Sicherheitsmanagement
Konvergente Sicherheit
Die Interaktion unterschiedlicher Security-Lösungen von verschiedenen Herstellern ist fehleranfällig und das Management äußerst komplex. Im schlimmsten Fall führt eine Fehlerbehebung bei einer Komponente dann zu weiteren Ungereimtheiten bei den anderen Systemen. Deshalb hat die holländische Diamant-groep ihre fünf unterschiedlichen Sicherheitslösungen vereinheitlicht.
Nicht nur in wirtschaftlich angespannten Zeiten haben Menschen mit Behinderungen oder anderen Einschränkungen oftmals Schwierigkeiten auf dem Arbeitsmarkt. Per Gesetz fördert der niederländische Staat daher die Integration und Chancengleichheit. Auf dieser Grundlage agiert die Diamant-groep: An insgesamt elf Standorten in den großen Städten und angrenzenden Kommunen beschäftigt das Unternehmen Menschen mit Behinderungen sowie schwer zu vermittelnde Arbeitslose in unterschiedlichsten Bereichen, von der Gebäudereinigung bis zur Landschaftspflege. Weiterer Schwerpunkt der Diamant-groep, die zu 60 Prozent vom Staat finanziert wird, ist die erfolgreiche Vermittlung in den ersten Arbeitsmarkt.
Alle für die Arbeitskoordination, Personalverwaltung und Vermittlung notwendigen Prozesse sowie Daten werden den Niederlassungen zentral vom Standort in Tilburg bereitgestellt. Die Anbindung erfolgt über VPN beziehungsweise über redundante Glasfaser-Leitungen für die zwei größten Niederlassungen. Zuverlässige Konnektivität und Sicherheit sind entscheidend: »Niederlassungen könnten ihre Arbeit ohne Verbindung zum Hauptsitz nur für kurze Zeit weiterführen, da wichtige Arbeits- und Personalinformationen, wie Krankmeldungen, fehlen würden«, sagt Eric Wijn, IT-Verantwortlicher der Diamant-groep. »Durch die Vielzahl der gespeicherten, äußerst sensiblen Daten zu unseren rund 3000 Beschäftigten, muss zudem die unbedingte externe und interne Datensicherheit zu jedem Zeitpunkt gewährleistet sein.«
Mission: Komplexität runter, Flexibilität rauf
Um der wachsenden Zahl unterschiedlicher Bedrohungen begegnen zu können, hat die Diamant-groep über die Jahre eine Reihe von spezialisierten Einzellösungen implementiert: Neben einer Firewall-Appliance und einem VPN-Concentrator waren dies ein weiterer Security- und Acceleration-Server sowie Appliances für URL-Filtering und Anti-Malware – insgesamt fünf Produkte von vier international namhaften Netzwerk-Hardware und Security-Anbietern. Im Laufe der Zeit hatte die Diamant-groep aber immer stärker mit einem typischen Problem historisch gewachsener Infrastrukturen zu kämpfen: Dem Management. »2009 war ein Punkt erreicht, an dem die Lösung eines Problems sofort zu zwei oder drei neuen geführt hat. Komplexität und Interdependenz der Systeme machte die Administration sehr mühselig und verhinderte die Integration neuer Anforderungen. Die Einführung einer konvergenten Lösung mit entsprechendem zentralen Management war daher unumgänglich.«
Als weitere Herausforderung zeigte sich die Bereitstellung flexibler Optionen für die VPN-Anbindung, denn auch bei der Diamant-groep ist ein stetiges Wachstum von Home-Offices und mobilen Mitarbeitern zu verzeichnen. Auf einen Großteil der für den Fernzugriff genutzten Systeme hat die Diamant-groep aber keinen administrativen Zugriff, deshalb stand die unkomplizierte Kombination von SSL- und IPsec-VPNs ganz oben auf der Wunschliste – auch, um den Helpdesk von VPN-Client-Installationen und daraus folgenden Trouble-Calls zu entlasten.
Entscheidung in letzter Minute
Obwohl das Team um Eric Wijn bereits stark zu einer Verlängerung der bestehenden Herstellerbeziehungen tendierte, entschied sich die Diamant-groep dann kurzfristig zur Einführung der Netfence-Appliances von Phion. Der Auslöser: »Das Managementkonzept von Phion hatte unser Interesse geweckt. Darüber hinaus hat Phion eine Reputation als Partner für hochsichere Umgebungen in Banken und Versicherungen, was auf Grund unserer Vielzahl an sensiblen Daten ebenfalls attraktiv war. Da wir sehr schnell und unkompliziert eine Teststellung erhielten, vertagten wir die Entscheidung.«, sagt Eric Wijn.
