Wie Mikrosegmentierung einfach gelingt

Mit der zunehmenden Server-Virtualisierung sowie Nutzung von Containern und Infrastructure-as-a-Service (IaaS) sind herkömmliche Sicherheitsmaßnahmen wie Firewalls, Intrusion-Prevention-Systeme (IPS) und Anti-Virus-Software damit überfordert, die schnelle Bereitstellung neuer Ressourcen sicherheitstechnisch zu unterstützen.

Die Kompromittierung eines einzelnen Hosts ist zwar unerfreulich, aber oft noch nicht kritisch. Der Administrator muss den Host wiederherstellen und möglicherweise den Nutzer zu einem Sicherheitstraining schicken sowie zusätzliche Sicherheitsvorkehrungen treffen. Gefährlich wird es erst, wenn sich Schadsoftware seitwärts über privilegierte Protokolle wie RDP, WinRM oder PowerShell ausbreitet und dabei wesentliche Geschäftsressourcen beschädigt.

Dass Malware in der Lage ist, sich seitwärts auszubreiten, liegt an unzureichender Segmentierung in Netzwerken. So nutzen Unternehmen zunehmend Makrosegmentierung mittels Firewalls, was aber nicht ausreichend ist. Einerseits sind die Zonen oft zu groß, sodass sich Bedrohungen innerhalb der betroffenen Zone schnell ausbreiten können. Andererseits bestimmen Geräte mit hohem Kommunikationsbedarf meist die Regeln für den gesamten Zonenverkehr, was dazu führt, dass interne Firewall-Regeln oft zu nachsichtig sind. Zudem sind diese Regeln statisch, was bedeutet, dass jede Änderung manueller Anpassungen bedarf, was menschliche Fehler begünstigt.

Warum herkömmliche Mikrosegmentierung oft scheitert

Mikrosegmentierung zielt darauf ab, jedes Asset – sei es ein PC, ein Scanner oder eine industrielle Steuerungskomponente – in einer eigenen Firewall-Bubble zu isolieren. Dies soll verhindern, dass Bedrohungen wie Ransomware sich ausbreiten können. Obwohl dieses Konzept logisch erscheint, scheitern herkömmliche Ansätze häufig an der Komplexität. Dafür verantwortlich ist allem voran, dass Agenten erforderlich sind, also Software, die auf jedem zu schützenden System installiert werden muss.

Das manuelle Taggen, Gruppieren und Erstellen von Regeln für Assets ist zeitaufwendig und fehleranfällig. Besonders bei einer großen, über zweistelligen Zahl an Assets wird die Sache schnell unübersichtlich, was die effektive Verwaltung behindert. In vielen Mikrosegmentierungsansätzen sind die Regeln statisch. Jede Ausnahme oder Änderung, sei es eine neue Asset-Klasse oder eine Anpassung an bestehende Regeln, erfordert manuelles Eingreifen. Dies erhöht das Risiko für menschliche Fehler und verzögert die Fähigkeit, aufgrund neuer Gegebenheiten schnell Anpassungen vornehmen zu können.

Die Herausforderungen, die aus der Verwaltung einer großen Anzahl von Segmenten resultieren, können in großen Unternehmen immens sein. Die Komplexität steigt mit der Anzahl der Segmente, was die Effizienz und Effektivität des Sicherheitsmanagements beeinträchtigen kann. Die unterschiedlichen Systeme und Anwendungen in einem Unternehmen können Probleme bei der Implementierung einer einheitlichen Mikrosegmentierung verursachen. Schwierigkeiten bei der Integration in bestehende Infrastruktur und Betriebsabläufe können die Einführung zusätzlich bremsen. 

Der Mangel von spezialisierten Fachkräften stellt ebenfalls oft ein Problem dar, um die Implementierung richtig durchzuführen. Mikrosegmentierung auf herkömmliche Weise erfordert eine signifikante Investition in Technologie, personelle Ressourcen und die laufende Verwaltung. Dies kann dazu führen, dass Unternehmen das Projekt in Frage stellen, insbesondere, wenn der Nutzen nicht sofort erkennbar ist. 

Neuer Ansatz der Mikrosegmentierung ist praxisgerechter

Ein Grundproblem besteht darin, dass herkömmliche Lösungen für die Mikrosegmentierung nicht die notwendige Automatisierung und Flexibilität bieten, um eine effektive Umsetzung zu unterstützen. Ein neuer Ansatz sieht die Nutzung bestehender Architekturen, automatisiertes Tagging und Regelgenerierung sowie automatisierte, zeitlich begrenzte Ausnahmen durch Multi-Faktor-Authentifizierung (MFA) vor.

Was Firewalls betrifft, gibt es seit Windows 7 aufwärts bereits eine brauchbare Software. Deren Administration herunter bis auf jedes Asset ist zwar nicht einfach in der Handhabung, aber dennoch für moderne Anforderungen geeignet. Es genügt daher, die vorhandene Host-Firewall einfach zu aktivieren. Auf einem Server für die Segmentierung lassen sich mithilfe von WinRM die Inbound-Regeln individuell konfigurieren. Bei Linux könnten die integrierten IP Tables über SSH genutzt werden, gleichfalls ohne Agenten. Ebenso ist ein Segmentisierungsserver nach einer Trainingsphase von wenigen Wochen einsatzbereit. Dessen Aufgabe besteht darin, automatisiert den legitimen Netzwerkverkehr zu analysieren, pro Asset die richtigen Tags wie Web-Server oder Oracle-Server zuzuweisen und darauf basierende Regeln erstellen. Im Gegensatz zu aktuellen Trends sind hierzu KI oder maschinelles Lernen nicht notwendig, da lediglich deterministische Verfahren zum Einsatz kommen. Selbstverständlich ist es möglich, vor der Aktivierung Regeln stichprobenartige Simulationen durchzuführen. Sind die Regeln aktiviert, ist kein Traffic mehr über privilegierte Protokolle wie RDP, SSH oder Remote-PowerShell zugelassen, die Ransomware-Angreifer gerne nutzen.

Eine wichtige Frage bleibt, wie ein Domain-Administrator, der eine RDP-Verbindung zum Domain Controller benötigt, damit umgeht. So besteht die Möglichkeit, dass der Administrator Port 3389 (RDP) geöffnet und nach erfolgter Aktion nicht wieder geschlossen hat. Hierbei lassen sich Ausnahmen automatisieren und unter einer Multi-Faktor-Authentifizierung (MFA) über gängige IDP-Tools wie Entra ID, DUO oder Okta ausführen. Dies ist für jede Kombination aus Ziel- und Quell-Prozess, Port, Benutzer sowie Ziel- und Quell-Asset denkbar.

Hürden überwinden und von den Vorteilen profitieren

Die Mikrosegmentierung bietet viele Vorteile in Bezug auf die Sicherheit und Steuerung des Netzwerkverkehrs, erfordert jedoch eine sorgfältige Planung und Umsetzung. Für Unternehmen, die bislang mit den gängigen Herausforderungen zu kämpfen hatten, gibt es nun einen Ausweg. Mit einem strategisch neuen Ansatz lassen sich bisherige Hürden überwinden, um von den unbestrittenen Vorteilen der heute unverzichtbaren Mikrosegmentierung zu profitieren.

Autor: Kay Ernst, Regional Sales Manager DACH bei Zero Networks