What is microsegmentation?

Microsegmentation is a granular form of network segmentation that applies security controls to individual workloads or applications, allowing specific security policies for each. In contrast with other types of network segmentation, microsegmentation takes place at the application layer rather than the network layer.

How does network segmentation prevent lateral movement?

Network segmentation limits an attacker's ability to move to other parts of a network after a breach, confining their access to only the compromised segment and protecting the rest of the network.

What is the difference between physical and logical segmentation?

Physical segmentation uses hardware like routers and firewalls to separate network sections. Logical segmentation uses software-based methods such as subnetting and virtual local area networks (VLANs) to create virtual barriers within a network.

What performance benefits does network segmentation offer?

Segmentation may help organizations optimize network performance by ensuring only necessary traffic flows between segments, reducing network congestion.

How has cloud computing impacted network segmentation?

Cloud computing has blurred traditional network perimeters, making flexible, software-based segmentation methods more important to secure modern, distributed environments. Hardware-based network segmentation does not do much for securing cloud deployments.

How does Zero Trust security relate to network segmentation?

Zero Trust is a security model in which threats are assumed to already be present within a network and no user or device is trusted by default. Network segmentation, especially microsegmentation, is a key principle of Zero Trust security because it stops these already-present threats from breaching the entire network.

What is network segmentation?

Q: What is network segmentation?

Network segmentation enhances security by splitting a network into smaller, isolated segments. This practice limits what an attacker can access if they breach the network and allows for better control over network traffic.

Was bedeutet Netzwerksegmentierung

Unter Netzwerksegmentierung versteht man die Aufteilung von Netzwerken in kleinere, isolierte Abschnitte, um die laterale Bewegung zu reduzieren und die Netzwerk-Performance zu verbessern.

Was bedeutet Netzwerksegmentierung

Unter Netzwerksegmentierung versteht man die Aufteilung eines Netzwerks* in kleinere, isolierte Abschnitte. Diese Segmentierung kann über physische Hardware oder Software erzeugt und gesichert werden, was jeweils eigene Herausforderungen bei der Implementierung mit sich bringt.

Durch das Abschotten verschiedener Segmente eines Netzwerks können Unternehmen laterale Bewegungen leichter verhindern, den Netzwerk-Traffic granular steuern und die Netzwerk-Performance verbessern. Sie können sogar Richtlinien für einzelne Workloads und Apps festlegen, ein Ansatz, der als Mikrosegmentierung bekannt ist.

*Ein Netzwerk ist eine Gruppe von Computern, die miteinander verbunden sind.

Wie funktioniert Netzwerksegmentierung?

Bei der Netzwerksegmentierung wird ein Netzwerk in mehrere Abschnitte unterteilt, auf die dann unterschiedliche Kontrollen angewendet werden können. Im Allgemeinen wird dieser Prozess mit einer von zwei Methoden durchgeführt: physische Segmentierung und logische Segmentierung.

Physische Segmentierung

Die physische Segmentierung erfordert Hardware-Geräte (wie Router, Switches und Firewalls), um ein Netzwerk in einzelne Abschnitte zu unterteilen. Diese Geräte steuern die Art des Traffics, der in die einzelnen Segmente hinein- und aus ihnen herausgelassen wird. Dies geschieht durch Segmentierungsrichtlinien, die nach bestimmten Kriterien konfiguriert werden können (z. B. Quelle und Ziel des Traffics).

Die Einrichtung und die Wartung einer physischen Segmentierung (auch perimeterbasierte Segmentierung genannt) ist oft teuer und arbeitsintensiv. Das Konzept geht außerdem davon aus, dass die meisten Unternehmen immer noch über einen physischen Netzwerkperimeter verfügen.

Mit dem Aufkommen des Cloud-Computings ist diese Grenze jedoch nahezu verschwunden. Statt über IT-verwaltete Netzwerke greifen die Nutzer über das Internet auf Daten und Anwendungen zu. Selbst Unternehmen, die eine On-Premise-Infrastruktur betreiben, erlauben ihren Nutzern häufig den Zugriff auf interne Ressourcen über externe Geräte und Software.

