Warum „Thinking Small“ für „bessere Netzwerksicherheit“ steht

Die Netzwerksegmentierung ist seit vielen Jahren eine empfohlene Strategie, um die Angriffsfläche von Netzwerken in Rechenzentren verringern. Das Fehlen einer effektiven Segmentierung gilt als einer der entscheidenden Faktoren in Bezug auf die bislang größten Datenpannen, von denen auch der Händler Target und die Kreditauskunftei Equifax betroffen waren.

Segmentierung ist zwar als wirksame Methode zur Verbesserung der Sicherheit anerkannt, kann aber auch erhebliche Komplexität und Kosten mit sich bringen, insbesondere in traditionellen „On-Premises“ Datenzentren. Die Einrichtung interner Bereiche bedeutet dort normalerweise das Installieren zusätzlicher Firewalls, Verkabelungen usw., um die Datenströme zwischen den Zonen überwachen zu können.

Anzeige

Die Umstellung auf virtualisierte Datenzentren mithilfe von Software Defined Networking (SDN) verändert diese Situation jedoch. Die Flexibilität von SDN ermöglicht eine erweiterte, granulare Zonenbildung, bei der die Netzwerke in hunderte Mikrosegmente aufgeteilt werden. Dies schafft ein Sicherheitsniveau, dessen Umsetzung bislang unerschwinglich und kompliziert war.

In diesem Zusammenhang hat eine Studie der ESG-Analysten gezeigt, dass fast 70 Prozent der Unternehmen bereits irgendeine Form von Mikrosegmentierung anwenden, um Seitwärtsbewegungen von Hackern bei deren Erkundung von Netzwerken einzuschränken und den Schutz der Anwendungen und Daten zu erleichtern.

Mit SDN ist die Segmentierung zwar erheblich einfacher, doch stellt die Einführung einer effektiven Strategie zur Mikrosegmentierung die Sicherheits-Teams vor zwei große Probleme. Erstens, wo sollten in den Datenzentren, im Sinne eines optimalen Schutzes, die Grenzen zwischen den Mikrosegmenten gezogen werden? Zweitens, werden die Sicherheitsrichtlinien für aller einzelnen Netzwerksegmente erarbeitet und verwaltet, um sicherzustellen, dass Netzwerkverkehr rechtmäßiger Geschäftsanwendungen nicht versehentlich vom Mikrosegmentierungssystem geblockt wird? 

Ein Findungsprozess

Der Ausgangspunkt für die Erarbeitung eines Mikrosegmentierungssystems ist das Ermitteln und Identifizieren aller Anwendungsströme im Datenzentrum. Dies lässt sich mithilfe einer Discovery Engine erreichen, die Datenströme, zwischen denen eine logische Verbindung besteht und die wahrscheinlich dieselbe Geschäftsanwendung unterstützen, identifiziert und zusammenfasst.

Diese Informationen können um zusätzliche Daten ergänzt werden, wie die Label für Geräte- oder Anwendungsnamen, die mit den Datenströmen in Zusammenhang stehen. So entsteht eine vollständige Darstellung aller Datenflüsse, Server und Sicherheitsgeräte im Rechenzentrum, die Geschäftsanwendungen benötigen, um richtig zu funktionieren. Anhand dieser Darstellung kann die Erstellung des Segmentierungsschemas beginnen. Dabei sollte vorher schon klar sein, welche Server und Systeme in welchem Segment positioniert werden. 

Diejenigen Server werden hierfür ermittelt und gruppiert, die gleiche Geschäftsziele oder -Anwendungen unterstützen. Diese Server nutzen üblicherweise ähnliche Datenströme und können somit im gleichen Segment platziert werden. Sobald der Plan steht, können im Netzwerk die besten Stellen für die Platzierung der Sicherheitsfilter gewählt werden, um die Grenzen zwischen den Segmenten zu ziehen.

Es ist zudem wichtig zu wissen, was mit betrieblichen Anwendungsströmen passiert, wenn solche Filter eingeführt werden. Wird ein physisches oder virtuelles Filtergerät platziert, um zwischen den Segmenten eine Grenze zu ziehen, gilt es zu bedenken, dass einige Anwendungsströme diese Grenze passieren müssen. Um diese Datenflüsse zuzulassen, müssen explizite Regeln erstellt werden, andernfalls werden die Datenflüsse blockiert und die davon abhängigen Anwendungen fallen aus. 

Grenzkontrollen

Sicherheitsverantwortliche sollten also die Anwendungsströme untersuchen, die im Rahmen des anfänglichen Ermittlungsprozesses identifiziert wurden, um herauszufinden, ob bestimmte Regeln hinzugefügt oder geändert werden müssen. Dabei sollte auch darauf geachtet werden, ob ein Datenstrom bereits eine vorhandene Sicherheitskontrolle durchläuft.

Falls er derzeit keine Kontrolle passiert und ein neues Netzwerksegment erstellt werden soll, muss geprüft werden, ob der ungefilterte Datenstrom, nach Festlegung der Segmentgrenze, blockiert werden könnte. In diesem Fall wird eine neue, explizite Regel hinzugefügt, damit die Datenströme der Anwendungen passieren können. 

Wird jedoch ein vorhandener Datenstrom bereits durch eine Sicherheitskontrolle gefiltert, ist es zu Beginn der Netzwerksegmentierung normalerweise nicht notwendig, eine zusätzliche, explizite Regel für ihn einzurichten. Dieser Prozess kann solange wiederholt werden, bis die Netzwerksegmentierung optimal ist und die gewünschte Segmentierung und Sicherheit erreicht wurde.

Nach der Erarbeitung und Implementierung des Mikrosegmentierungsschemas gilt es, dieses zu verwalten und zu pflegen sowie dafür zu sorgen, dass es mit der Sicherheit des gesamten Unternehmensnetzwerks in Einklang steht. Am effektivsten ist dies zu erreichen, wenn mit einer Lösung zur Automatisierung der Netzwerksicherheit gearbeitet wird, die alle Sicherheitskontrollen und die bereits vorhandenen, traditionellen on-premise Firewalls gemeinsam in der SDN-Umgebung verwalten kann. Das gewährleistet, dass die Sicherheitsrichtlinien, die der Segmentierungsstrategie zugrunde liegen, im gesamten Netzwerk konsequent angewandt, verwaltet und zentral überwacht werden. Zudem sind sämtliche Änderungen zu Audit-Zwecken nachverfolgbar. So wird auch vermieden, dass es bei jeder erforderlichen Änderung im Netzwerk einen umständlichen, fehleranfälligen, manuellen Prozess geben muss.

Die Entwicklung und Einführung einer Strategie zur Mikrosegmentierung erfordert demnach eine sorgfältige Planung und Orchestrierung, um ihre Effektivität sicherzustellen. Automatisierung ist dabei ein wesentlicher Erfolgsfaktor, da sie zeitaufwendige, fehleranfällige, manuelle Sicherheitsprozesse ersetzt, wie die Erkennung der Verbindungen, Mapping und laufende Verwaltung. 

Thinking small in Bezug auf die Mikrosegmentierung liefert also sowohl einen besseren Sicherheitsstatus, als auch eine größere Geschäftsagilität.

Robert BlankRobert Blank, Regional Sales Manager DACH, www. algosec.com/de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.