Um den hohen Anforderungen an die Infrastruktur und Informationstechnologie sowohl aus organisatorischer als auch aus regulatorischer Sicht gerecht zu werden, muss der Fokus heute auf weit mehr als nur der Verfügbarkeit von digitalen Systemen, Assets und Rechenzentren liegen. Das klassische SOC (Security Operation Center) ist zwar nach wie vor ein wichtiger Baustein für den Betrieb und das Management elektronischer Systemkomponenten, doch die heutigen Anforderungen gehen weit über Geräte- und Kontinuitätsmanagement hinaus. SIEM (Security Information and Event Management) und IDS (Intrusion Detection System) sind auch nicht mehr die einzigen Sicherheitsbereiche um die zu verwaltende Infrastruktur zu beschützen.

Für eine ganzheitliche Betrachtung der Anforderungen wird ein maschinen-zentrischer Ansatz formuliert.

Maschinen-zentrischer Ansatz

Für die Compliance ist an dieser Stelle ein maschinen-zentrischer Ansatz zu bevorzugen, da diese Sichtweise am besten geeignet ist, um sowohl gesetzliche Anforderungen als auch unternehmensweite Richtlinien für Systeme sowohl in technischer als auch in organisatorischer Hinsicht zu realisieren. Viele Compliance-Vorschriften arbeiten mit Geräte- und Schutzklassen. Sowohl externe als auch interne Vorschriften für alle verwalteten Computersysteme können von einer zentralen Stelle aus verwaltet und auf Einhaltung überwacht werden.

Weit verteilte Netzwerke können mit minimalem Aufwand für den Roll-Out als auch minimalem Personalaufwand für den Betrieb permanent und zentral auf Schwachstellen, Engpässe bei Systemressourcen, fehlenden oder veralteten Virenschutz, fehlende Patches, instabile Systemzustände etc. überwacht werden. Abweichungen von Compliance-Anforderungen, hier sind natürlich mehrere Definitionen für verschiedene Maschinenklassen und/oder Regionen möglich, werden sofort gemeldet. Als Reaktion auf Abweichungen von den definierten Compliance-Vorgaben sind auch automatisierte Reaktionen möglich, um die Lücken augenblicklich zu schließen.

In dem hier dargestellten Beispiel, dass die Methodik der Anforderungsdarstellung und -analyse verdeutlichen soll, behandelt der Use Case ein Netzwerk im zentralen Büro, mehrere Server in der DMZ, ein weiteres Netzwerk eines zweiten Büros, und ein Data Center.

Der C2C-Server (Compliance to Code Server) im zentralen Büro monitort die im selben Netzwerk verfügbaren Ressourcen (Server, Clients, Drucker, Router, Switches, ect.) und verwaltet diese über die Management Console. Die jeweiligen Ressourcen im Netzwerk können mit geringstem Aufwand gescannt, und ohne eine Installation eines Agenten, eingebunden und wenn gewünscht Geräte- und Schutzklassen zugeordnet werden. Für diese Geräte- und Schutzklassen können Regelwerke zur Anwendung kommen, um die jeweiligen Compliance-Anforderungen zu monitoren.

Die Ressourcen in entfernten Netzwerken oder Netzwerksegmenten werden über Satellitensysteme erreicht. Diese übernehmen dort die Aufgabe des agentenfreien Monitoring und der Verwaltung von Geräte- und Schutzklassen und stehen mit dem zentralen C2C-Server in Verbindung.
Wie hier gezeigt ist es unerheblich, ob das entfernte Netzwerk ein zweites Büro oder ein Data Center umfasst. Jeweils ist nur ein Satellitensystem erforderlich, das mit dem C2C-Server in Verbindung steht. Auch die Systeme in der DMZ können mit nur einem einzigen Satellitensystem verwaltet werden.

Der enorme Vorteil für einen maschinen-zentrischen Ansatz an dieser Stelle ist die Möglichkeit der Anwendung des Superpositionsprinzips. Mehrere, einzeln formulierter Use Cases können überlagert werden. Einzelne Vorschriften können isoliert ausformuliert werden, um sich in ein größeres und komplexes Ganzes einzufügen.

Dieses aus der Physik bekannte Überlagerungsprinzip wird bei linearen Problemen in vielen Bereichen (Kräfte in der klassischen Mechanik, Optik, aber auch Zustände in der Quantenmechanik) verwendet. Über das eingesetzte Framework werden so auch überlappende oder widersprüchliche Regeln vermieden.