Mikrosegmentierung ist eine bewährte Sicherheitspraxis, die den Netzwerkzugriff zwischen Workloads in den Rechenzentren oder Cloud-Umgebungen eines Unternehmens kontrolliert und einschränkt.
Die Praxis der Segmentierung ist nicht neu – IT-Teams segmentieren gesamte Netzwerke und Anwendungen schon seit langem. Bei der Netzwerksegmentierung wird beispielsweise ein Netzwerk in mehrere Segmente unterteilt, um die Angriffsfläche zu verringern und sicherzustellen, dass ein Angriff auf einen Host in einem bestimmten Netzwerksegment nicht die Hosts in anderen Segmenten gefährdet.
Der Unterschied zur Mikrosegmentierung liegt in der Granularität der Segmentierung auf der Daten- oder Anwendungsebene. Durch den Einsatz von Netzwerkvirtualisierungstechnologie anstelle mehrerer physischer Firewalls kann die IT-Abteilung ein Netzwerk bis hinunter zu einzelnen Datenfreigaben oder Workloads segmentieren und dann für jeden einzelnen richtlinienbasierte Sicherheitskontrollen implementieren. Dies führt im Wesentlichen zu sehr spezifischen Sicherheitszonen im gesamten Rechenzentrum und in Cloud-Umgebungen, was die Sicherheit des Unternehmens und die Abwehr von Angriffen verbessert und den Explosionsradius eines Cyber-Vorfalls minimiert.
Mikrosegmentierung wird heute immer populärer, da die Cloud immer beliebter wird, was eine absolute Trennung von Daten und Workloads und eine einheitliche Richtlinienaktivierung erfordert. Sie kann auch zusätzlichen Schutz bei der Bereitstellung von Workloads bieten, die durch die normale Perimetersicherheit nicht vollständig geschützt werden können, wie z. B. Container. So haben zum Beispiel Cloud-native Workloads in der Regel dynamische IP-Adressen, so dass der Versuch, Regeln auf der Grundlage von IP-Adressen zu erstellen, unwirksam wäre.
Wie funktioniert Mikrosegmentierung?
Traditionell haben Unternehmen ihre Netzwerke mit Perimetersicherheit ausgestattet. Diese Sicherheitsprotokolle und -geräte überwachen den Datenverkehr zwischen Clients und Servern oder Daten, die von einer externen Quelle in das Netzwerk oder umgekehrt übertragen werden. Alles innerhalb des Netzwerks war in der Regel vertrauenswürdig, und Daten konnten ohne sorgfältige Überwachung zwischen Workloads verschoben werden.
Da die Cloud jedoch immer beliebter wird, findet der Großteil des Datenverkehrs eines Unternehmens nun lateral statt, d. h. von Workload zu Workload – und die Perimetersicherheit kontrolliert diesen Datenverkehr nicht. Die Mikrosegmentierung isoliert diese Workloads und wendet Richtlinien und Regeln an, um zu bestimmen, ob zwei Workloads auf die Daten des jeweils anderen zugreifen dürfen.
IT-Administratoren können Workloads in einem Netzwerk trennen, um den Schaden eines lateralen Angriffs innerhalb eines Netzwerks (im Gegensatz zu einem Angriff an den Grenzen des Netzwerks) zu verringern oder zu beseitigen. Das bedeutet, dass selbst wenn ein Angreifer in der Lage ist, die Perimetersicherheit zu überwinden, das System immer noch gegen Bedrohungen von Server zu Server geschützt ist.
Die Sicherheitskontrollen der Mikrosegmentierung lassen sich in der Regel in drei Hauptkategorien unterteilen:
- Software-Agenten oder andere agentenbasierte Lösungen – Die IT-Abteilung kann einen Software-Agenten einsetzen, der die zu segmentierenden Workloads und Systeme überlagert. Einige dieser Lösungen berücksichtigen die Eigenschaften des Workloads, um zu bestimmen, wie er isoliert werden kann. Andere verlassen sich auf die integrierte Firewall des Workloads.
