, aber technisch getrennt unterzubringen.
    Alle Systeme in dieser Zone sind existentiell für das Unternehmen.
  • APPLICATION (Level 4)
    Im Security Level APPLICATION sind die Applikationsserver und Web- Frontends zu finden, mit denen ein interner Mitarbeiter kommuniziert. Diese Applikationsserver kommunizieren wiederum mit den Datenbankservern in DATA (Multi-Tier-Anwendungen)
    Im Best Case können diesen Systeme on Demand neu deployed werden. Alternativ müssen sie aus einem aktuellen Backup jederzeit wieder hergestellt werden können, um den Betrieb zu gewährleisten.
  • WORKSPACE (Level 3)
    Im WORKSPACE sind alle Arbeitsplätze (intern wie extern) zu finden. Sie kommunizieren in der Regel nur mit den Systemen im Security Level APPLICATION.
  • DMZ / PERIMETER (LEVEL 2)
    Die Kommunikation mit externen Partnern B2B oder B2C wird in der Regel über die DMZ abgehandelt. Hier stehen Frontends, wie beispielsweise Shop Systeme, die die Kommunikation mit Kunden und Partnern ermöglichen. Diese Systeme haben keinerlei Datenhaltung (Ausnahme: Konfigurationsdaten). Sie bedienen sich abgesicherter System in APPLICATION. Sie sind im Schadenfall innerhalb kürzester Zeit durch automatisch neu aufgesetzte Systeme ersetzbar.
  • INTERNET (Level 1)
    Das Internet ist grundsätzlich Böse! -:) Natürlich ist das Internet nicht grundsätzlich böse, hat es doch in den letzten Jahrzehnten zu Prosperität und Wohlstand signifikant beigetragen. Es gilt jedoch, sich vor den Gefahren die durch das Internet bis in das Unternehmen getragen werden können, umfangreich und permanent zu schützen.
  • Staging
    In den Anfängen der IT hieß es „Never touch a runnnig system!“ Daas gilt in abgewandelter Form auch heute noch:

    „Never touch a prodution system without a Change“

    Das bedeutet, das jegliche Entwicklung und Test aus dem Produktionsnetzwerk verbannt werden muss, um höchst mögliche Stabilität der Produktionsumgebung zu erreichen. Erst die fertig ausentwickelte Lösung darf in das Produktionsnetz eingebracht werden. Und das nach festen Regeln, meist im Rahmen eines Change Request und nach Freigabe und der Umsetzung, dem Change.

    Um Entwicklung und Test zu unterstützen sind eigene, vollständig unabhängige Umgebungen, die nach an der Produktions- Realität sind, notwendig. Dort können dann neue Methoden und technologieren bis zur Produktionsreife entwickelt, konfiguriert und getestet werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert