Mikrosegmentierung ist eine Technik zur Unterteilung eines Netzwerks in separate Segmente auf der Anwendungsebene. Sie erhöht die Sicherheit und verringert die Auswirkungen einer Sicherheitsverletzung.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Zero Trust-Sicherheit
Was ist ZTNA?
Grundsatz der geringsten Privilegierung
Burg und Burggraben-Sicherheitsmodell
Was ist eine interne Bedrohung?
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Mikrosegmentierung unterteilt ein Netzwerk in kleine, diskrete Abschnitte, wobei für jeden dieser Abschnitte eigene Sicherheitsrichtlinien gelten und der Zugriff separat erfolgt. Die Mikrosegmentierung erhöht die Netzwerksicherheit, indem sie Bedrohungen und Sicherheitsverletzungen auf das kompromittierte Segment beschränkt, ohne den Rest des Netzwerks zu beeinträchtigen.
Große Schiffe sind oft in Abteilungen unter Deck unterteilt, wobei jede von ihnen wasserdicht ist und von den anderen abgeriegelt werden kann. Selbst wenn ein Leck entsteht und sich ein Abteil mit Wasser füllt, bleiben die übrigen Abteile trocken, und das Schiff bleibt über Wasser. Das Konzept der Mikrosegmentierung von Netzwerken ist ähnlich: Ein Segment des Netzwerks kann kompromittiert werden, aber es lässt sich leicht vom Rest des Netzwerks abschotten.
Mikrosegmentierung ist eine Schlüsselkomponente einer Zero Trust-Architektur. Eine solche Architektur basiert auf der Annahme, dass jeder Traffic eine Bedrohung darstellen könnte, ob er sich in ein Netzwerk hinein, aus einem Netzwerk heraus oder innerhalb eines Netzwerks bewegt. Durch Mikrosegmentierung können Sie diese Bedrohungen isolieren, bevor sie sich ausbreiten, und damit laterale Bewegungen verhindern.
Unternehmen können sowohl Rechenzentren vor Ort als auch Cloud Computing-Implementierungen mikrosegmentieren – also überall dort, wo Workloads ausgeführt werden. Server, virtuelle Maschinen, Container und Microservices können auf diese Weise segmentiert werden, und zwar jeweils mit ihrer eigenen Sicherheitsrichtlinie.
Mikrosegmentierung kann in einem Netzwerk auf extrem granularen Ebenen erfolgen, bis hin zur Isolierung einzelner Workloads (im Gegensatz zur Isolierung von Anwendungen, Geräten oder Netzwerken), ein „Workload“ ist dabei jedes Programm oder jede Anwendung, die eine gewisse Menge an Arbeitsspeicher und CPU verwendet.
Die Techniken zur Mikrosegmentierung eines Netzes variieren leicht. Ein paar wichtige Grundsätze gelten jedoch fast immer:
Mikrosegmentierungslösungen kennen die Anwendungen, die Traffic über das Netzwerk senden. Mikrosegmentierung gibt Aufschluss darüber, welche Anwendungen miteinander kommunizieren und wie der Netzwerk-Traffic zwischen ihnen fließt. Dies ist einer der Unterschiede zwischen der Mikrosegmentierung und der Aufteilung eines Netzwerks mit Hilfe von virtuellen lokalen Netzwerken (VLANs) oder anderen Methoden auf Netzwerkebene.
Die Mikrosegmentierung wird über Software konfiguriert. Die Segmentierung ist virtuell, so dass Administratoren zur Implementierung keine Router, Switches oder andere Netzwerkgeräte anpassen müssen.
Die meisten Mikrosegmentierungslösungen grenzen ihre Segmente mit Next-Generation-Firewalls (NGFWs) ab. NGFWs besitzen im Gegensatz zu herkömmlichen Firewalls ein Anwendungsbewusstsein, so dass sie den Netzwerk-Traffic auf der Anwendungsebene und nicht nur auf der Netzwerk- und Transportebene analysieren können.
Darüber hinaus können cloudbasierte Firewalls zur Mikrosegmentierung von Cloud Computing-Implementierungen verwendet werden. Bei einigen Cloud Hosting Providern ist dies über die integrierten Firewall-Dienste möglich.
Administratoren passen auf Wunsch die Sicherheitsrichtlinien für jeden Workload an. So kann ein Workload einen breiten Zugriff erlauben, während ein anderer stark eingeschränkt ist, je nachdem, wie wichtig der jeweilige Workload ist und welche Daten er verarbeitet. Während ein Workload API-Abfragen von einer Reihe von Endpunkten akzeptieren kann, darf ein anderer nur mit einem bestimmten Server kommunizieren.
Die übliche Netzwerkprotokollierung liefert Informationen zur Netzwerk- und Transportebene, wie z. B. Ports und IP-Adressen. Mikrosegmentierung bietet auch Anwendungs- und Workload-Kontext. Indem Unternehmen den gesamten Netzwerk-Traffic überwachen und den Anwendungskontext hinzufügen, können sie Segmentierungs- und Sicherheitsrichtlinien in ihren Netzwerken konsistent anwenden. So erhalten Sie auch die nötigen Informationen, um die Sicherheitsrichtlinien bei Bedarf zu optimieren.
Mikrosegmentierung verhindert, dass sich Bedrohungen über das gesamte Netzwerk ausbreiten und begrenzt so den Schaden eines Cyberangriffs. Angreifer haben nur begrenzten Zugang und können nicht unbedingt auf vertrauliche Daten zugreifen.
Ein Netzwerk mit Workloads, die in einem mikrosegmentierten Rechenzentrum laufen, kann beispielsweise Dutzende von separaten, sicheren Zonen enthalten. Ein Benutzer mit Zugriff auf eine Zone braucht eine separate Autorisierung für jede der anderen Zonen. Dies minimiert die Risiken der Privilegieneskalation (wenn ein Benutzer zu viel Zugriff hat) und der Insider-Bedrohungen (wenn Benutzer wissentlich oder unwissentlich die Sicherheit vertraulicher Daten gefährden).
Ein weiteres Beispiel: Nehmen wir an, in einem Container gibt es eine Sicherheitslücke. Der Angreifer nutzt diese Schwachstelle mit Schadcode aus und kann nun Daten innerhalb des Containers verändern. In einem Netzwerk, das nur an der Peripherie geschützt ist, könnte der Angreifer lateral in andere Teile des Netzwerks vordringen, seine Privilegien ausweiten und schließlich sehr wertvolle Daten extrahieren oder verändern. In einem mikrosegmentierten Netzwerk gelingt dies dem Angreifer höchstwahrscheinlich nicht, ohne einen separaten Einstiegspunkt zu finden.
„Zero Trust“ ist eine Philosophie und ein Ansatz für die Netzwerksicherheit, der davon ausgeht, dass Bedrohungen sowohl innerhalb als auch außerhalb einer sicheren Umgebung bereits vorhanden sind. Viele Unternehmen setzen eine Zero Trust-Architektur ein, um sowohl Angriffe zu verhindern als auch den Schaden durch erfolgreiche Angriffe zu minimieren.
Mikrosegmentierung ist zwar eine Schlüsselkomponente einer Zero Trust-Strategie, aber nicht die einzige. Andere Zero Trust-Prinzipien sind:
Wenn Sie erfahren möchten, wie Cloudflare Unternehmen bei der Implementierung dieser Komponenten unterstützt, lesen Sie mehr über die Cloudflare Zero Trust-Plattform.