Objekt-Verwaltung im Netzwerk

Was ist unter Objectmanagement zu verstehen?

Im Grunde handelt es sich um eine Assoziation zwischen Namen von Dingen und Adressen im Netz. Wenn ein bestimmter Server als Datenbank-Server bezeichnet wird, dann wird er als IP-Adresse betrachtet. Es kann sich auch um eine Gruppe von mehreren IP-Adressen handeln, wenn es viele dieser Server gibt. Diese Zuordnung von Namen zu Gruppen von IP-Adressen bildet somit ein Netzwerk-Objekt. Solche Objekte werden bei der Ausarbeitung von Sicherheitsrichtlinien verwendet, um eine (Mikro-)Segmentierung des Netzes vornehmen zu können. Will man darüber hinaus eine bestimmte Art von Verbindung von einem Standort zu einem anderen zulassen, so beziehen sich diese bestimmten Standorte auf zugehörige Definitionen von Objekten.

Übliche Herausforderungen bei der Verwaltung von Netzwerk-Objekten

Die Schwierigkeiten im Umgang mit Objekten ergeben sich aus deren Umfang. Große IT-Umgebungen mit vielen Objekten – in manchen Fällen Zehntausende – begünstigen die Einschleppung von Fehlern. Wenn die Objekte falsch oder uneinheitlich definiert sind, werden die Sicherheitsrichtlinien selbst fehlerhaft, während die Computer schlicht tun, was ihnen gesagt wird. Wenn sie nun angewiesen werden, die Verbindung zur Datenbank zuzulassen und diese definierte Gruppe die falsche Sammlung von IP-Adressen enthält, dann wird das, was beabsichtigt war, nicht zugelassen.

Auswirkungen auf die Sicherheit

Unternehmen, Institutionen und Behörden, die ihre Sicherheitsrichtlinien von mehreren Anbietern verwalten lassen, verschlimmern die Probleme, die bei der Verwaltung von Objekten im Allgemeinen entstehen können, da jeder Anbieter sein eigenes System zur Verwaltung von Objekten und Definitionen verwendet. Da diese Systeme nicht synchronisiert sind und in keiner Weise miteinander kommunizieren, ergibt sich ein Super-Problem: Wenn zwei Systeme auf denselben Satz von IP-Adressen verweisen, muss dasselbe Objekt mehrfach definiert werden. Das erfordert Sorgfalt, was viel Aufmerksamkeit und Arbeitskraft bindet. Irgendwann schleicht sich irgendwo ein Fehler ein, der erst die Konnektivität und dann die Sicherheit gefährdet.

Beispiel: Namensvervielfältigung

Das einfachste Beispiel für eine solche Nachlässigkeit ist die Namensverdopplung, wenn zwei Kopien desselben Namens zwei verschiedene Bedeutungen haben: Man hat eine Reihe von Datenbank-Servern in „Umgebung eins“ gruppiert, die drei IP-Adressen aufführt. Außerdem hat man diese Server in „Umgebung zwei“ gruppiert, aber nur 2 IP-Adressen sind enthalten, weil jemand vergessen hat, die dritte hinzuzufügen. Bei Richtlinien, von denen sich einige auf die erste und einige auf die zweite Definition beziehen, sieht auf den ersten Blick alles gut aus, weil derselbe Name angezeigt wird und man daher annimmt, dass er dasselbe bedeutet. Dies ist jedoch nicht der Fall, denn obwohl die Namen gleich lauten, bewirken sie technisch gesehen nicht dasselbe. Es besteht also die Gefahr, dass man denkt, der Datenverkehr sei erlaubt worden, obwohl dies nicht der Fall ist, und sich gleichzeitig über Anwendungsfehler wundert.

Auf der anderen Seite – mehrere Definitionen oder unterschiedliche Namen, aber derselbe Inhalt – ist dies in erster Linie ein Problem der Fehlkommunikation: Wenn man die Anforderungen mit einem Kollegen bespricht und nur unterschiedliche Namen für ein System kennt, wird Zeit verschwendet, weil keiner versteht, wovon der andere spricht. Es verschlingt auch Kapazität, weil man mehrere Kopien derselben Sache anfertigt, was aber Speicherplatz und Arbeitszeit vergeudet. Am Ende hat man dieselben Dinge unter verschiedenen Namen erstellt, was zu Verwirrung führt.

