Forefront - konsolidierte Sicherheit von Microsoft

24.06.2008
Speziell in der Informationssicherheit spielt das Thema Konsolidierung derzeit eine zentrale Rolle. Ziel ist es, die Produktvielfalt zu reduzieren und so die Betriebskosten zu senken. Genau hier versucht Microsoft mit seiner "Forefront"-Strategie am Markt für Sicherheitslösungen zu punkten.

Die derzeit stark beworbene Microsoft-Marke Forefront bündelt das Portfolio an Sicherheitsprodukten, die der Softwarekonzern für seine verschiedenen Server- und Client-Architekturen entwickelt beziehungsweise bereits auf den Markt gebracht hat.

Die Forefront-Philosophie

Hauptziel von Forefront ist, Malware sowie Unsolicited Bulk Mail (UBE - auch Spam genannt) abzuwehren und das Firmennetz zu schützen. Die aktuelle Forefront-Strategie unterscheidet zwischen den Bereichen "Client", "Server" und "Edge". Die Abwehr von Schadsoftware und Spam wird auf den Clients und Servern, der Schutz des Firmennetzes im Bereich "Edge-Security" realisiert.

Das Forefront-Rückgrat im Content-Bereich bildet die ehemalige "Antigen"-Produktreihe der Firma Sybari, im Edge-Umfeld der ISA-Server. Der Client-Bereich ist dadurch abgedeckt, dass die bisherigen "Microsoft-Client-Security"-Komponenten zu "Forefront Client Security" zusammengefasst wurden.

Die Fokussierung auf den Schutz der exponierten Server-Produkte Exchange, ISA-Server, Sharepoint und des "Office Communication Server" ermöglicht es, mit dem aktuell verfügbaren Produktportfolio die wichtigsten Datendrehkreuze im Unternehmen zu schützen

Microsofts aktuelle Forefront-Familie

  • Microsoft Forefront Client Security (Host-basierender Schutz);

  • Microsoft Forefront Security for Exchange Server (Content-Filter für SMTP, ersetzt Microsoft Antigen for Exchange/SMTP-Gateways);

  • Microsoft Forefront Security for Sharepoint (Content-Filter für Sharepoint, ersetzt Antigen for Sharepoint);

  • Microsoft Forefront Security for Office Communications Server (Content-Filter für IM, ersetzt Antigen for Instant Messaging);

  • Microsoft ISA-Server (Firewall und Remote Access);

  • Whale Communications Intelligent Application Gateway.

Dem ISA-Server kommt im Forefront-Portfolio eine besondere Rolle zu: Seine Aufgabe ist die Zugriffskontrolle und Datenfilterung auf Applikationsebene an den äußeren Netzgrenzen. Die ehemaligen Antigen-Produkte wiederum schützen die nachgelagerten Applikations-Server (etwa Sharepoint, Exchange), während Forefront Client Security für die Absicherung der internen Clients und Server auf Betriebssystem-Seite sorgt.

Eine der sinnvollsten Verbesserungen für den Administrator ist die Möglichkeit, alle Sicherheitskomponenten auf den Clients und Servern mit einer einzigen Management-Konsole zu steuern und zu überwachen. Mit Hilfe des Forefront-Management-Tools lässt sich der Malware-Schutz auf allen Clients zentral verwalten. Die Administration der Forefront-Server indes erfolgt derzeit leider noch getrennt - über die "Forefront Security Server Manangement Console". Unter dem Codenamen "Sterling" sollen beide Konsolen allerdings noch in diesem Jahr zu einer einzigen zentralen Konsole zusammengefasst werden. Erst dann wird das zentrale Management in der Forefront-Familie Realität.

Endlich alles aus einer Hand?

Der Reiz an einer solchen Lösung besteht darin, möglichst viele Produkte aus einer Hand zu bekommen. In der Regel müssen sich die Security-Administratoren in größeren Unternehmen mit einer Vielzahl von Herstellern und Produkten beschäftigen, um ihre Infrastruktur gemäß den individuellen Anforderungen abzusichern. Hier mag das Sicherheitspaket von Microsoft Erleichterung verheißen. Aber ist es wirklich so einfach?

