Was ist Mikrosegmentierung?

Was ist Mikrosegmentierung?

Mikrosegmentierung unterteilt ein Netzwerk in kleine, diskrete Abschnitte, wobei für jeden dieser Abschnitte eigene Sicherheitsrichtlinien gelten und der Zugriff separat erfolgt. Die Mikrosegmentierung erhöht die Sicherheit, indem sie Bedrohungen und Sicherheitsverletzungen auf das kompromittierte Segment beschränkt, ohne den Rest des Netzwerks zu beeinträchtigen.

Große Schiffe sind oft in Abteilungen unter Deck unterteilt, wobei jede von ihnen wasserdicht ist und von den anderen abgeriegelt werden kann. Selbst wenn ein Leck entsteht und sich ein Abteil mit Wasser füllt, bleiben die übrigen Abteile trocken, und das Schiff bleibt über Wasser. Das Konzept der Mikrosegmentierung von Netzwerken ist ähnlich: Ein Segment des Netzwerks kann kompromittiert werden, aber es lässt sich leicht vom Rest des Netzwerks abschotten.

Mikrosegmentierung ist eine Schlüsselkomponente einer Zero Trust-Architektur. Eine solche Architektur basiert auf der Annahme, dass jeder Traffic eine Bedrohung darstellen könnte, ob er sich in ein Netzwerk hinein, aus einem Netzwerk heraus oder innerhalb eines Netzwerks bewegt. Durch Mikrosegmentierung können Sie diese Bedrohungen isolieren, bevor sie sich ausbreiten, und damit laterale Bewegungen verhindern.

Wo findet Mikrosegmentierung statt?

Unternehmen können sowohl Rechenzentren vor Ort als auch Cloud Computing-Implementierungen mikrosegmentieren – also überall dort, wo Workloads ausgeführt werden. Server, virtuelle Maschinen, Container und Microservices können auf diese Weise segmentiert werden, und zwar jeweils mit ihrer eigenen Sicherheitsrichtlinie.

Mikrosegmentierung kann in einem Netzwerk auf extrem granularen Ebenen erfolgen, bis hin zur Isolierung einzelner Workloads (im Gegensatz zur Isolierung von Anwendungen, Geräten oder Netzwerken), ein „Workload“ ist dabei jedes Programm oder jede Anwendung, die eine gewisse Menge an Arbeitsspeicher und CPU verwendet.

Wie funktioniert Mikrosegmentierung?

Die Techniken zur Mikrosegmentierung eines Netzes variieren leicht. Ein paar wichtige Grundsätze gelten jedoch fast immer:

Sichtbarkeit der Anwendungsebene

Mikrosegmentierungslösungen kennen die Anwendungen, die Traffic über das Netzwerk senden. Mikrosegmentierung gibt Aufschluss darüber, welche Anwendungen miteinander kommunizieren und wie der Netzwerk-Traffic zwischen ihnen fließt. Dies ist einer der Unterschiede zwischen der Mikrosegmentierung und der Aufteilung eines Netzwerks mit Hilfe von virtuellen lokalen Netzwerken (VLANs) oder anderen Methoden auf Netzwerkebene.

Softwarebasiert, nicht hardwarebasiert

Die Mikrosegmentierung wird über Software konfiguriert. Die Segmentierung ist virtuell, so dass Administratoren zur Implementierung keine Router, Switches oder andere Netzwerkgeräte anpassen müssen.

Einsatz von Next-Generation-Firewalls (NGFWs)

Die meisten Mikrosegmentierungslösungen grenzen ihre Segmente mit Next-Generation-Firewalls (NGFWs) ab. NGFWs besitzen im Gegensatz zu herkömmlichen Firewalls ein Anwendungsbewusstsein, so dass sie den Netzwerk-Traffic auf der Anwendungsebene und nicht nur auf der Netzwerk- und Transportebene analysieren können.

Darüber hinaus können cloudbasierte Firewalls zur Mikrosegmentierung von Cloud Computing-Implementierungen verwendet werden. Bei einigen Cloud Hosting Providern ist dies über die integrierten Firewall-Dienste möglich.