Logische Segmentierung

Logische Segmentierung oder virtuelle Netzwerksegmentierung unterteilt ein Netzwerk mit Hilfe von Software in kleinere Abschnitte. Diese Segmente können durch Subnetting, virtuelle lokale Netzwerke (VLANs) und Schemata für die Netzwerkadressierung erzeugt werden.

Subnets helfen dabei, ein Netzwerk in kleinere Segmente zu unterteilen, sodass der Netzwerk-Traffic einen kürzeren Weg zum Ziel zurücklegen kann, ohne unnötig viele Router zu passieren.
VLANs teilen den Traffic in einem einzigen physischen Netzwerk in zwei Netzwerke auf, ohne dass mehrere Router oder Internetverbindungen erforderlich sind, um den Netzwerk-Traffic an verschiedene Ziele zu leiten.
Schemata für die Netzwerkadressierung schaffen Netzsegmente, indem sie die Netzressourcen auf mehrere Teilnetze auf der Schicht 3 aufteilen

Wie bei der physischen Segmentierung wird auch bei der logischen Segmentierung der Verkehrsfluss in und aus den einzelnen Netzwerksegmenten durch die Segmentierungsrichtlinien beschränkt.

Da die logische Segmentierung nicht auf die Konfiguration, Wartung und Aktualisierung mehrerer Hardwaregeräte angewiesen ist, gilt sie weithin als flexiblere, skalierbarere und kostengünstigere Methode zur Trennung und Sicherung eines Netzwerks.

Was sind die Vorteile der Netzwerksegmentierung?

Bei richtiger Implementierung kann Netzwerksegmentierung Unternehmen dabei helfen, die Sicherheit, Performance und Compliance effizienter zu gestalten. Zu den wichtigsten Vorteilen gehören die folgenden:

Laterale Bewegung einschränken: Sobald ein Angreifer in ein Netzwerk eingedrungen ist, kann er sich nicht mehr frei im gesamten Netzwerk bewegen, da er nur in ein bestimmtes Teilsegment eingedrungen ist. Dies wiederum verringert die Angriffsfläche eines Unternehmens.
Böswillige Aktivitäten aufhalten: Wenn ein Angriff oder eine verdächtige Aktivität auf einen bestimmten Bereich beschränkt ist, können IT-Teams diese effektiver erkennen und aufhalten, ohne dabei das restliche Netzwerk zu beeinträchtigen.
Performance steigern: Die Beschränkung bestimmter Traffic-Typen auf bestimmte Teile des Netzwerks kann dazu beitragen, die Gesamtüberlastung zu verringern und die Performance zu optimieren.
Compliance gewährleisten: Die Segmentierung kann die Bereiche des Netzwerks isolieren, die den Konformitätsstandards unterliegen. Dadurch können sie bei Bedarf leichter aktualisiert werden.

Netzwerksegmentierung vs. Mikrosegmentierung

Bei der Netzwerksegmentierung wird ein Netzwerk in kleinere Abschnitte unterteilt, auf die unterschiedliche Sicherheitskontrollen und -richtlinien angewendet werden.

Die Mikrosegmentierung hingegen ist eine Untergruppe der Netzwerksegmentierung, die eine noch präzisere Kontrolle einzelner Workloads ermöglicht. (Ein Workload ist ein Programm oder eine App – wie ein Server, eine virtuelle Maschine oder serverless Funktion –, das bzw. die eine bestimmte Menge an Speicher- und Rechenressourcen in Anspruch nimmt). Es ist Teil eines Zero Trust-Sicherheitsmodells, bei dem kein Nutzer oder Gerät standardmäßig als vertrauenswürdig eingestuft wird.

Um die Sicherheitsvorteile der Netzwerksegmentierung im Vergleich zur Mikrosegmentierung zu veranschaulichen, stellen Sie sich folgendes Szenario vor: Ein König besitzt einen großen Schatz an Gold und Juwelen, den er schützen möchte. Dazu könnte er alle seine Schätze auf mehrere geheime Schatzkammern verteilen, wobei jede Schatzkammer nur mit einem bestimmten Schlüssel geöffnet werden kann (Netzwerksegmentierung). Wenn ein Dieb den Schlüssel zu einer der Schatzkammern stiehlt, kann er zwar den darin verborgenen Schatz entwenden, aber nicht an die anderen Verstecke gelangen, ohne weitere Schlüssel zu diesen Räumen zu stehlen. Ebenso kann ein Angreifer, der in ein Subnet eindringt, zwar die Daten innerhalb dieses Netzwerks kompromittieren, aber nicht ungehindert in ein anderes Subnet eindringen.