Hier ist zu bedenken, dass Microsoft das Forefront-Portfolio nahezu ausschließlich durch Zukäufe von Drittherstellern erweitert hat. Beim Einsatz von Forefront ist eine Evaluierung auf Basis einer gründlichen Anforderungsanalyse daher unbedingt anzuraten. Zudem garantiert eine "All-in-one"-Lösung nicht automatisch einfache Integration in die bestehende IT-Infrastruktur. Der damit verbundene Aufwand darf nicht unterschätzt werden - und sollte bei der Evaluierung als Beurteilungskriterium dienen.

Auch der Kostenfaktor beim Lizenzerwerb ist nicht zu unterschätzen: So ist keines der Forefront-Produkte in den bereits bestehenden Produktlizenzen enthalten. Für die Forefront-Familie steht ein Abonnement-Modell (Microsoft-Onlinedienst Lizenzierung) zur Wahl, das die Lizenzierung auf Nutzerbasis vorsieht. Bei einzelnen Produkten wird jedoch eine Lizenzoption nach Servern angeboten (etwa ISA-Server).

Produktstrategie des Wettbewerbs

Microsoft-Wettbewerber sehen dieser Entwicklung natürlich nicht tatenlos zu: Viele von ihnen haben in den vergangenen Jahren eigene Verfahren zur Integration und Konsolidierung ihrer verschiedenen Produkte entwickelt (etwa McAfee mit dem "ePolicy Orchestrator"). Andere sind gerade dabei, sich durch Eigenentwicklung und Zukäufe in diesem Bereich zu positionieren.

Während Microsoft in diesem Markt eher ein Späteinsteiger ist, können sich die etablierten Anbieter bereits voll und ganz auf wichtige künftige Techniken wie etwa Behavioural Blocking, Web Application Firewalls (WAFs), Network Access Control (NAC) oder Security Incident and Event Monitoring (SIEM) konzentrieren.

Fazit

Microsoft hat in den vergangenen fünf Jahren kontinuierlich an der Weiterentwicklung erworbener Sicherheitstechniken und deren Integration in sein Produktportfolio gearbeitet. Durch umfangreiche Zukäufe von spezialisierten Produktherstellern im Umfeld der Enterprise Security wie Finjan, Frontbridge, Giant, Gecad oder Sybari kann Microsoft Bausteine für verschiedenste Sicherheitsarchitekturen anbieten. Neben den "Edge"-Produkten stehen auch für den Backoffice-Bereich zahlreiche nützliche Security-Komponenten zur Verfügung, die Unternehmen verhältnismäßig einfach in ihre Systemlandschaft einfügen können.

Bei aller Euphorie über konsolidierte Sicherheit aus einer Hand ist jedoch zu berücksichtigen, dass das Gros der neuen Features nicht wie bisher automatisch Bestandteil der jeweiligen Produkte ist. Wie bei den Mitbewerbern müssen diese auch bei Microsoft separat zugekauft werden. Zudem sind manche Komponenten noch nicht vernünftig integriert, müssen bislang getrennt verwaltet werden oder befinden sich noch in der Produkt-Pipeline. Angesichts des hohen Drucks durch Microsofts neue Sicherheitsstrategie werden neue Lösungen offenbar schneller eingekauft, als sie zu integrieren sind.

Mittelfristig birgt die Forefront-Strategie gerade in Microsoft-lastigen Architekturen durchaus Potenzial für Kosten- und Zeiteinsparungen via Konsolidierung. Doch wird es auch hier künftig kaum eine "All-in-one"-Lösung geben, die durch ein paar simple Produktinstallationen - ohne genaue Kenntnis der eigenen Anforderungen und Geschäftsprozesse - Sicherheit ins Unternehmen bringt.

Auch hier gilt: Funktionierende Sicherheitslösungen sind stets an ie individuellen Bedürfnisse der Organisation anzupassen, um die etablierten Arbeitsabläufe nicht unnötig zu behindern. Nur wenn ein Unternehmen es schafft, eine lebendige Sicherheitskultur zu etablieren, die von allen Mitarbeitern verstanden und gelebt wird, können die Maßnahmen ihre volle Wirkung entfalten. (kf)