Was bedeutet Netzwerksegmentierung

Unter Netzwerksegmentierung versteht man die Aufteilung von Netzwerken in kleinere, isolierte Abschnitte, um die laterale Bewegung zu reduzieren und die Netzwerk-Performance zu verbessern.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Netzwerksegmentierung definieren
  • Die Sicherheits- und Performance-Vorteile der Netzwerksegmentierung verstehen
  • Netzwerksegmentierung und Mikrosegmentierung vergleichen

Link zum Artikel kopieren

Was bedeutet Netzwerksegmentierung

Unter Netzwerksegmentierung versteht man die Aufteilung eines Netzwerks* in kleinere, isolierte Abschnitte. Diese Segmentierung kann über physische Hardware oder Software erzeugt und gesichert werden, was jeweils eigene Herausforderungen bei der Implementierung mit sich bringt.

Durch das Abschotten verschiedener Segmente eines Netzwerks können Unternehmen laterale Bewegungen leichter verhindern, den Netzwerk-Traffic granular steuern und die Netzwerk-Performance verbessern. Sie können sogar Richtlinien für einzelne Workloads und Apps festlegen, ein Ansatz, der als Mikrosegmentierung bekannt ist.

*Ein Netzwerk ist eine Gruppe von Computern, die miteinander verbunden sind.

Wie funktioniert Netzwerksegmentierung?

Bei der Netzwerksegmentierung wird ein Netzwerk in mehrere Abschnitte unterteilt, auf die dann unterschiedliche Kontrollen angewendet werden können. Im Allgemeinen wird dieser Prozess mit einer von zwei Methoden durchgeführt: physische Segmentierung und logische Segmentierung.

Physische Segmentierung

Die physische Segmentierung erfordert Hardware-Geräte (wie Router, Switches und Firewalls), um ein Netzwerk in einzelne Abschnitte zu unterteilen. Diese Geräte steuern die Art des Traffics, der in die einzelnen Segmente hinein- und aus ihnen herausgelassen wird. Dies geschieht durch Segmentierungsrichtlinien, die nach bestimmten Kriterien konfiguriert werden können (z. B. Quelle und Ziel des Traffics).

Die Einrichtung und die Wartung einer physischen Segmentierung (auch perimeterbasierte Segmentierung genannt) ist oft teuer und arbeitsintensiv. Das Konzept geht außerdem davon aus, dass die meisten Unternehmen immer noch über einen physischen Netzwerkperimeter verfügen.

Mit dem Aufkommen des Cloud-Computings ist diese Grenze jedoch nahezu verschwunden. Statt über IT-verwaltete Netzwerke greifen die Nutzer über das Internet auf Daten und Anwendungen zu. Selbst Unternehmen, die eine On-Premise-Infrastruktur betreiben, erlauben ihren Nutzern häufig den Zugriff auf interne Ressourcen über externe Geräte und Software.

Logische Segmentierung

Logische Segmentierung oder virtuelle Netzwerksegmentierung unterteilt ein Netzwerk mit Hilfe von Software in kleinere Abschnitte. Diese Segmente können durch Subnetting, virtuelle lokale Netzwerke (VLANs) und Schemata für die Netzwerkadressierung erzeugt werden.

  • Subnets helfen dabei, ein Netzwerk in kleinere Segmente zu unterteilen, sodass der Netzwerk-Traffic einen kürzeren Weg zum Ziel zurücklegen kann, ohne unnötig viele Router zu passieren.
  • VLANs teilen den Traffic in einem einzigen physischen Netzwerk in zwei Netzwerke auf, ohne dass mehrere Router oder Internetverbindungen erforderlich sind, um den Netzwerk-Traffic an verschiedene Ziele zu leiten.
  • Schemata für die Netzwerkadressierung schaffen Netzsegmente, indem sie die Netzressourcen auf mehrere Teilnetze auf der Schicht 3 aufteilen

Wie bei der physischen Segmentierung wird auch bei der logischen Segmentierung der Verkehrsfluss in und aus den einzelnen Netzwerksegmenten durch die Segmentierungsrichtlinien beschränkt.

Da die logische Segmentierung nicht auf die Konfiguration, Wartung und Aktualisierung mehrerer Hardwaregeräte angewiesen ist, gilt sie weithin als flexiblere, skalierbarere und kostengünstigere Methode zur Trennung und Sicherung eines Netzwerks.