Sicherheitsrichtlinien unterscheiden sich je nach Segment

Administratoren passen auf Wunsch die Sicherheitsrichtlinien für jeden Workload an. So kann ein Workload einen breiten Zugriff erlauben, während ein anderer stark eingeschränkt ist, je nachdem, wie wichtig der jeweilige Workload ist und welche Daten er verarbeitet. Während ein Workload API-Abfragen von einer Reihe von Endpunkten akzeptieren kann, darf ein anderer nur mit einem bestimmten Server kommunizieren.

Einsicht in den gesamten Netzwerk-Traffic

Typical network logging provides network and transport layer information such as ports and IP addresses. Microsegmentation also provides application and workload context. By monitoring all network traffic and adding application context, organizations can consistently apply segmentation and security policies across their networks. This also provides the information needed to tweak security policies as needed.

Wie erhöht Mikrosegmentierung die Sicherheit?

Mikrosegmentierung verhindert, dass sich Bedrohungen über das gesamte Netzwerk ausbreiten und begrenzt so den Schaden eines Cyberangriffs. Angreifer haben nur begrenzten Zugang und können nicht unbedingt auf vertrauliche Daten zugreifen.

Ein Netzwerk mit Workloads, die in einem mikrosegmentierten Rechenzentrum laufen, kann beispielsweise Dutzende von separaten, sicheren Zonen enthalten. Ein Benutzer mit Zugriff auf eine Zone braucht eine separate Autorisierung für jede der anderen Zonen. Dies minimiert die Risiken der Privilegieneskalation (wenn ein Benutzer zu viel Zugriff hat) und der Insider-Bedrohungen (wenn Benutzer wissentlich oder unwissentlich die Sicherheit vertraulicher Daten gefährden).

Ein weiteres Beispiel: Nehmen wir an, in einem Container gibt es eine Sicherheitslücke. Der Angreifer nutzt diese Schwachstelle mit Schadcode aus und kann nun Daten innerhalb des Containers verändern. In einem Netzwerk, das nur an der Peripherie geschützt ist, könnte der Angreifer lateral in andere Teile des Netzwerks vordringen, seine Privilegien ausweiten und schließlich sehr wertvolle Daten extrahieren oder verändern. In einem mikrosegmentierten Netzwerk gelingt dies dem Angreifer höchstwahrscheinlich nicht, ohne einen separaten Einstiegspunkt zu finden.

Was sind die anderen Komponenten eines Zero Trust-Netzwerks?

„Zero Trust“ ist eine Philosophie und ein Ansatz für die Netzwerksicherheit, der davon ausgeht, dass Bedrohungen sowohl innerhalb als auch außerhalb einer sicheren Umgebung bereits vorhanden sind. Viele Unternehmen setzen eine Zero Trust-Architektur ein, um sowohl Angriffe zu verhindern als auch den Schaden durch erfolgreiche Angriffe zu minimieren.

Mikrosegmentierung ist zwar eine Schlüsselkomponente einer Zero Trust-Strategie, aber nicht die einzige. Andere Zero Trust-Prinzipien sind:

• Kontinuierliche Überwachung und Überprüfung: Keinem Gerät oder Benutzer wird automatisch vertraut, auch nicht den bereits authentifizierten. Anmeldungen und Verbindungen werden in regelmäßigen Abständen per Zeitüberschreitung unterbrochen, so dass Benutzer und Geräte immer wieder neu überprüft werden.
• Least Privilege-Prinzip: Benutzer haben nur Zugriff auf die Systeme und Daten, die unbedingt erforderlich sind.
• Kontrolle des Gerätezugriffs: Der Gerätezugriff wird genau wie der Benutzerzugriff verfolgt und eingeschränkt.
• Multi-Faktor-Authentifizierung (MFA): Die Authentifizierung erfolgt über mindestens zwei Identitätsfaktoren, anstatt sich nur auf Passwörter, Sicherheitsfragen oder andere wissensbasierte Methoden zu verlassen.

Wenn Sie erfahren möchten, wie Cloudflare Unternehmen bei der Implementierung dieser Komponenten unterstützt, lesen Sie mehr über die Cloudflare Zero Trust-Plattform.