Login

Was ist Mikrosegmentierung?

Mikrosegmentierung ist eine Technik zur Unterteilung eines Netzwerks in separate Segmente auf der Anwendungsebene. Sie erhöht die Sicherheit und verringert die Auswirkungen einer Sicherheitsverletzung.

Was ist Mikrosegmentierung?

Mikrosegmentierung unterteilt ein Netzwerk in kleine, diskrete Abschnitte, wobei für jeden dieser Abschnitte eigene Sicherheitsrichtlinien gelten und der Zugriff separat erfolgt. Die Mikrosegmentierung erhöht die Netzwerksicherheit, indem sie Bedrohungen und Sicherheitsverletzungen auf das kompromittierte Segment beschränkt, ohne den Rest des Netzwerks zu beeinträchtigen.

Große Schiffe sind oft in Abteilungen unter Deck unterteilt, wobei jede von ihnen wasserdicht ist und von den anderen abgeriegelt werden kann. Selbst wenn ein Leck entsteht und sich ein Abteil mit Wasser füllt, bleiben die übrigen Abteile trocken, und das Schiff bleibt über Wasser. Das Konzept der Mikrosegmentierung von Netzwerken ist ähnlich: Ein Segment des Netzwerks kann kompromittiert werden, aber es lässt sich leicht vom Rest des Netzwerks abschotten.

Mikrosegmentierung ist eine Schlüsselkomponente einer Zero Trust-Architektur. Eine solche Architektur basiert auf der Annahme, dass jeder Traffic eine Bedrohung darstellen könnte, ob er sich in ein Netzwerk hinein, aus einem Netzwerk heraus oder innerhalb eines Netzwerks bewegt. Durch Mikrosegmentierung können Sie diese Bedrohungen isolieren, bevor sie sich ausbreiten, und damit laterale Bewegungen verhindern.

Wo findet Mikrosegmentierung statt?

Unternehmen können sowohl Rechenzentren vor Ort als auch Cloud Computing-Implementierungen mikrosegmentieren – also überall dort, wo Workloads ausgeführt werden. Server, virtuelle Maschinen, Container und Microservices können auf diese Weise segmentiert werden, und zwar jeweils mit ihrer eigenen Sicherheitsrichtlinie.

Mikrosegmentierung kann in einem Netzwerk auf extrem granularen Ebenen erfolgen, bis hin zur Isolierung einzelner Workloads (im Gegensatz zur Isolierung von Anwendungen, Geräten oder Netzwerken), ein „Workload“ ist dabei jedes Programm oder jede Anwendung, die eine gewisse Menge an Arbeitsspeicher und CPU verwendet.

Wie funktioniert Mikrosegmentierung?

Die Techniken zur Mikrosegmentierung eines Netzes variieren leicht. Ein paar wichtige Grundsätze gelten jedoch fast immer:

Sichtbarkeit der Anwendungsebene

Mikrosegmentierungslösungen kennen die Anwendungen, die Traffic über das Netzwerk senden. Mikrosegmentierung gibt Aufschluss darüber, welche Anwendungen miteinander kommunizieren und wie der Netzwerk-Traffic zwischen ihnen fließt. Dies ist einer der Unterschiede zwischen der Mikrosegmentierung und der Aufteilung eines Netzwerks mit Hilfe von virtuellen lokalen Netzwerken (VLANs) oder anderen Methoden auf Netzwerkebene.

Softwarebasiert, nicht hardwarebasiert

Die Mikrosegmentierung wird über Software konfiguriert. Die Segmentierung ist virtuell, so dass Administratoren zur Implementierung keine Router, Switches oder andere Netzwerkgeräte anpassen müssen.

Einsatz von Next-Generation-Firewalls (NGFWs)

Die meisten Mikrosegmentierungslösungen grenzen ihre Segmente mit Next-Generation-Firewalls (NGFWs) ab. NGFWs besitzen im Gegensatz zu herkömmlichen Firewalls ein Anwendungsbewusstsein, so dass sie den Netzwerk-Traffic auf der Anwendungsebene und nicht nur auf der Netzwerk- und Transportebene analysieren können.

Darüber hinaus können cloudbasierte Firewalls zur Mikrosegmentierung von Cloud Computing-Implementierungen verwendet werden. Bei einigen Cloud Hosting Providern ist dies über die integrierten Firewall-Dienste möglich.

Sicherheitsrichtlinien unterscheiden sich je nach Segment

Administratoren passen auf Wunsch die Sicherheitsrichtlinien für jeden Workload an. So kann ein Workload einen breiten Zugriff erlauben, während ein anderer stark eingeschränkt ist, je nachdem, wie wichtig der jeweilige Workload ist und welche Daten er verarbeitet. Während ein Workload API-Abfragen von einer Reihe von Endpunkten akzeptieren kann, darf ein anderer nur mit einem bestimmten Server kommunizieren.

Einsicht in den gesamten Netzwerk-Traffic

Die übliche Netzwerkprotokollierung liefert Informationen zur Netzwerk- und Transportebene, wie z. B. Ports und IP-Adressen. Mikrosegmentierung bietet auch Anwendungs- und Workload-Kontext. Indem Unternehmen den gesamten Netzwerk-Traffic überwachen und den Anwendungskontext hinzufügen, können sie Segmentierungs- und Sicherheitsrichtlinien in ihren Netzwerken konsistent anwenden. So erhalten Sie auch die nötigen Informationen, um die Sicherheitsrichtlinien bei Bedarf zu optimieren.

Wie erhöht Mikrosegmentierung die Sicherheit?

