SUSE Linux Enterprise Server 11

Softwarefehler in Anwendungen, die über das Internet verfügbar sind, bieten Angreifern eine Möglichkeit, Systeme, auf denen kritische Unternehmensdaten gehostet werden, zu schädigen. Sicherheit an den Außengrenzen des Netzwerks löst das Problem nur zum Teil, und Firewalls schützen nicht vor der steigenden Anzahl von Bedrohungen, die innerhalb des Unternehmens entstehen.

IT-Abteilungen schützen daher ihre Server durch regelmäßige Patchimplementierungen vor den neuesten Bedrohungen, doch durch diese reaktive Sicherheitsstrategie sind Unternehmen den Gefahren weiterhin ausgesetzt. Erfahrene Hacker nutzen die Schwachstellen immer schneller aus und IT-Abteilungen haben kaum noch genug Zeit, die Patches herunterzuladen, zu testen und auf ihre Systeme anzuwenden.

Anwendungssicherheit mit AppArmor

Den effektivsten Schutz vor externen UND internen Bedrohungen bietet eine Anwendungssicherheit, die Sie ergänzend zu anderen Best Practices für Sicherheit einsetzen. Mit der Anwendungssicherheit von Novell AppArmor, einer in SUSE Linux Enterprise Server 11 integrierten Technologie, können Systemadministratoren festlegen, auf welche Dateien ein Programm zugreifen und welche Vorgänge das Programm für diese Dateien ausführen darf. Alle anderen Verhaltensweisen werden abgelehnt und in einem Protokoll festgehalten.

Bei AppArmor handelt sich um das derzeit effektivste und benutzerfreundlichste Framework für Anwendungssicherheit unter Linux. AppArmor schützt das Betriebssystem und die Anwendungen proaktiv vor externen und internen Bedrohungen, einschließlich „Zero-Day-Angriffen“, indem gute Programmfunktionalität durchgesetzt und sogar die Ausnutzung unbekannter Softwarefehler verhindert wird. Die Sicherheitsprofile bestimmen, auf welche Systemressourcen einzelne Programme zugreifen können und mit welchen Berechtigungen. AppArmor umfasst eine Reihe von Standardrichtlinien sowie einige lernfähige Tools und spezielle statistische Analysen, die die Entwicklung benutzerdefinierter Richtlinien selbst für sehr komplexe Anwendungen vereinfachen.

Eine echte Firewall

SUSE Linux Enterprise schützt Ihr Netzwerk durch eine sogenannte „Stateful-Firewall“ vor externen Angriffen. „Firewall“ ist der am häufigsten verwendete Begriff für einen Mechanismus, der eine Verbindung zwischen Netzwerken herstellt und verwaltet und gleichzeitig den Datenfluss zwischen den Netzwerken steuert.

Beim Einsatz von Linux in einer Netzwerkumgebung können Sie die Kernelfunktionen zum Bearbeiten von Netzwerkpaketen verwenden, um eine Trennung zwischen internen und externen Netzwerkbereichen herzustellen. Genau genommen wird der Mechanismus, der für die Erstellung einer Firewall-Infrastruktur verantwortlich ist, als Paketfilter bezeichnet. Ein Paketfilter steuert den Datenfluss anhand bestimmter Kriterien wie z. B. Protokollen, Ports und IP-Adressen. Dadurch können Sie Pakete blockieren, die aufgrund ihrer Adressen nicht das Netzwerk erreichen dürfen. Für den öffentlichen Zugriff auf Ihren Webserver können Sie z. B. ausdrücklich den entsprechenden Port öffnen. Das Linux-Framework für Netzfilter stellt die nötigen Funktionen bereit, um eine wirkungsvolle Firewall zur Trennung verschiedener Netzwerke einzurichten. Mithilfe von IPTables, einer generischen Tabellenstruktur zur Definition von Regelsätzen, können Sie präzise steuern, welche Pakete an einer Netzwerkschnittstelle durchgelassen werden. Ein solcher Paketfilter lässt sich mit SuSEfirewall2 und den entsprechenden YaST-Verwaltungsmodulen leicht einrichten.

Ganz gleich, ob ein Angriff intern oder extern gestartet wird – SUSE Linux Enterprise Server 11 sorgt für Datenintegrität im Unternehmen und reduziert gleichzeitig die Verwaltungskosten und Ausfallzeiten.

Führende Lösung

SUSE Linux Enterprise Server 11 bietet:

• Sofortige Anwendungssicherheit ohne zusätzliche Kosten.
• Tools für die automatische Erstellung von Anwendungsprofilen und Richtlinien, die die Verwaltung und Konfiguration der Anwendungssicherheit vereinfachen. Sicherheitsrichtlinien können innerhalb von Minuten anstatt von Tagen implementiert werden.
• Die leistungsstärkste Lösung für Anwendungssicherheit. (Der Leistungsaufwand ist deutlich niedriger als der für SELinux, der zwischen 7 und 16 Prozent liegt.)
• Die Möglichkeit zur dynamischen Aktualisierung von Richtlinien ohne Serviceunterbrechungen. Bei einer Änderung der Sicherheitsrichtlinien für SELinux muss das System heruntergefahren und neu gestartet werden. Bei Änderungen an einer AppArmor-Richtlinie ist kein Neustart erforderlich.
• Die Möglichkeit zum Einsatz einer ergänzenden Lösung, die bei der unternehmensweiten Implementierung von Richtlinien hilft. Erfahren Sie mehr darüber, wie Sie Novell ZENworks Linux Management (ZLM) zur Verwaltung von AppArmor-Sicherheitsrichtlinien einsetzen können.