Aruba: Dynamische IoT-Sicherheit
Ausgabe 01-2022:
alle Artikel online lesen
als PDF lesen
Nichts ist so beständig wie der Wandel – das gilt auch für Facility- und IT-Teams. Sie sind laufend mit unzähligen unvorhersehbaren IoT-Anforderungen von Gebäudeeigentümern, Mietern und Behörden konfrontiert. Heute soll ein bestehendes BACnet-IP-Netzwerk mit Temperatur- und Präsenzsensoren basierend auf EnOcean-Technologie ausgestattet werden, morgen wird eine ModBus-Motorsteuerungs-Schnittstelle für Predictive Analytics benötigt, und übermorgen geht es um Lebensmittelsicherheit durch Kühlüberwachung.
Man könnte annehmen, dass IoT-Gateways die Lösung seien – was die Datenerfassung angeht, mag das auch stimmen. In puncto Cybersicherheit sind Gateways jedoch der Albtraum aller Chief Information Security Officers (CISOs), weil sie zahlreiche Sicherheitslücken mit sich bringen. Immer mehr Gebäudeeigentümer und Mieter erlauben es IoT-Gateways deshalb nicht mehr, sich mit ihren sicheren IT-Netzwerken zu verbinden. Ebenso wird die Installation paralleler Ethernet-Netzwerke untersagt, die außerhalb der Kontrolle der IT-Abteilung liegen. Es gilt also, die bestehende sichere IT-Infrastruktur so zu nutzen, dass sie sich automatisch an Veränderungen anpasst, ohne dem CISO schlaflose Nächte zu bereiten.
Aruba und EnOcean haben gemeinsam eine Lösung für diese Sicherheitsprobleme entwickelt. Dabei werden die in die IT-Infrastruktur von Aruba integrierten Sicherheitsfunktionen genutzt, um EnOcean-Netzwerke zu schützen. So kann beispielsweise die Raumnutzung in Bürogebäuden mithilfe von EnOcean-Sensoren analysiert und anschließend an Buchungsanwendungen übermittelt werden. IT- und IoT-Daten werden so auf sichere Weise segmentiert und zuverlässig über ein gemeinsames Netzwerk übertragen.
Segmentierung von IT- und IoT-Daten
Der Zero-Trust-Netzwerkzugriff (ZTNA) basiert auf Segmentierung, Isolation und Kontrolle und gilt heute als Standard. Neue Gateways und IoT-Geräte, die Zugang zum Netzwerk benötigen, müssen eindeutig identifiziert werden. Darüber hinaus müssen Sicherheitsrollen zugewiesen und der Geräteverkehr durch sichere mikrosegmentierte Tunnel an die Zielanwendungen übertragen werden. Im Idealfall findet dieser Prozess automatisiert statt, und die Tunnel werden dynamisch segmentiert, um die Gefahr von Fehlkonfigurationen und manuellen Fehlern zu verringern.
Da Workloads zunehmend auf Remote-Server und in die private und öffentliche Cloud verlagert werden, muss die dynamische Segmentierung häufig über das lokale Netzwerk hinausgehen. Das System sollte es den Benutzern erlauben, gemäß den ZTNA-Prinzipien auf lokale Anwendungen zuzugreifen, während Point-of-Sale-(PoS-)Daten an die PoS-Bearbeitungsanwendung getunnelt werden, Videokonferenz-Verkehr ans Internet, IoT-Gateway-Verkehr an Azure IoT usw. Indem nun nicht mehr der gesamte Verkehr an ein Rechenzentrum gesendet und anschließend zurück- oder an eine andere Stelle umgeleitet wird, lassen sich sowohl die Sicherheit als auch das Benutzererlebnis verbessern.
Mit der integrierten identitätsbasierten Zugriffskontrolle wendet die dynamische Segmentierung von Aruba automatisch konsistente Richtlinien in LAN-, WLAN- und WAN-Netzwerken an, um den Datenverkehr für jeden Benutzer und jedes Gerät unabhängig von der Anwendung oder dem Dienst getrennt und sicher zu halten. Die dynamische Segmentierung erstreckt sich nahtlos über SD-WANs auf Remote-Standorte und Cloud-Dienste und sorgt durch Kanalbündelung für einen unterbrechungsfreien Betrieb über Internet, MPLS, Smartphone und andere Medien. Dies macht Anwendungen besonders zuverlässig.
Eine nativ ausgeführte zustandsorientierte Layer-7-Firewall stellt gemeinsam mit dem Aruba ClearPass Policy Manager sicher, dass die Konfiguration individueller virtueller LANs (VLANs) verhindert wird. Denn VLANs sind ein klassischer Sicherheitsansatz, dessen Verwaltung angesichts der zunehmenden Anzahl von IoT-Geräten nicht mehr zu bewältigen ist.
Wenn es darum geht, IoT-Gateways in sicheren IT-Netzwerken einzusetzen, stellt die ZTNA-Lösung von Aruba sicher, dass sichere Tunnel den Daten den Weg weisen. Die vollständig automatisierte Lösung sorgt für die Segmentierung und Richtliniendurchsetzung für jedes IoT-Gateway an jedem Ort.