- Netzwerkbasierte Kontrollen – Diese nutzen die physische oder virtuelle Netzwerkinfrastruktur (virtuelle Maschinen / virtuelle Netzwerke) wie Software Defined Networks (SDN), Switches und Load Balancer, um Richtlinien zu erstellen und umzusetzen.
- Integrierte Kontrollen – In dieser Kategorie verwendet das System native Kontrollen, die von einem Cloud-Services-Provider wie der Amazon Security Group von AWS oder integrierten Firewalls angeboten werden.
Was ist Zero-Trust-Sicherheit?
Die Sicherheitskontrollen der Mikrosegmentierung basieren in der Regel auf dem Prinzip der geringsten Rechte und einer Zero-Trust-Architektur (ZTA). Das Zero-Trust-Sicherheitsmodell eliminiert das implizite Vertrauen, das in traditionellen Sicherheitsansätzen enthalten ist. Dieses implizite Vertrauen wurde in der Regel den Benutzern innerhalb eines Netzwerksystems entgegengebracht, aber heute ist das vorherrschende Zero-Trust-Prinzip, den Benutzern nur Zugang zu den Systemen, Informationen und Anwendungen zu gewähren, die sie benötigen, und sie von allem anderen zu isolieren. Dadurch wird die unnötige laterale Verschiebung von Daten zwischen Systemen und Anwendungen eingeschränkt.
In einem Zero-Trust-Modell ist der Zugang zu einem Unternehmensnetzwerk oder die Anmeldung an einem System nicht länger ein Freibrief für alles und jeden. Benutzer müssen ständig authentifiziert und für den Zugriff auf bestimmte Daten und Anwendungen innerhalb des Systems autorisiert werden.
Der Zero-Trust-Ansatz bei der Sicherheit ist heute immer häufiger anzutreffen, was zum Teil auf drei wichtige Faktoren zurückzuführen ist: 1) der raschen Zunahme schwerwiegender Datenschutzverletzungen in allen Branchen, 2) der Verlagerung hin zu Remote- und hybriden Arbeitsmodellen in den letzten Jahren und 3) der Verlagerung von Ressourcen in die Cloud, die dazu beigetragen hat, den einst durch das Rechenzentrum klar definierten Sicherheitsbereich aufzulösen. Gartner geht sogar davon aus, dass bis zum Jahr 2025 60 % der Unternehmen dieses Modell gegenüber traditionellen Sicherheitsansätzen bevorzugen werden.
Zero Trust vs. Mikrosegmentierung?
Mikrosegmentierung gilt für viele Experten als Kerntechnologie für Zero-Trust-Sicherheitspraktiken, auch Zero Trust Network Access (ZTNA) genannt. Beide Sicherheitsansätze sind untrennbar miteinander verbunden – tatsächlich ermöglicht die Mikrosegmentierung erst Zero Trust. Workloads werden mit hoher Granularität segmentiert und Zero-Trust-Prinzipien stellen sicher, dass niemand ohne gewissenhafte oder erzwungene Authentifizierung und Autorisierung auf diese Workloads zugreifen kann. Wenn ein Workload kompromittiert wird, hat das Unternehmen dennoch die Gewissheit, dass sich die Bedrohung nicht auf andere Workloads, Benutzer und Ressourcen ausbreiten kann.
Was sind die Vorteile der Mikrosegmentierung?
Mikrosegmentierung kann nicht nur die Bedrohung durch laterale Angriffe innerhalb der Systeme eines Unternehmens verringern oder verhindern, sondern der IT-Abteilung auch einen besseren Einblick in die Workloads geben, die am dringendsten geschützt werden müssen. Sie bietet Unternehmen auch weitere Vorteile:
Reduzierung der Angriffsfläche
Die Angriffsfläche eines Unternehmens ist jeder Punkt, an dem jemand in Ihr Netzwerk eindringen kann. Diese Punkte werden als Angriffsvektoren bezeichnet und können alles umfassen, von Anwendungen, APIs, Passwörtern und Benutzeranmeldeinformationen über unverschlüsselte Daten bis hin zu den Benutzern selbst.
Die Mikrosegmentierung kann jeden dieser Punkte voneinander isolieren, d. h. wenn ein Angreifer in das System eindringt, kann er nur auf einen sehr kleinen Teil des gesamten Netzwerks zugreifen. Die Angriffsfläche ist auf die Größe der einzelnen Mikrosegmente geschrumpft.
