Was ist Mikrosegmentierung?

Mikrosegmentierung ist eine Technik zur Unterteilung eines Netzwerks in separate Segmente auf der Anwendungsebene. Sie erhöht die Sicherheit und verringert die Auswirkungen einer Sicherheitsverletzung.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Mikrosegmentierung definieren
  • Erklären, wie Mikrosegmentierung die Sicherheit erhöht
  • Beschreiben, wie Mikrosegmentierung in eine Zero Trust-Architektur passt

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist Mikrosegmentierung?

Mikrosegmentierung unterteilt ein Netzwerk in kleine, diskrete Abschnitte, wobei für jeden dieser Abschnitte eigene Sicherheitsrichtlinien gelten und der Zugriff separat erfolgt. Die Mikrosegmentierung erhöht die Sicherheit, indem sie Bedrohungen und Sicherheitsverletzungen auf das kompromittierte Segment beschränkt, ohne den Rest des Netzwerks zu beeinträchtigen.

Große Schiffe sind oft in Abteilungen unter Deck unterteilt, wobei jede von ihnen wasserdicht ist und von den anderen abgeriegelt werden kann. Selbst wenn ein Leck entsteht und sich ein Abteil mit Wasser füllt, bleiben die übrigen Abteile trocken, und das Schiff bleibt über Wasser. Das Konzept der Mikrosegmentierung von Netzwerken ist ähnlich: Ein Segment des Netzwerks kann kompromittiert werden, aber es lässt sich leicht vom Rest des Netzwerks abschotten.

Mikrosegmentierung ist eine Schlüsselkomponente einer Zero Trust-Architektur. Eine solche Architektur basiert auf der Annahme, dass jeder Traffic eine Bedrohung darstellen könnte, ob er sich in ein Netzwerk hinein, aus einem Netzwerk heraus oder innerhalb eines Netzwerks bewegt. Durch Mikrosegmentierung können Sie diese Bedrohungen isolieren, bevor sie sich ausbreiten, und damit laterale Bewegungen verhindern.

Wo findet Mikrosegmentierung statt?

Unternehmen können sowohl Rechenzentren vor Ort als auch Cloud Computing-Implementierungen mikrosegmentieren – also überall dort, wo Workloads ausgeführt werden. Server, virtuelle Maschinen, Container und Microservices können auf diese Weise segmentiert werden, und zwar jeweils mit ihrer eigenen Sicherheitsrichtlinie.

Mikrosegmentierung kann in einem Netzwerk auf extrem granularen Ebenen erfolgen, bis hin zur Isolierung einzelner Workloads (im Gegensatz zur Isolierung von Anwendungen, Geräten oder Netzwerken), ein „Workload“ ist dabei jedes Programm oder jede Anwendung, die eine gewisse Menge an Arbeitsspeicher und CPU verwendet.

Wie funktioniert Mikrosegmentierung?

Die Techniken zur Mikrosegmentierung eines Netzes variieren leicht. Ein paar wichtige Grundsätze gelten jedoch fast immer:

Sichtbarkeit der Anwendungsebene

Mikrosegmentierungslösungen kennen die Anwendungen, die Traffic über das Netzwerk senden. Mikrosegmentierung gibt Aufschluss darüber, welche Anwendungen miteinander kommunizieren und wie der Netzwerk-Traffic zwischen ihnen fließt. Dies ist einer der Unterschiede zwischen der Mikrosegmentierung und der Aufteilung eines Netzwerks mit Hilfe von virtuellen lokalen Netzwerken (VLANs) oder anderen Methoden auf Netzwerkebene.

Softwarebasiert, nicht hardwarebasiert

Die Mikrosegmentierung wird über Software konfiguriert. Die Segmentierung ist virtuell, so dass Administratoren zur Implementierung keine Router, Switches oder andere Netzwerkgeräte anpassen müssen.

Einsatz von Next-Generation-Firewalls (NGFWs)

Die meisten Mikrosegmentierungslösungen grenzen ihre Segmente mit Next-Generation-Firewalls (NGFWs) ab. NGFWs besitzen im Gegensatz zu herkömmlichen Firewalls ein Anwendungsbewusstsein, so dass sie den Netzwerk-Traffic auf der Anwendungsebene und nicht nur auf der Netzwerk- und Transportebene analysieren können.

Darüber hinaus können cloudbasierte Firewalls zur Mikrosegmentierung von Cloud Computing-Implementierungen verwendet werden. Bei einigen Cloud Hosting Providern ist dies über die integrierten Firewall-Dienste möglich.