Dieser Entschluss erwies sich während der Teststellung als richtig, denn sowohl hinsichtlich des Management als auch möglicher Kosteneinsparungen überzeugte die Lösung. Die Herausforderungen der Implementierungsphase wurden in Zusammenarbeit mit Phion erfolgreich bewältigt, so dass die neue Infrastruktur im Juni 2009 live gehen konnte. Dazu Eric Wijn: »Bei komplexen Projekten treten natürlich auch Schwierigkeiten auf, die den Support des Herstellers fordern. Aus unserer Erfahrung unserem niederländischen Ansprechpartner bei Phion, kann ich aber sagen: Phion hört wirklich auf die Bedürfnisse seiner Kunden und arbeitet mit Engagement an einer Lösung.«
Drei Hersteller gehen, einer kommt
Mit Einführung der Netfence-Appliances an allen Standorten konnten die Aufgaben der bisherigen Firewall, des VPN-Concentrators und des Security- und Accelaration-Servers in einer Infrastruktur konsolidiert werden. Erstmalig erhält die Diamant-groep damit zentralen und problemlosen Zugriff auf alle Konfigurationen der Niederlassungen. Gleichzeitig wird die Komplexität drastisch reduziert, da alle unternehmensweiten Sicherheitsregeln und Einstellungen im Management-Centre klar und übersichtlich zur Verfügung stehen. Zentrales Management umfasst hierbei nicht nur VPN- und Firewall-Policies, sondern auch andere Parameter wie Lizenzen. Per Drag-and-Drop und Graphical-Tunnel-Interface lassen sich zudem VPN-Tunnel hinzufügen oder umleiten und verzweigte Konnektivitätsinfrastrukturen verwalten. Die Vorteile kann Eric Wijn klar beziffern: »Regeln werden einmal definiert und dann unternehmensweit zuverlässig umgesetzt. Statt unklarer Abhängigkeiten haben wir jetzt eine durchgehende Transparenz der gesamten Infrastruktur. In Arbeitszeit bedeutet dies: Bislang musste ein System-Engineer pro Woche mindestens einen Tag für die Administration aufwenden, oftmals mehr. Heute sind es nur noch zwei Stunden.«
Dieselben Vorteile zeigen sich beim URL-Filtering, so dass die bisher eingesetzte Appliance ebenfalls überflüssig wurde. Das URL-Filtering bei Phion nutzt die weltweit umfangreichste URL-Datenbank mit mehr als 87 Millionen analysierten URLs und 7 Milliarden Webseiten und Bildern. Täglich suchen 1200 Web-Crawler das Internet nach neuen oder veränderten Inhalten ab, so dass jeden Tag rund 100000 neue Webseiten erfasst werden. »Mit dem URL-Filtering sind alle Standorte ohne zusätzlichen Aufwand immer auf demselben, aktuellen Stand. Auf Grund der bisherigen Erfahrungen können wir uns auf jeden Fall vorstellen, zukünftig auch den Anti-Malware-Schutz mit Netfence-Appliances abzudecken«, sagt Eric Wijn.
Flexible VPN-Bereitstellung nach Bedarf
Um unterschiedlichen Szenarien bei der VPN-Bereitstellung gerecht zu werden, ermöglicht Phion die Kombination von SSL- und IPsec-Technologien. Die Konvergenz der Zugriffmethoden in einem Management-Interface gewährleistet dabei die umfassende Compliance mit den unternehmensweiten Security-Policies. Für die Diamant-groep bedeutet dies: Private Systeme, die nicht der administrativen Kontrolle der IT-Abteilung unterliegen, können über SSL-VPN ohne Software-Installation gesicherten Zugriff erhalten. Gleichzeitig lassen sich für alle anderen Systeme die herkömmlichen VPN-Methoden nutzen. »SSL-VPN gibt uns die Möglichkeit, Anwendern einen schnellen und sicheren Zugang zu öffnen, ohne dass der Helpdesk mit Installationen belastet wird«, sagt Eric Wijn. »Trotzdem behalten wir immer den Überblick über die Gesamtheit der VPN-Infrastruktur.«
Mit Einführung der Netfence-Appliances hat die Diamant-groep nach eigener Ansicht erfolgreich die fünf zentralen Anforderungen an eine zukunftssichere Infrastruktur für Konnektivität und Sicherheit erfüllt: 1. Zentrales Management aller Standorte vom Hauptsitz aus; 2. Erheblich reduzierter Administrationsaufwand; 3. Flexible und schnelle Reaktion auf neue Situationen; 4. einfache Bereitstellung von VPN-Zugängen für Home-Offices und 5. erhöhte Sicherheit für sensible Daten.
Timm Friedrichs, Phion
Lesen Sie mehr zum Thema