Durch die Mikrosegmentierung erhält die IT-Abteilung zudem einen detaillierten Einblick in das gesamte Unternehmensnetzwerk, ohne dass es zu Einbußen bei der Performance oder unerwarteten Ausfallzeiten kommt. Die Möglichkeit für Anwendungsentwickler, Sicherheitsrichtlinien und -kontrollen während der Entwicklung festzulegen, verhindert, dass neue Schwachstellen durch die Bereitstellung oder Aktualisierung einer Anwendung entstehen.
Effektivere Eindämmung von Verstößen
Mithilfe von Mikrosegmenten und detaillierten Richtlinien können IT- und Sicherheitsteams Daten auf ihrem Weg durch das Netzwerk effektiver überwachen. Außerdem können Sicherheitsteams Angriffe schneller und effizienter erkennen und die Zeit bis zur Eindämmung von Bedrohungen oder zur Reaktion auf Angriffe verkürzen. Da die Mikrosegmente voneinander isoliert sind, beschränkt sich die Sicherheitsverletzung auf das einzelne kompromittierte Mikrosegment. Dies bedeutet, dass Verstöße sich nicht lateral ausbreiten und andere Bereiche des Netzwerks beeinträchtigen können.
Bessere Einhaltung der Regulierungen
Die Sicherung regulierter Daten kann eine größere Herausforderung darstellen als die Sicherung weniger kritischer Informationen, da Unternehmen zahlreiche Richtlinien für die Speicherung, den Zugriff, die Verwaltung und die Verwendung dieser Daten einhalten müssen. Die Mikrosegmentierung ermöglicht es Unternehmen, Richtlinien für einzelne Workloads zu erstellen und zu implementieren, wodurch sie den Zugriff auf diese Daten und deren Nutzung viel genauer kontrollieren können. Die Richtlinien selbst können die Compliance unterstützen, und die Isolierung von Anwendungen und anderen Workloads trägt zur besseren Durchsetzung von Compliance-Anforderungen bei.
Vereinfachtes Richtlinienmanagement
Einige Lösungen zur Mikrosegmentierung haben integrierte Tools, die Unternehmen bei der Vereinfachung der Richtlinienverwaltung unterstützen. Dies wird durch Funktionen erreicht, die Anwendungen im Netzwerk automatisch erkennen und je nach Art der Anwendung oder des Systems verschiedene Arten und Ebenen von Richtlinien empfehlen.
Schutz der kritischsten Workloads
Einige Workloads sind für die Geschäftstätigkeit eines Unternehmens wichtiger als andere. Durch die granulare Art der Mikrosegmentierung kann die IT-Abteilung sicherstellen, dass die wichtigsten und wertvollsten Workloads den stärksten Schutz erhalten, indem sie maßgeschneiderte, vom Unternehmen definierte Sicherheitsrichtlinien und -kontrollen erstellt.
Wie wird Mikrosegmentierung implementiert?
Mit zunehmender Popularität von Zero Trust und Mikrosegmentierung entstehen Best Practices für die Implementierung. Zunächst sollten Sie bedenken, dass es sich um einen Prozess handelt und Ihr Unternehmen prüfen muss, ob es bereit ist, den Sprung zu wagen.
Vor der Implementierung sollte Ihr IT-Team mit der Netzwerksegmentierung im Allgemeinen vertraut sein – und diese bereits anwenden. Sie sollten auch über eine gut definierte Sicherheitsrichtlinie verfügen, da diese die Grundlage für die Trennung der Netzwerkressourcen bildet.
Es kann auch einige Zeit in Anspruch nehmen, einen vollständigen Identifizierungsprozess durchzuführen und sicherzustellen, dass Sie einen vollständigen Überblick über die Trafficströme der Anwendungen und des Netzwerks haben. Das bedeutet, dass Sie herausfinden müssen, welche Geräte, Anwendungen und andere Workloads in Ihrem Netzwerk laufen, und dass Sie die Datenströme jedes einzelnen bestimmen müssen.