Automatisierung der Verwaltung schafft Ordnung

Ein synchronisiertes System, das sicherstellt, dass nur eine Quelle verfügbar ist, unabhängig von der Herkunft der Definition oder des ausführenden Systems, ist der richtige Weg. Zudem sollte diese Quelle nicht einfach prozedural, also allgemein gültig sein. In komplexen IT-Umgebungen, die aus Cloud-, Rechenzentrum- und hybriden Strukturen bestehen, reicht es nicht aus, ein Dokument zu erstellen, das alle Netzwerkobjekte in „System A“ definiert und von dort in ein anderes System kopiert. Denn ein solches Dokument ist nur dazu gut, den Schuldigen zu finden, wenn etwas Schlimmes passiert. Benötigt wird hingegen ein System, das die Kopien und Definitionen in den verschiedenen IT-Umgebungen, in denen sie verwendet werden, automatisch synchronisiert und den Mitarbeitern hilft, Fehler gar nicht erst zu machen.

Die Schwierigkeiten von Konzernen und großen Institutionen

In einem kleinen Unternehmen gibt es eine kleine Abteilung von Netzwerkern, die einen guten Blick über alle Vorgänge hat und die Dinge einigermaßen in Ordnung halten kann. Bei einem großen Unternehmen mit einer wachsenden Zahl von Mitarbeitern, einer mehrjährigen Firmengeschichte und Tausenden von Geräten, die über die ganze Welt verteilt sind, sowie einer Hierarchie von Verantwortlichkeiten und Zugriffsrechten wächst die Herausforderung, diese Netzwerke und Objekte sauber zu verwalten. Wenn man nun in eine solche Organisation eintritt, die im Laufe ihres Bestehens und im Rahmen ihrer Richtlinien 20 000 verschiedene Objekte definiert hat, ist es eine gewaltige Aufgabe, eine Quelle zu finden und die Struktur zu vereinfachen. Außerdem wächst das Problem, weil jeden Tag neue Objekte definiert werden.

Die geschäftlichen Vorteile eines guten Objectmanagements

Wenn der Eigentümer einer Anwendung auf die Konnektivität verweist und diese für seine Anwendung zulassen möchte, ist für alle Beteiligten, sowohl für Menschen als auch für Computer, klar, worum es geht: Die Übersetzungsschwierigkeiten zwischen verschiedenen Systemen und Umgebungen sollen beseitigt werden. Wenn etwas „SQL-Datenbank 17“ heißt, dann ist der Verweis darauf eindeutig, egal ob man sich auf Regeln in einer bestimmten Firewall-Variante bezieht oder ob es sich um eine in einer Cloud definierte Richtlinie handelt. Wenn man aber mit Tausenden dieser kleinen bürokratischen Herausforderungen konfrontiert wird, werden sie zu einem massiven Problem und enden in Verzögerungen oder Ausfällen – oder sie führen sogar zu Sicherheitslücken und ziehen IT-Attacken und Malware an. Eine saubere, automatisierte Verwaltung von Netzwerk-Objekten ist dagegen ein klarer Vorteil für jedes Unternehmen und jede Behörde, denn: Wenn alles korrekt und konsistent über alle Systeme hinweg definiert wurde, können die Anwendungseigentümer sorgenfrei arbeiten, weil sie wissen, dass es keine Missverständnisse gibt. Was sie meinen, wird verstanden und so umgesetzt. Das ist eine große Erleichterung, denn Genauigkeit sorgt für Effizienz. Ungenauigkeit hingegen führt zu Fehlern, die in der Folge eine Neubewertung des gesamten Netzes erfordern. Läuft hingegen die Verwaltung der Netzobjekte reibungslos, dann läuft auch das Tagesgeschäft reibungslos, weil die Konnektivität im Netz gewährleistet ist und Datenströme nicht unterbrochen werden.