Mikrosegmentierung verhindert, dass sich Bedrohungen über das gesamte Netzwerk ausbreiten und begrenzt so den Schaden eines Cyberangriffs. Angreifer haben nur begrenzten Zugang und können nicht unbedingt auf vertrauliche Daten zugreifen.

Ein Netzwerk mit Workloads, die in einem mikrosegmentierten Rechenzentrum laufen, kann beispielsweise Dutzende von separaten, sicheren Zonen enthalten. Ein Benutzer mit Zugriff auf eine Zone braucht eine separate Autorisierung für jede der anderen Zonen. Dies minimiert die Risiken der Privilegieneskalation (wenn ein Benutzer zu viel Zugriff hat) und der Insider-Bedrohungen (wenn Benutzer wissentlich oder unwissentlich die Sicherheit vertraulicher Daten gefährden).

Ein weiteres Beispiel: Nehmen wir an, in einem Container gibt es eine Sicherheitslücke. Der Angreifer nutzt diese Schwachstelle mit Schadcode aus und kann nun Daten innerhalb des Containers verändern. In einem Netzwerk, das nur an der Peripherie geschützt ist, könnte der Angreifer lateral in andere Teile des Netzwerks vordringen, seine Privilegien ausweiten und schließlich sehr wertvolle Daten extrahieren oder verändern. In einem mikrosegmentierten Netzwerk gelingt dies dem Angreifer höchstwahrscheinlich nicht, ohne einen separaten Einstiegspunkt zu finden.

Was sind die anderen Komponenten eines Zero Trust-Netzwerks?

Zero Trust“ ist eine Philosophie und ein Ansatz für Netzwerksicherheit, der davon ausgeht, dass Bedrohungen sowohl innerhalb als auch außerhalb einer sicheren Umgebung bereits vorhanden sind. Viele Unternehmen setzen eine Zero Trust-Architektur ein, um sowohl Angriffe zu verhindern als auch den Schaden durch erfolgreiche Angriffe zu minimieren.

Mikrosegmentierung ist zwar eine Schlüsselkomponente einer Zero Trust-Strategie, aber nicht die einzige. Andere Zero Trust-Prinzipien sind:

  • Kontinuierliche Überwachung und Überprüfung: Keinem Gerät oder Benutzer wird automatisch vertraut, auch nicht den bereits authentifizierten. Anmeldungen und Verbindungen werden in regelmäßigen Abständen per Zeitüberschreitung unterbrochen, so dass Benutzer und Geräte immer wieder neu überprüft werden.
  • Least Privilege-Prinzip: Benutzer haben nur Zugriff auf die Systeme und Daten, die unbedingt erforderlich sind.
  • Kontrolle des Gerätezugriffs: Der Gerätezugriff wird genau wie der Nutzerzugriff verfolgt und eingeschränkt.
  • Multi-Faktor-Authentifizierung (MFA): Die Authentifizierung erfolgt über mindestens zwei Identitätsfaktoren, anstatt sich nur auf Passwörter, Sicherheitsfragen oder andere wissensbasierte Methoden zu verlassen.

Wenn Sie erfahren möchten, wie Cloudflare Unternehmen bei der Implementierung dieser Komponenten unterstützt, lesen Sie mehr über die Cloudflare Zero Trust-Plattform.

FAQs

Was bedeutet Netzwerksegmentierung

Netzwerksegmentierung ist der Prozess der Aufteilung eines Netzwerks in kleinere, isolierte Abschnitte mit separaten Sicherheitsrichtlinien. Dies hilft, Bedrohungen einzudämmen, sodass sie sich nicht über den Rest des Netzwerks ausbreiten.

Was ist Zero Trust-Architektur?

Die Zero-Trust-Architektur ist ein Sicherheitsansatz, der davon ausgeht, dass Bedrohungen sowohl innerhalb als auch außerhalb des Netzwerks einer Organisation wahrscheinlich vorhanden sind. Er implementiert Prinzipien und Techniken wie Mikrosegmentierung, kontinuierliche Validierung, Zugriff mit minimalen Berechtigungen und Multi-Faktor-Authentifizierung (MFA), um Cyberangriffe sowohl zu verhindern als auch einzudämmen.

Wie verhindert Mikrosegmentierung laterale Bewegung?

Mikrosegmentierung erstellt isolierte Netzwerksegmente, sodass Angreifer, selbst wenn sie Zugriff auf ein Segment erhalten, nicht einfach zu anderen wechseln können. Dies schränkt die Fähigkeit des Angreifers ein, sich auf andere Konten, Systeme und Geräte innerhalb des Netzwerks auszubreiten.

Was ist die Sichtbarkeit der Anwendungsschicht bei der Mikrosegmentierung?

Mikrosegmentierungslösungen bieten Sichtbarkeit auf Anwendungsschicht: Sie wissen, welche Anwendungen kommunizieren und wie der Netzwerkverkehr zwischen ihnen fließt. Dies ermöglicht eine präzisere Überwachung und Durchsetzung von Sicherheitsrichtlinien im Vergleich zu netzwerkbasierten Ansätzen, die anwendungsunabhängig sind, wie die Verwendung von VLANs.

Wie unterstützen Next-Generation-Firewalls (NGFWs) die Mikrosegmentierung?

NGFWs der nächsten Generation bieten Transparenz auf der Anwendungsebene und unterstützen Organisationen bei einer verbesserten Netzwerksegmentierung.

Was ist Workload-Isolation in der Mikrosegmentierung?

Workload-Isolation bezieht sich auf die Fähigkeit, einzelne Programme oder Anwendungen innerhalb eines Netzwerks zu segmentieren und zu schützen, sodass jede ihre eigene maßgeschneiderte Sicherheitsrichtlinie hat. Dies verhindert, dass sich Bedrohungen zwischen Workloads ausbreiten.