Was ist
Netzwerksegmentierung
?
Warum wir Netzwerksegmentierung brauchen
Um dies zu beantworten, verweisen wir oft auf ein gängiges Beispiel: wie ein U-Boot Abteile nutzt, um trotz eines Bruchs in einem Kompartiment seetüchtig zu bleiben. Die Lücke ist auf dieses einzelne Abteil begrenzt und das U-Boot sinkt nicht — dank der Abschottung (oder Segmentierung) des Schiffes.
Im Kontext unserer IT-Umgebungen verhindert die Netzwerksegmentierung, dass sich Angreifer oder Bedrohungen ausbreiten oder seitwärts bewegen, oder „Ost-West“, in Rechenzentren, Clouds oder Campus-Netzwerken. Eine Bedrohung wird auf das Netzwerksegment oder Hostsegment beschränkt, das eingerichtet wurde, sodass Angreifer nicht in andere Teile der Umgebung gelangen können. Kleine Sicherheitsvorfälle werden eingedämmt, sodass Unternehmen besser vor Sicherheitslücken geschützt sind.
Arten der Netzwerksegmentierung
Netzwerksegmentierung:
Die Segmentierung erfolgt seit langem durch die Erstellung von Segmenten in Netzwerken mit VLANs oder Subnetzen. Virtuelle lokale Netzwerke (VLANs) bilden kleinere Netzwerksegmente, in denen alle Hosts virtuell miteinander verbunden sind, als ob sie sich im selben LAN befinden würden. Subnetze verwenden IP-Adressen, um ein Netzwerk in kleinere Subnetze zu unterteilen, die durch Netzwerkgeräte miteinander verbunden sind. Diese Ansätze ermöglichen nicht nur eine effizientere Netzwerkleistung, sondern dienen auch dazu, Bedrohungen einzudämmen, die sich über ein bestimmtes VLAN oder Subnetz hinaus ausbreiten.
Bei diesen Ansätzen gibt es zwei zentrale Herausforderungen. Die erste ist die Tatsache, dass Netzwerke häufig neu konzipiert werden müssen, um den Segmentierungsanforderungen gerecht zu werden. Der zweite Grund ist die Komplexität der Programmierung und Verwaltung der Tausenden von Regeln für Zugriffskontrolllisten (ACL), die auf Netzwerkgeräten gespeichert sind, die für die Erstellung von Subnetzen benötigt werden.
Firewall-Segmentierung:
Anstatt das Netzwerk zur Durchsetzung der Segmentierung zu verwenden, sind Firewalls eine weitere Option. Firewalls werden innerhalb eines Netzwerks oder Rechenzentrums eingesetzt, um interne Zonen zu bilden, in denen Funktionsbereiche voneinander getrennt werden, um Einschränkungen zu vermeiden Angriffsflächenund verhindert so, dass sich Bedrohungen über eine Zone hinaus ausbreiten. Ein Beispiel könnte die Trennung von technischen Anwendungen von Finanzanwendungen sein. Ein anderes gängiges Beispiel ist der Schutz sensibler Gebiete, in denen PCI Daten befinden sich zum Beispiel.
Netzwerk- und Sicherheitsadministratoren sind mit Firewalls vertraut, die am Perimeter installiert werden. Sie führen jedoch in der Regel zu einer erheblichen Komplexität, wenn dieselben Firewalls für die interne Segmentierung verwendet werden.
Dies liegt an den Tausenden von Firewallregeln, die zur Segmentierung interner Netzwerke benötigt werden. Eine weitere Überlegung ist das Risiko einer Fehlkonfiguration der Firewall, die eine Anwendung zum Erliegen bringen und dem Unternehmen schaden kann. Ein weiterer Nachteil der Verwendung von Firewalls zur Segmentierung sind die erheblichen Kosten, die sie verursachen, da sie paarweise für mehrere Standorte gekauft werden und oft Millionen von Dollar kosten.
Segmentierung mit SDN:
Softwaredefiniertes Netzwerk (SDN) wird für eine bessere Netzwerkautomatisierung und Programmierbarkeit durch zentralisierte Steuerungen verwendet, die von der physischen Hardware des Netzwerks abstrahiert sind. Einige Netzwerkbetreiber versuchen, die Segmentierung ihrer SDN-Netzwerk-Overlay-Implementierung zu beeinflussen, indem sie sie verwenden, um Richtlinien zu erstellen, mit denen Pakete durch eine Reihe verteilter Firewalls geleitet werden.
Ein Nachteil dabei ist die enorme Komplexität, die für eine erfolgreiche Mikrosegmentierung erforderlich ist, insbesondere wenn Anwendungen nicht in Netzwerkgrenzen passen. SDN konzentriert sich eher auf Netzwerkrichtlinien als auf Sicherheitsüberblick in Workloads und Anwendungsabläufe, die mit anderen Ansätzen behandelt werden.
Mikrosegmentierung:
Eine alternative Methode, um zu einem segmentierten Netzwerk zu gelangen, ist die Durchsetzung mithilfe der Host-Arbeitslast anstelle von Subnetzen oder Firewalls. Jedes Workload-Betriebssystem im Rechenzentrum oder in der Cloud enthält eine native Stateful-Firewall, wie z. B. iptables unter Linux oder Windows Filtering Platform unter Windows. Bei diesem Ansatz werden in der Regel Whitelist-Modelle verwendet, die den gesamten Datenverkehr blockieren, außer dem, was zulässig ist. Mikrosegmentierung wird manchmal auch als hostbasierte Segmentierung oder Sicherheitssegmentierung bezeichnet.