Darüber hinaus könnte der König seine Schätze aber nicht nur auf mehrere Schatzkammern verteilen, sondern sie auch innerhalb der Schatzkammern auch in verschlossenen Truhen aufbewahren, wobei jede Truhe nur mit einem eigenen Schlüssel geöffnet werden kann (Mikrosegmentierung). Wenn ein Dieb den Schlüssel zu einer der Schatzkammern stiehlt, kann er die einzelnen Truhen nicht öffnen, ohne sich weitere Schlüssel zu beschaffen. Ähnlich verhält es sich in einem mikrosegmentierten Netzwerk: Selbst wenn ein Angreifer einen Workload kompromittieren kann, ist er möglicherweise nicht in der Lage, andere Workloads zu kompromittieren (oder überhaupt auf sie zuzugreifen).

Erfahren Sie mehr darüber, wie Mikrosegmentierung Unternehmen hilft, ein Zero Trust-Sicherheitsniveau zu erreichen.

FAQs

Was bedeutet Netzwerksegmentierung

Netzwerksegmentierung verbessert die Sicherheit, indem sie ein Netzwerk in kleinere, isolierte Segmente unterteilt. Diese Vorgehensweise schränkt den Zugriff eines Angreifers ein, wenn er in das Netzwerk eindringt, und ermöglicht eine bessere Kontrolle über den Netzwerkverkehr.

Was ist Mikrosegmentierung?

Mikrosegmentierung ist eine fein abgestimmte Form der Netzwerksegmentierung, die Sicherheitskontrollen auf einzelne Workloads oder Applikationen anwendet und spezifische Sicherheitsrichtlinien für jede ermöglicht. Im Gegensatz zu anderen Arten der Netzwerksegmentierung erfolgt die Mikrosegmentierung auf der Anwendungsschicht statt auf der Netzwerkebene.

Wie verhindert die Netzwerksegmentierung laterale Bewegung?

Netzwerksegmentierung schränkt die Fähigkeit eines Angreifers ein, sich nach einem Sicherheitsvorfall in andere Teile des Netzwerks zu bewegen, indem sie seinen Zugriff nur auf das kompromittierte Segment beschränkt und den Rest des Netzwerks schützt.

Was ist der Unterschied zwischen physischer und logischer Segmentierung?

Die physische Segmentierung verwendet Hardware wie Router und Firewalls, um Netzwerkteile zu trennen. Die logische Segmentierung nutzt softwarebasierte Methoden wie Subnetting und virtuelle lokale Netzwerke (VLANs), um virtuelle Barrieren innerhalb eines Netzwerks zu errichten.

Welche Performance-Vorteile bietet die Netzwerksegmentierung?

Die Segmentierung kann Organisationen dabei helfen, die Netzwerk-Performance zu optimieren, indem sie sicherstellt, dass nur der notwendige Datenverkehr zwischen den Segmenten fließt, was die Netzüberlastung reduziert.

Wie hat Cloud Computing die Netzwerksegmentierung beeinflusst?

Cloud-Computing hat die traditionellen Netzwerkperimeter verwischt, wodurch flexible, softwarebasierte Segmentierungsmethoden wichtiger geworden sind, um moderne, verteilte Umgebungen zu sichern. Hardwarebasierte Netzwerksegmentierung trägt nicht viel zur Sicherheit von Cloud-Bereitstellungen bei.

Wie steht die Zero-Trust-Sicherheit in Beziehung zur Netzwerksegmentierung?

Zero Trust ist ein Sicherheitsmodell, bei dem angenommen wird, dass Bedrohungen bereits innerhalb eines Netzwerks vorhanden sind und keinem Benutzer oder Gerät standardmäßig vertraut wird. Netzwerksegmentierung, insbesondere Mikrosegmentierung, ist ein Schlüsselprinzip der Zero Trust-Sicherheit, da sie verhindert, dass diese bereits vorhandenen Bedrohungen das gesamte Netzwerk kompromittieren.