Vernetzte Anlagen machen Produktionsstraßen effektiver und zugleich für Malware angreifbar. Unternehmen müssen daher ihre Maschinen innerhalb des Netzwerks absichern, voneinander isolieren und von der Office IT trennen. Hilfreich dabei ist die sogenannte Mikrosegmentierung. Wenn ein weltweit tätiger Autozulieferer diese an allen Standorten ausrollen will, wird es richtig spannend. Warum in dem Fall die IP-Adressen der Anlagen einen der Knackpunkte bilden – und wie der sich lösen lässt.
Eine einfache E-Mail kann einen intelligenten Roboter außer Gefecht setzen. Soweit kann es kommen, wenn in einer vernetzten Produktion ein Mitarbeiter unbedacht einen suspekten Anhang öffnet. Sein Klick lädt, aktiviert und verbreitet eine Schadsoftware über das gesamte Unternehmensnetzwerk inklusive Produktion. Solche Cyber-Attacken werden in Zukunft mehr und nicht weniger werden. Vor diesem Hintergrund suchen Unternehmen nach effektiven und kostengünstigen Lösungen, um ein Kompromittieren ihrer Produktionsstraßen zu verhindern. So auch ein Kunde von mir, der in der Automobilbranche tätig ist.
Ein Auftrag für ausgewiesene Netzwerkspezialisten
Wie bei nahezu allen Anlagen, basiert auch bei meinem Kunden die Kommunikation der Produktionsstraße auf Grundlage des Protokolls TCP/IP, wobei das Identifizieren über die IP-Adresse erfolgt, bevor Datenpakete transportiert werden. Das Unternehmen wollte daher das Produktionsnetz von der Office IT isolieren. Eine nötige Switch-Erneuerung seiner Anlagen nahm er dann direkt zum Anlass für ein Mikrosegmentierungsprojekt. Technologisch liefert die Mikrosegmentierung die Chance, Produktionsstraßen, die in einem Subnetz zusammengefasst sind, voneinander zu trennen und jede Maschine einzeln abzusichern. Grundsätzlich setzt die Technologie detaillierte Richtlinien und Netzwerkkontrollen im Rechenzentrum durch. Mit ihr lässt sich jeder Workload flexibel über Firewalls absichern. So bleibt ausgeschlossen, dass eine attackierte virtuelle Maschine (VM) die nächste VM infiziert.
Allerdings verknüpfte der Hersteller den Auftrag mit der Forderung, dass die IP-Adressen seiner Maschinen bestehen bleiben. Eine Änderung wäre sehr kostspielig. Zudem galt es, eine Lösung zu entwickeln, die sich skalieren lässt. Die gewünschte Netzwerksicherheit sollte schließlich an allen Standorten weltweit zum Einsatz kommen.
Gefragt war also ein neues Konzept für die Mikrosegmentierung, bei der Planung, Installierung und Betrieb der Lösungen aufeinander abgestimmt sind. Die Aufgabe geht also weit über das Übliche hinaus.
Ein Projekt in der Größenordnung kann nicht jeder Netzwerkspezialist stemmen. Unsere Axians-Expertise und die Zusammenarbeit mit dem Hersteller Cisco brachten uns schnell in die Pole-Position.
Über eine integrierte Cisco-Security-Architektur zum Ziel
Technisch betrachtet musste die neue Lösung zunächst auf dem Layer 2 segmentieren. So wird über die bestehenden IP-Adressen, das Konfigurieren von Switching und Routing sowie das Integrieren logischer Teilnetze (VLAN) in den virtuellen Switch, die Konnektivität hergestellt. Für uns gibt es dafür nur eine wirkliche Lösung: eine integrierte Cisco-Security-Architektur.
Konkret kommen die Produkte Cisco Identity Services Engine (Administration), Cisco FirePower NGFW (Next Generation Firewall) sowie Cisco Catalyst Switch der neuesten Generation zum Einsatz. Der große Vorteil dieser Architektur liegt in der nahtlosen Integration und dem gesicherten Austausch zwischen den einzelnen Komponenten.
In der konzipierten Architektur bietet die Identity Services Engine eine Plattform für das Richtlinienmanagement. Sie liefert Benutzer- und Gerätetransparenz und bietet uneingeschränkte Mobilität bei kontrolliertem Zugriff. Die Cisco-FirePower-NGFW-Hardware- und -Software-Optionen zeichnen sich durch ein höchst effektives Intrusion Prevention System (IPS) und ausgereifte Advanced Malware Protection aus.
Umsetzen der Mikrosegmentierung
Innerhalb eines Subnetzes führt eine weitere Cisco-Technologie, TrustSec, mit Security Group Tagging (SGTs) die Mikrosegmentierung durch, wobei dieser Vorgang Software-definiert abläuft. TrustSec vereinfacht den Netzwerkzugriff, beschleunigt Sicherheitsvorgänge und sorgt für ein konsistentes Anwenden im gesamten Netzwerk. Der Datenverkehr wird über den Endpunkt identifiziert, statt anhand der IP-Adresse oder bestimmter Zugriffskontrolllisten.
In der Praxis läuft nun folgendes Procedere ab: Ein Administrator definiert über die Identity Services Engine die Security-Regeln. Anschließend gilt es, den rollenbasierten Zugriff mit Security Group Tags zum Segmentieren des Netzwerks festzulegen. Der Cisco Catalyst 3650X Switch leitet dann die zu transportierenden Informationen gemäß der aufgestellten Security-Regeln weiter. Die Segmentierung zur Office IT und eine allgemeine Layer-3-Segmentierung übernimmt die Firewall Cisco FirePower.
Implementierung nach Plan
Soweit die Theorie, die in dem zwölf Monate langen Projekt ein klar strukturiertes Vorgehen für die Implementierung verlangt. So haben wir alle Komponenten vorkonfiguriert, mit einer Installationsanleitung versehen und verschicken diese an die weltweit verteilten Standorte. Nach der Installation erfolgt die Inbetriebnahme remote. Die Produktion läuft dabei unterbrechungsfrei weiter, was der Kunde als wesentliche Vorgabe für den Auftrag formuliert hatte. Auch hierbei liegt der Schlüssel im Auswählen und Abstimmen der Netzwerk-Technologie für eine Mikrosegmentierung, die ohne Änderung der IP-Adressen auskommt.
Der Betrieb der Netzwerkinfrastruktur erfolgt nach der Inbetriebnahme besonders sicher. Der Zugang wird über den Authentifizierungs-Standard 802.1x zusammen mit Security Group Tag ACLs der Cisco ISE abgesichert. Dadurch reagiert das Netzwerk selbständig auf Bedrohungen, indem es beispielsweise einen Rechner, den Malware infiziert hat, automatisch vom Netz trennt und in einen Quarantäne-Cluster verschiebt. Das System bietet damit kaum Angriffsfläche mehr und sorgt zusätzlich für mehr Transparenz. Denn einem Administrator liefert der Software-definierte Ansatz die Möglichkeit, genau nachzuvollziehen und zu analysieren, auf welchem Wege Malware ins Netz gelangt ist. Das Reporting über alle Sicherheitsvorfälle, die auftreten, komplettiert die Sicherheitslösung. Für uns als Axians bedeutet das: Ein Unternehmensnetzwerk lässt sich nicht nur lokal, sondern weltweit absichern. In die Kommunikation von intelligenten Robotern und Maschinen darf nichts und niemand dazwischenfunken – daher ist eine Absicherung bis ins kleinste Detail besonders wichtig. Wir wissen, wie das funktioniert.