Nachdem Sie nun wissen, was sich in Ihrem Netzwerk befindet, müssen Sie entscheiden, was die einzelnen Workloads tun dürfen. So kommen Sie zur Erstellung der eigentlichen Richtlinien für jedes Mikrosegment.
Wenn es an der Zeit ist, die eigentliche Mikrosegmentierung durchzuführen, beschreiben die Experten von eSecurityPlanet vier primäre Ansätze:
- Netzwerkstruktur – dieser Ansatz führt zu einer Verdoppelung der Netzwerkstruktur, d. h. zu einer vertikalen Integration von Hardware und Software für eine zeitnahe Transparenz und Verwaltung der mikrosegmentierten Infrastruktur. Dies ist in Rechenzentrumsumgebungen effizienter.
- Hypervisor – ein Hypervisor, oder Virtual Machine Manager, kann ebenfalls als Durchgangspunkt für den Netzwerkverkehr dienen. Mit diesem Ansatz entfällt die mühsame Aufgabe, Updates und Patches auf jedem einzelnen Rechner verwalten zu müssen.
- Endpunktschutz durch Drittanbieter – für einige Unternehmen ist die Auslagerung des Endpunktschutzes an einen Drittanbieter eine gute Wahl. Diese Methode ist agentenbasiert und kann Richtlinien in Echtzeit schützen.
- Firewalls der nächsten Generation – Firewalls der nächsten Generation gelten als die fortschrittlichste Implementierungsmethode und bieten einen robusten Schutz, der Anwendungskontrolle, Intrusion Detection and Prevention sowie Deep Packet Inspection umfasst. Ursprünglich war diese Herangehensweise nicht für den Einsatz in der Cloud gedacht, mittlerweile gibt es aber Anbieter, die Firewall-as-a-Service anbieten.
Mikrosegmentierung Use Cases
- Hybrid Cloud Management – Unternehmen können konsistente Sicherheitskontrollen und -richtlinien erstellen und nicht nur im Rechenzentrum, sondern auch auf verschiedenen Cloud-Plattformen einen starken Schutz genießen.
- Trennung von Produktions- und Entwicklungssystemen – Mikrosegmentierung trennt nicht nur die beiden Umgebungen, sondern ermöglicht auch die Erstellung von Richtlinien, um sie stärker zu isolieren.
- Erhöhte Sicherheit für sensible Daten und Assets – „weiche“ Assets wie vertrauliche Kunden- und Unternehmensinformationen sowie geistiges Eigentum erhalten zusätzlichen Schutz vor böswilligen Akteuren innerhalb des Unternehmens.
- Reaktion auf Vorfälle – Mikrosegmentierung schränkt die laterale Bewegung von Angreifern ein, und die meisten Mikrosegmentierungslösungen verfügen über integrierte Protokollierungsfunktionen, die den Sicherheitsteams einen besseren Überblick über Angriffe und nachfolgende Maßnahmen geben.
Fazit
Da die Cloud die Geschäftswelt auch in Zukunft verändern wird, ist es wichtiger denn je, zu verstehen, wie Cloud-Sicherheit funktioniert. Unternehmen müssen die richtigen Werkzeuge und Methoden finden, um Daten, Anwendungen, Systeme und andere Assets angemessen zu schützen.
Ein wichtiger Bestandteil der Cloud-Sicherheit ist die Mikrosegmentierung, die einen Zero-Trust-Ansatz für die Sicherheit ermöglicht – und in den kommenden Jahren weiter an Bedeutung gewinnen wird.
Nutanix kennt die Herausforderungen bei der Sicherung von Daten und anderen Assets in der Cloud. Wir unterstützen das Zero-Trust-Sicherheitsmodell und bieten eine Reihe von Lösungen an, die Unternehmen dabei helfen, ihre Angriffsfläche zu reduzieren, die sich ständig ändernden Vorschriften einzuhalten und effizienter auf Datenschutzverletzungen zu reagieren und diese zu verhindern.
Für Sie empfohlen:
Entdecken Sie unsere Top-Ressourcen
Unternehmen im Kampf gegen Cyberkriminalität
Applikationszentrierte Sicherheit
