Unter Netzwerksegmentierung versteht man die Aufteilung von Netzwerken in kleinere, isolierte Abschnitte, um die laterale Bewegung zu reduzieren und die Netzwerk-Performance zu verbessern.
Nach Lektüre dieses Artikels können Sie Folgendes:
Link zum Artikel kopieren
Unter Netzwerksegmentierung versteht man die Aufteilung eines Netzwerks* in kleinere, isolierte Abschnitte. Diese Segmentierung kann über physische Hardware oder Software erzeugt und gesichert werden, was jeweils eigene Herausforderungen bei der Implementierung mit sich bringt.
Durch das Abschotten verschiedener Segmente eines Netzwerks können Unternehmen laterale Bewegungen leichter verhindern, den Netzwerk-Traffic granular steuern und die Netzwerk-Performance verbessern. Sie können sogar Richtlinien für einzelne Workloads und Apps festlegen, ein Ansatz, der als Mikrosegmentierung bekannt ist.
*Ein Netzwerk ist eine Gruppe von Computern, die miteinander verbunden sind.
Bei der Netzwerksegmentierung wird ein Netzwerk in mehrere Abschnitte unterteilt, auf die dann unterschiedliche Kontrollen angewendet werden können. Im Allgemeinen wird dieser Prozess mit einer von zwei Methoden durchgeführt: physische Segmentierung und logische Segmentierung.
Die physische Segmentierung erfordert Hardware-Geräte (wie Router, Switches und Firewalls), um ein Netzwerk in einzelne Abschnitte zu unterteilen. Diese Geräte steuern die Art des Traffics, der in die einzelnen Segmente hinein- und aus ihnen herausgelassen wird. Dies geschieht durch Segmentierungsrichtlinien, die nach bestimmten Kriterien konfiguriert werden können (z. B. Quelle und Ziel des Traffics).
Die Einrichtung und die Wartung einer physischen Segmentierung (auch perimeterbasierte Segmentierung genannt) ist oft teuer und arbeitsintensiv. Das Konzept geht außerdem davon aus, dass die meisten Unternehmen immer noch über einen physischen Netzwerkperimeter verfügen.
Mit dem Aufkommen des Cloud-Computings ist diese Grenze jedoch nahezu verschwunden. Statt über IT-verwaltete Netzwerke greifen die Nutzer über das Internet auf Daten und Anwendungen zu. Selbst Unternehmen, die eine On-Premise-Infrastruktur betreiben, erlauben ihren Nutzern häufig den Zugriff auf interne Ressourcen über externe Geräte und Software.
Logische Segmentierung oder virtuelle Netzwerksegmentierung unterteilt ein Netzwerk mit Hilfe von Software in kleinere Abschnitte. Diese Segmente können durch Subnetting, virtuelle lokale Netzwerke (VLANs) und Schemata für die Netzwerkadressierung erzeugt werden.
Wie bei der physischen Segmentierung wird auch bei der logischen Segmentierung der Verkehrsfluss in und aus den einzelnen Netzwerksegmenten durch die Segmentierungsrichtlinien beschränkt.
Da die logische Segmentierung nicht auf die Konfiguration, Wartung und Aktualisierung mehrerer Hardwaregeräte angewiesen ist, gilt sie weithin als flexiblere, skalierbarere und kostengünstigere Methode zur Trennung und Sicherung eines Netzwerks.
Bei richtiger Implementierung kann Netzwerksegmentierung Unternehmen dabei helfen, die Sicherheit, Performance und Compliance effizienter zu gestalten. Zu den wichtigsten Vorteilen gehören die folgenden:
Bei der Netzwerksegmentierung wird ein Netzwerk in kleinere Abschnitte unterteilt, auf die unterschiedliche Sicherheitskontrollen und -richtlinien angewendet werden.
Die Mikrosegmentierung hingegen ist eine Untergruppe der Netzwerksegmentierung, die eine noch präzisere Kontrolle einzelner Workloads ermöglicht. (Ein Workload ist ein Programm oder eine App – wie ein Server, eine virtuelle Maschine oder serverless Funktion –, das bzw. die eine bestimmte Menge an Speicher- und Rechenressourcen in Anspruch nimmt). Es ist Teil eines Zero Trust-Sicherheitsmodells, bei dem kein Nutzer oder Gerät standardmäßig als vertrauenswürdig eingestuft wird.
Um die Sicherheitsvorteile der Netzwerksegmentierung im Vergleich zur Mikrosegmentierung zu veranschaulichen, stellen Sie sich folgendes Szenario vor: Ein König besitzt einen großen Schatz an Gold und Juwelen, den er schützen möchte. Dazu könnte er alle seine Schätze auf mehrere geheime Schatzkammern verteilen, wobei jede Schatzkammer nur mit einem bestimmten Schlüssel geöffnet werden kann (Netzwerksegmentierung). Wenn ein Dieb den Schlüssel zu einer der Schatzkammern stiehlt, kann er zwar den darin verborgenen Schatz entwenden, aber nicht an die anderen Verstecke gelangen, ohne weitere Schlüssel zu diesen Räumen zu stehlen. Ebenso kann ein Angreifer, der in ein Subnet eindringt, zwar die Daten innerhalb dieses Netzwerks kompromittieren, aber nicht ungehindert in ein anderes Subnet eindringen.
Darüber hinaus könnte der König seine Schätze aber nicht nur auf mehrere Schatzkammern verteilen, sondern sie auch innerhalb der Schatzkammern auch in verschlossenen Truhen aufbewahren, wobei jede Truhe nur mit einem eigenen Schlüssel geöffnet werden kann (Mikrosegmentierung). Wenn ein Dieb den Schlüssel zu einer der Schatzkammern stiehlt, kann er die einzelnen Truhen nicht öffnen, ohne sich weitere Schlüssel zu beschaffen. Ähnlich verhält es sich in einem mikrosegmentierten Netzwerk: Selbst wenn ein Angreifer einen Workload kompromittieren kann, ist er möglicherweise nicht in der Lage, andere Workloads zu kompromittieren (oder überhaupt auf sie zuzugreifen).
Erfahren Sie mehr darüber, wie Mikrosegmentierung Unternehmen hilft, ein Zero Trust-Sicherheitsniveau zu erreichen.