Sicherheitsrichtlinien unterscheiden sich je nach Segment

Administratoren passen auf Wunsch die Sicherheitsrichtlinien für jeden Workload an. So kann ein Workload einen breiten Zugriff erlauben, während ein anderer stark eingeschränkt ist, je nachdem, wie wichtig der jeweilige Workload ist und welche Daten er verarbeitet. Während ein Workload API-Abfragen von einer Reihe von Endpunkten akzeptieren kann, darf ein anderer nur mit einem bestimmten Server kommunizieren.

Einsicht in den gesamten Netzwerk-Traffic

Die übliche Netzwerkprotokollierung liefert Informationen zur Netzwerk- und Transportebene, wie z. B. Ports und IP-Adressen. Mikrosegmentierung bietet auch Anwendungs- und Workload-Kontext. Indem Unternehmen den gesamten Netzwerk-Traffic überwachen und den Anwendungskontext hinzufügen, können sie Segmentierungs- und Sicherheitsrichtlinien in ihren Netzwerken konsistent anwenden. So erhalten Sie auch die nötigen Informationen, um die Sicherheitsrichtlinien bei Bedarf zu optimieren.

Wie erhöht Mikrosegmentierung die Sicherheit?

Mikrosegmentierung verhindert, dass sich Bedrohungen über das gesamte Netzwerk ausbreiten und begrenzt so den Schaden eines Cyberangriffs. Angreifer haben nur begrenzten Zugang und können nicht unbedingt auf vertrauliche Daten zugreifen.

Ein Netzwerk mit Workloads, die in einem mikrosegmentierten Rechenzentrum laufen, kann beispielsweise Dutzende von separaten, sicheren Zonen enthalten. Ein Benutzer mit Zugriff auf eine Zone braucht eine separate Autorisierung für jede der anderen Zonen. Dies minimiert die Risiken der Privilegieneskalation (wenn ein Benutzer zu viel Zugriff hat) und der Insider-Bedrohungen (wenn Benutzer wissentlich oder unwissentlich die Sicherheit vertraulicher Daten gefährden).

Ein weiteres Beispiel: Nehmen wir an, in einem Container gibt es eine Sicherheitslücke. Der Angreifer nutzt diese Schwachstelle mit Schadcode aus und kann nun Daten innerhalb des Containers verändern. In einem Netzwerk, das nur an der Peripherie geschützt ist, könnte der Angreifer lateral in andere Teile des Netzwerks vordringen, seine Privilegien ausweiten und schließlich sehr wertvolle Daten extrahieren oder verändern. In einem mikrosegmentierten Netzwerk gelingt dies dem Angreifer höchstwahrscheinlich nicht, ohne einen separaten Einstiegspunkt zu finden.

Was sind die anderen Komponenten eines Zero Trust-Netzwerks?

Zero Trust“ ist eine Philosophie und ein Ansatz für die Netzwerksicherheit, der davon ausgeht, dass Bedrohungen sowohl innerhalb als auch außerhalb einer sicheren Umgebung bereits vorhanden sind. Viele Unternehmen setzen eine Zero Trust-Architektur ein, um sowohl Angriffe zu verhindern als auch den Schaden durch erfolgreiche Angriffe zu minimieren.

Mikrosegmentierung ist zwar eine Schlüsselkomponente einer Zero Trust-Strategie, aber nicht die einzige. Andere Zero Trust-Prinzipien sind:

  • Kontinuierliche Überwachung und Überprüfung: Keinem Gerät oder Benutzer wird automatisch vertraut, auch nicht den bereits authentifizierten. Anmeldungen und Verbindungen werden in regelmäßigen Abständen per Zeitüberschreitung unterbrochen, so dass Benutzer und Geräte immer wieder neu überprüft werden.
  • Least Privilege-Prinzip: Benutzer haben nur Zugriff auf die Systeme und Daten, die unbedingt erforderlich sind.
  • Kontrolle des Gerätezugriffs: Der Gerätezugriff wird genau wie der Nutzerzugriff verfolgt und eingeschränkt.
  • Multi-Faktor-Authentifizierung (MFA): Die Authentifizierung erfolgt über mindestens zwei Identitätsfaktoren, anstatt sich nur auf Passwörter, Sicherheitsfragen oder andere wissensbasierte Methoden zu verlassen.

Wenn Sie erfahren möchten, wie Cloudflare Unternehmen bei der Implementierung dieser Komponenten unterstützt, lesen Sie mehr über die Cloudflare Zero Trust-Plattform.