Applikations-Kontrolle überwindet all diese Beschränkungen und Probleme, in dem es Mittel bereitstellt, die Applikationen erkennen und deren Nutzung im Detail kontrollieren können – auch dann, wenn diese non-standard Ports verwenden oder über gängige oder auch weniger gängige Protokolle getunnelt werden. Dies geschieht durch die Analyse des applikations-spezifischen Paket Verhaltens, sowie eines umfangreichen Protokoll- Decodings. Eine herkömmliche Firewall kontrolliert den Datenstrom basierend auf Portbzw. Service-Kontrollmechanismen. Applikations-Kontrolle setzt auf dynamische Untersuchung der Daten und ermöglicht überdies die Anwendung weiterer Kontrollen, wie etwa Bandbreitenvergabe pro Applikation oder Zeitfenster bzw. –konten für deren Nutzung. Überdies kann sogar innerhalb von Applikationen ein Teil der Funktionalität eingeschränkt werden, z.B. die Nutzung von Facebook, aber das Unterbinden von Facebook Chat oder das Nutzen von Google.Docs, aber das Unterbinden von Google.Talk.
Applikations-Kontrolle ergänzt somit die Funktionalität von Firewall- und IPS-Mechanismen um eine granulare Steuerung von Anwendungen und Protokollen. Somit wird die maximaleNutzbarkeit von Applikationen bei minimalem Risiko erzielt. Derartige Regeln zur Nutzung können bis auf Anwenderebene und selbstverständlich auch Geräte- oder Abteilungs-bezogen erstellt werden.
Es ist wichtig, Applikations-Kontrolle nicht als isolierten Bestandteil der IT-Sicherheit zu verstehen, denn dies führt zu einem reaktiven Ansatz der Security-Stratgie. Vielmehr ergänzt es sinnvoll die vorhandenen Abwehrmechanismen wie z.B. Firewall, VPN, AntiVirus, IPS und Web Filter und idealerweise integriert es sich in diese. Unternehmen leiden zunehmend an der – nicht nur in IT-Security-Umgebungen – häufig anzutreffenden viel zu heterogen gewachsenen Struktur, die auf sog. Point-Solutions, also Nischen Lösungen basieren. Diese integrieren sich nur bedingt oder gar nicht, sind aufgrund der Vielfalt schwierig in der Administration – und erhöhen oft unbemerkt die Betriebskosten eines Unternehmens in beträchtlicher Weise. Als unangenehmen Nebeneffekt beeinflussen solche oft seriell in einen Datenstrom eingebrachten Lösungen auch die Gesamt-Performance des Netzwerks negativ, da durch diese Vorgehensweise Pakete oft mehrfach analysiert werden – oder im schlimmsten Fall sogar Paketinformationen für eine sinnvolle Analyse gar nicht mehr zur Verfügung stehen.
Lösungen für komplexe Rechner-Netzwerke.
