Wie kann Mikrosegmentierung laterale Angriffe stoppen?

Warum sich Unternehmen für Mikrosegmentierung entscheiden

Eine der größten Herausforderungen, denen IT-Abteilungen heute gegenüberstehen, ist das Stoppen lateraler Bewegungen im Netzwerk. Davon spricht man, wenn ein Angreifer erst den Perimeter überwunden hat und sich dann weiter im lokalen Netzwerk auszubreiten versucht.

Die Medien sind voller Meldungen über Hacker, die sich erfolgreich in Unternehmen einschleichen konnten. Sobald sie es erst einmal hineingeschafft haben, können sie oft auf nahezu alle Ressourcen zugreifen, ohne dass sie sich mit größeren Hindernissen auseinandersetzen müssten. Das hat dazu geführt, dass sich immer mehr Firmen für die Einführung von Zero Trust und teils auch der Mikrosegmentierung entschieden haben. Mit diesen beiden Techniken sorgen sie dafür, dass es Angreifer erheblich schwerer haben, sich innerhalb einer Umgebung von einem infiltrierten System zu anderen zu bewegen.

Die Entwicklung der Mikrosegmentierung

Anfangs war die für Mikrosegmentierung genutzte Technik aus Sicht der IT-Security noch zu stark in ihren Fähigkeiten begrenzt. So war sie zum Beispiel nur mit großem Aufwand nach oben zu skalieren.

Eine schon früh eingesetzte Methode zum Verhindern unerwünschter lateraler Bewegungen basiert nach Aussage von Vivek Bhandari, Senior Director Produktmarketing beim Virtualisierungsspezialisten VMware, auf physischen und logischen Elementen, die mit Hilfe von Firewalls auf dem Layer 4 eingerichtet werden können. Damit waren der Technik aber enge Grenzen gesetzt. Da der gesamte Traffic durch die verwendeten Firewalls laufen muss, ist es nicht mehr möglich, die Bandbreite mit vergleichsweise wenig Aufwand und zu geringen Kosten zu erhöhen. Die oft sehr fein abgestimmte Segmentierung führte zudem dazu, dass auch die Verwaltung der Richtlinien erschwert wurde.

Um diese anfangs auftretenden Probleme mit der Mikrosegmentierung zu lösen, haben mehrere Hersteller Software-basierte Produkte und Plattformen entwickelt, die auf einem höheren Netzwerklevel arbeiten. SDN-Plattformen (Software-defined Networking) ermöglichen es, dass Firewalls auf dem Hypervisor-Level eingesetzt werden können. Damit können Administratoren Mikrosegmentierung auch für ihre virtuellen Maschinen (VMs) nutzen. Aktuelle Lösungen zur Mikrosegmentierung enthalten sogar Firewalls auf dem Layer 7, so dass sie sowohl auf dem Anwendungs- als auch dem User-Level Schutz bieten.

Granulare Zugriffskontrollen auf Basis virtueller, verteilter Firewalls sind ein großer Fortschritt im Kampf gegen nicht erwünschte laterale Bewegungen. In Unternehmen entstand aber zudem bald ein Bedarf nach Lösungen, die auch die Nutzung von IDS- und IPS-Systemen (Intrusion Detection Systems, Intrusion Prevention Systems) auf dem Hypervisor möglich machen.

Außerdem wurden neue Sandboxing-Techniken erforderlich, die eine vollständige Emulation bieten. Damit lassen sich bislang unbekannte Zero Days erkennen, die mit herkömmlichen Signatur-basierten Methoden nicht mehr aufgespürt werden können. In der Folge wurden auch die IDS-, IPS- und Netzwerk-Sandboxing-Dienste wieder aus den bislang dafür genutzten zentralen Netzwerksicherheits-Appliances entfernt und in den Hypervisor verlagert.

Wenn sie Mikrosegmentierung erfolgreich einsetzen wollen, sollten Administratoren aber nicht nur den Traffic im Netz segmentieren. Nach Ansicht von VMware-Manager Bhandari muss jeglicher Datenfluss im Rechenzentrum überwacht werden. Nur so könne eindeutig erkannt werden, ob ein ungewöhnliches Verhalten gut- oder bösartig ist.

Auch viele Hersteller haben das erkannt und ihre Mikrosegmentierungslösungen um zusätzliche Funktionen erweitert, mit denen sich auch Workloads im Data Center in einer Sandbox prüfen lassen. Dank der Mikrosegmentierung können jetzt zudem Richtlinien direkt mit bestimmten Workloads verknüpft werden, so dass die Komplexität beim Management sinkt. Das ist etwa wichtig, wenn die Workloads zwischen verschiedenen Servern oder zu einem anderen Rechenzentrum transferiert werden müssen.

Damit endet die Weiterentwicklung der Mikrosegmentierung aber noch nicht, auch wenn neu integrierte Funktionen wie Firewalls auf dem Layer 7, IDS sowie IPS und Sandboxen bereits sehr gute Ergänzungen sind. Seit kurzem unterstützen einige Lösungen zur Mikrosegmentierung auch verhaltensbasierte Analysen, da die Gefahr von Advanced Persistent Threats (APTs) kontinuierlich steigt. Das hilft auch gegen erfahrene Hacker, die mittlerweile teilweise selbst mehrstufige Sicherheitsebenen umgehen können, um sich in fremden Netzwerken einzunisten.

Die neuesten Lösungen und Plattformen zur Mikrosegmentierung bieten darüber hinaus oft zusätzliche Funktionen zur Analyse des Datenverkehrs im Netzwerk sowie zur Network Detection and Response (NDR). Damit ermöglichen sie es den Administratoren, Daten über alle Vorgänge in einer Umgebung zu sammeln und miteinander zu korrelieren. Dank NDR, Künstlichen Intelligenzen (KI) und Machine Learning (ML) lassen sich bösartige Aktivitäten erkennen und stoppen, bevor sich ein Angreifer lateral in einem System weiter bewegen kann.

Einfacher Einstieg in die moderne Mikrosegmentierung

Damit sich Lösungen zur Mikrosegmentierung in Unternehmen aber tatsächlich durchsetzen können, müssen sie leicht auszurollen und zu verwalten sein. Eine dafür geeignete Option ist, die Datenflüsse im Netzwerk umfassend zu visualisieren und zu kategorisieren. Empfehlenswert ist auch die Entscheidung für eine Plattform, die Datenströme automatisch offenlegen und über umfangreiche Discovery- und Mapping-Funktionen verfügt.

Softwarebasierte Techniken werden aber immer komplexer. Die IT-Abteilungen müssen daher in die Lage versetzt werden, alle auftretenden Datenströme der Anwendungen in ihren Umgebungen zu identifizieren, zu analysieren und zu dokumentieren. Nachdem sie untersucht wurden, können dann auch die Richtlinien zur Mikrosegmentierung eingeführt werden.