Was sind die Vorteile der Netzwerksegmentierung?

Bei richtiger Implementierung kann Netzwerksegmentierung Unternehmen dabei helfen, die Sicherheit, Performance und Compliance effizienter zu gestalten. Zu den wichtigsten Vorteilen gehören die folgenden:

  • Laterale Bewegung einschränken: Sobald ein Angreifer in ein Netzwerk eingedrungen ist, kann er sich nicht mehr frei im gesamten Netzwerk bewegen, da er nur in ein bestimmtes Teilsegment eingedrungen ist. Dies wiederum verringert die Angriffsfläche eines Unternehmens.
  • Böswillige Aktivitäten aufhalten: Wenn ein Angriff oder eine verdächtige Aktivität auf einen bestimmten Bereich beschränkt ist, können IT-Teams diese effektiver erkennen und aufhalten, ohne dabei das restliche Netzwerk zu beeinträchtigen.
  • Performance steigern: Die Beschränkung bestimmter Traffic-Typen auf bestimmte Teile des Netzwerks kann dazu beitragen, die Gesamtüberlastung zu verringern und die Performance zu optimieren.
  • Compliance gewährleisten: Die Segmentierung kann die Bereiche des Netzwerks isolieren, die den Konformitätsstandards unterliegen. Dadurch können sie bei Bedarf leichter aktualisiert werden.

Netzwerksegmentierung vs. Mikrosegmentierung

Bei der Netzwerksegmentierung wird ein Netzwerk in kleinere Abschnitte unterteilt, auf die unterschiedliche Sicherheitskontrollen und -richtlinien angewendet werden.

Die Mikrosegmentierung hingegen ist eine Untergruppe der Netzwerksegmentierung, die eine noch präzisere Kontrolle einzelner Workloads ermöglicht. (Ein Workload ist ein Programm oder eine App – wie ein Server, eine virtuelle Maschine oder serverless Funktion –, das bzw. die eine bestimmte Menge an Speicher- und Rechenressourcen in Anspruch nimmt). Es ist Teil eines Zero Trust-Sicherheitsmodells, bei dem kein Nutzer oder Gerät standardmäßig als vertrauenswürdig eingestuft wird.

Um die Sicherheitsvorteile der Netzwerksegmentierung im Vergleich zur Mikrosegmentierung zu veranschaulichen, stellen Sie sich folgendes Szenario vor: Ein König besitzt einen großen Schatz an Gold und Juwelen, den er schützen möchte. Dazu könnte er alle seine Schätze auf mehrere geheime Schatzkammern verteilen, wobei jede Schatzkammer nur mit einem bestimmten Schlüssel geöffnet werden kann (Netzwerksegmentierung). Wenn ein Dieb den Schlüssel zu einer der Schatzkammern stiehlt, kann er zwar den darin verborgenen Schatz entwenden, aber nicht an die anderen Verstecke gelangen, ohne weitere Schlüssel zu diesen Räumen zu stehlen. Ebenso kann ein Angreifer, der in ein Subnet eindringt, zwar die Daten innerhalb dieses Netzwerks kompromittieren, aber nicht ungehindert in ein anderes Subnet eindringen.

Darüber hinaus könnte der König seine Schätze aber nicht nur auf mehrere Schatzkammern verteilen, sondern sie auch innerhalb der Schatzkammern auch in verschlossenen Truhen aufbewahren, wobei jede Truhe nur mit einem eigenen Schlüssel geöffnet werden kann (Mikrosegmentierung). Wenn ein Dieb den Schlüssel zu einer der Schatzkammern stiehlt, kann er die einzelnen Truhen nicht öffnen, ohne sich weitere Schlüssel zu beschaffen. Ähnlich verhält es sich in einem mikrosegmentierten Netzwerk: Selbst wenn ein Angreifer einen Workload kompromittieren kann, ist er möglicherweise nicht in der Lage, andere Workloads zu kompromittieren (oder überhaupt auf sie zuzugreifen).

Erfahren Sie mehr darüber, wie Mikrosegmentierung Unternehmen hilft, ein Zero Trust-Sicherheitsniveau zu erreichen.