Anzeige

Die Netzwerksegmentierung ist seit vielen Jahren eine empfohlene Strategie, um die Angriffsfläche von Netzwerken in Rechenzentren verringern. Das Fehlen einer effektiven Segmentierung gilt als einer der entscheidenden Faktoren in Bezug auf die bislang größten Datenpannen, von denen auch der Händler Target und die Kreditauskunftei Equifax betroffen waren.

Segmentierung ist zwar als wirksame Methode zur Verbesserung der Sicherheit anerkannt, kann aber auch erhebliche Komplexität und Kosten mit sich bringen, insbesondere in traditionellen „On-Premises“ Datenzentren. Die Einrichtung interner Bereiche bedeutet dort normalerweise das Installieren zusätzlicher Firewalls, Verkabelungen usw., um die Datenströme zwischen den Zonen überwachen zu können.

Die Umstellung auf virtualisierte Datenzentren mithilfe von Software Defined Networking (SDN) verändert diese Situation jedoch. Die Flexibilität von SDN ermöglicht eine erweiterte, granulare Zonenbildung, bei der die Netzwerke in hunderte Mikrosegmente aufgeteilt werden. Dies schafft ein Sicherheitsniveau, dessen Umsetzung bislang unerschwinglich und kompliziert war.

In diesem Zusammenhang hat eine Studie der ESG-Analysten gezeigt, dass fast 70 Prozent der Unternehmen bereits irgendeine Form von Mikrosegmentierung anwenden, um Seitwärtsbewegungen von Hackern bei deren Erkundung von Netzwerken einzuschränken und den Schutz der Anwendungen und Daten zu erleichtern.

Mit SDN ist die Segmentierung zwar erheblich einfacher, doch stellt die Einführung einer effektiven Strategie zur Mikrosegmentierung die Sicherheits-Teams vor zwei große Probleme. Erstens, wo sollten in den Datenzentren, im Sinne eines optimalen Schutzes, die Grenzen zwischen den Mikrosegmenten gezogen werden? Zweitens, werden die Sicherheitsrichtlinien für aller einzelnen Netzwerksegmente erarbeitet und verwaltet, um sicherzustellen, dass Netzwerkverkehr rechtmäßiger Geschäftsanwendungen nicht versehentlich vom Mikrosegmentierungssystem geblockt wird? 

Ein Findungsprozess

Der Ausgangspunkt für die Erarbeitung eines Mikrosegmentierungssystems ist das Ermitteln und Identifizieren aller Anwendungsströme im Datenzentrum. Dies lässt sich mithilfe einer Discovery Engine erreichen, die Datenströme, zwischen denen eine logische Verbindung besteht und die wahrscheinlich dieselbe Geschäftsanwendung unterstützen, identifiziert und zusammenfasst.

Diese Informationen können um zusätzliche Daten ergänzt werden, wie die Label für Geräte- oder Anwendungsnamen, die mit den Datenströmen in Zusammenhang stehen. So entsteht eine vollständige Darstellung aller Datenflüsse, Server und Sicherheitsgeräte im Rechenzentrum, die Geschäftsanwendungen benötigen, um richtig zu funktionieren. Anhand dieser Darstellung kann die Erstellung des Segmentierungsschemas beginnen. Dabei sollte vorher schon klar sein, welche Server und Systeme in welchem Segment positioniert werden. 

Diejenigen Server werden hierfür ermittelt und gruppiert, die gleiche Geschäftsziele oder -Anwendungen unterstützen. Diese Server nutzen üblicherweise ähnliche Datenströme und können somit im gleichen Segment platziert werden. Sobald der Plan steht, können im Netzwerk die besten Stellen für die Platzierung der Sicherheitsfilter gewählt werden, um die Grenzen zwischen den Segmenten zu ziehen.

Es ist zudem wichtig zu wissen, was mit betrieblichen Anwendungsströmen passiert, wenn solche Filter eingeführt werden. Wird ein physisches oder virtuelles Filtergerät platziert, um zwischen den Segmenten eine Grenze zu ziehen, gilt es zu bedenken, dass einige Anwendungsströme diese Grenze passieren müssen. Um diese Datenflüsse zuzulassen, müssen explizite Regeln erstellt werden, andernfalls werden die Datenflüsse blockiert und die davon abhängigen Anwendungen fallen aus. 

Grenzkontrollen

Sicherheitsverantwortliche sollten also die Anwendungsströme untersuchen, die im Rahmen des anfänglichen Ermittlungsprozesses identifiziert wurden, um herauszufinden, ob bestimmte Regeln hinzugefügt oder geändert werden müssen. Dabei sollte auch darauf geachtet werden, ob ein Datenstrom bereits eine vorhandene Sicherheitskontrolle durchläuft.

Falls er derzeit keine Kontrolle passiert und ein neues Netzwerksegment erstellt werden soll, muss geprüft werden, ob der ungefilterte Datenstrom, nach Festlegung der Segmentgrenze, blockiert werden könnte. In diesem Fall wird eine neue, explizite Regel hinzugefügt, damit die Datenströme der Anwendungen passieren können. 

Wird jedoch ein vorhandener Datenstrom bereits durch eine Sicherheitskontrolle gefiltert, ist es zu Beginn der Netzwerksegmentierung normalerweise nicht notwendig, eine zusätzliche, explizite Regel für ihn einzurichten. Dieser Prozess kann solange wiederholt werden, bis die Netzwerksegmentierung optimal ist und die gewünschte Segmentierung und Sicherheit erreicht wurde.

Nach der Erarbeitung und Implementierung des Mikrosegmentierungsschemas gilt es, dieses zu verwalten und zu pflegen sowie dafür zu sorgen, dass es mit der Sicherheit des gesamten Unternehmensnetzwerks in Einklang steht. Am effektivsten ist dies zu erreichen, wenn mit einer Lösung zur Automatisierung der Netzwerksicherheit gearbeitet wird, die alle Sicherheitskontrollen und die bereits vorhandenen, traditionellen on-premise Firewalls gemeinsam in der SDN-Umgebung verwalten kann. Das gewährleistet, dass die Sicherheitsrichtlinien, die der Segmentierungsstrategie zugrunde liegen, im gesamten Netzwerk konsequent angewandt, verwaltet und zentral überwacht werden. Zudem sind sämtliche Änderungen zu Audit-Zwecken nachverfolgbar. So wird auch vermieden, dass es bei jeder erforderlichen Änderung im Netzwerk einen umständlichen, fehleranfälligen, manuellen Prozess geben muss.

Die Entwicklung und Einführung einer Strategie zur Mikrosegmentierung erfordert demnach eine sorgfältige Planung und Orchestrierung, um ihre Effektivität sicherzustellen. Automatisierung ist dabei ein wesentlicher Erfolgsfaktor, da sie zeitaufwendige, fehleranfällige, manuelle Sicherheitsprozesse ersetzt, wie die Erkennung der Verbindungen, Mapping und laufende Verwaltung. 

Thinking small in Bezug auf die Mikrosegmentierung liefert also sowohl einen besseren Sicherheitsstatus, als auch eine größere Geschäftsagilität.

Robert BlankRobert Blank, Regional Sales Manager DACH, www. algosec.com/de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!