Die hostbasierte Segmentierung verwendet Workload-Telemetrie, um eine Karte von Cloud- und lokalen Rechenumgebungen und Anwendungen. Diese Karte wird verwendet, um zu visualisieren, was geschützt werden muss, und um eine automatisierte Segmentierungsrichtlinie einzuführen. Bei diesem Ansatz werden für Menschen lesbare Bezeichnungen im Vergleich zu IP-Adressen oder Firewallregeln verwendet, um Richtlinien zu erstellen. Ein Vorteil ist die Möglichkeit, eine Segmentierung bis auf die Prozessebene durchzusetzen, die detaillierter ist als nur bestimmte Ports.
Diejenigen, die mit der hostbasierten Segmentierung vertraut sind, benötigen eine gewisse Anpassungszeit. Die meisten neuen Benutzer sind mit Firewalls und Netzwerkkonzepten vertraut, halten es jedoch für notwendig, sich in einer neuen Methode zur Erstellung von Richtlinien und zur Durchsetzung der Segmentierung auf dem Host schulen zu lassen.
Wer muss Netzwerke oder Umgebungen segmentieren?
Unternehmen, die Wert auf Sicherheit und Compliance legen, müssen eine Segmentierung einrichten, um ihre Umgebungen vor Sicherheitslücken zu schützen, indem sie die laterale Bewegung von Angreifern einschränken.
Zwei Paradebeispiele für die Notwendigkeit segmentierter Netzwerke sind Unternehmen, die die Anforderungen an Cybersicherheit im Gesundheitswesen oder PCI-Mandate erfüllen müssen:
- Organisationen des Gesundheitswesens muss PHI-Daten schützen und dabei die Compliance-Rahmenbedingungen für Cybersicherheit im Gesundheitswesen einhalten. Es gibt gemeinsame Sicherheitsrahmen, die Gesundheitsorganisationen und ihren Anbietern helfen, ihre Sicherheit und Einhaltung der Vorschriften auf konsistente und optimierte Weise nachzuweisen. Zu den wichtigsten Sicherheitskontrollen, die implementiert werden müssen, gehören die Segmentierung oder Trennung von Netzwerken, die Isolierung sensibler Systeme, eine genaue Kartierung und die Kontrolle der Netzwerkverbindungen.
- PCI-Konformität Die Standards verlangen von Händlern und anderen Unternehmen, Kreditkarteninformationen auf sichere Weise zu behandeln, um die Wahrscheinlichkeit von Datenschutzverletzungen bei vertraulichen Finanzkontoinformationen von Karteninhabern zu verringern. Datensicherheitsstandard der Zahlungskartenbranche (PCI DSS) Zu den Compliance-Bemühungen gehört die Netzwerksegmentierung, um die Systemkomponenten innerhalb einer Karteninhaberdatenumgebung (CDE) zu isolieren. Dies kann beispielsweise bedeuten, dass Systeme, die in den Geltungsbereich fallen, von Systemen außerhalb des Geltungsbereichs getrennt werden oder der Zugriff zwischen Systemen oder Netzwerken, die in den Geltungsbereich fallen, verwaltet wird. Durch die richtige Netzwerksegmentierung kann auch die Anzahl der Systeme reduziert werden, für die PCI DSS von Anfang an in Frage kommt.
Was ist ein Beispiel für Segmentierung?
Es gibt viele gute Beispiele dafür, wie Segmentierung dazu beitragen kann, die Angriffsfläche und die Wahrscheinlichkeit eines schwerwiegenden Verstoßes zu reduzieren. Unternehmen können dies implementieren Anwendungssegmentierung um eine Anwendung von den übrigen Umgebungen abzugrenzen. Wie bereits erwähnt, kann die Segmentierung verwendet werden, um PCI-, SWIFT- oder Gesundheitssysteme vom Rest der Umgebung zu trennen. Trennung von Umwelteinflüssen ist auch üblich, wenn Unternehmen ihre Produktionsumgebung von der Entwicklungsumgebung trennen.
Vorteile der Netzwerksegmentierung
Bessere Netzwerkleistung: Ein segmentiertes Netzwerk kann die Netzwerkleistung verbessern, indem es bestimmten Datenverkehr nur auf die Teile des Netzwerks beschränkt, die ihn sehen müssen.
Reduzierte Angriffsfläche: Die laterale Bewegung von Angreifern wird durch die Netzwerksegmentierung begrenzt, indem verhindert wird, dass sich ein Angriff ausbreitet. Beispielsweise stellt die Segmentierung sicher, dass Schadsoftware in einem Bereich keine Auswirkungen auf Systeme in einem anderen Bereich hat.
Reduzierter Compliance-Umfang: Durch die Segmentierung wird die Anzahl der im Geltungsbereich enthaltenen Systeme reduziert, wodurch die mit der Einhaltung gesetzlicher Vorschriften verbundenen Kosten begrenzt werden.
Erfahre mehr
Entdecken Sie, wie die Illumio Zero Trust Segmentierungsplattform stoppt die Ausbreitung von Ransomware und Sicherheitslücken und schützt Daten, Benutzer, Geräte, Workloads und Netzwerke.