Sergey Nivens - Fotolia

Bei der Mikrosegmentierung sorgt Software für die Netzwerksicherheit

Die Mikrosegmentierung ermöglicht granulare Software-defined Security. Das vereinfacht Data-Center-Netzwerke und -Traffic, ohne Lücken zu riskieren.

Mit Software-defined Security lassen sich leistungsstarke Richtlinien anwenden, die granulare Regeln durchsetzen und gleichzeitig die Flexibilität der IT-Workloads beibehalten.

Die Netzwerksicherheit stellt ein wachsendes Problem in Unternehmen dar: Die Komplexität der Infrastruktur, höhere Traffic-Volumen, mehr Anwendungen und Data Stores sowie eine nicht enden wollende Zahl von Bedrohungen setzen die Firmen einem immer höheren Risiko aus. An dieser Stelle kommt die Mikrosegmentierung ins Spiel.

CIOs und IT-Architekten überdenken traditionelle Sicherheitsansätze und nehmen neue Technologien bereitwillig an, die ein virtualisiertes Data Center durch eine größere Granularität und Reaktionsfähigkeit unterstützen können. Die Mikrosegmentierung verspricht eine Reihe von Vorteilen für Unternehmen, verlangt aber einige Voraussetzungen und besitzt potenzielle Tücken, über die IT-Fachleute Bescheid wissen sollten.

So funktioniert die Mikrosegmentierung

In der allgemeinen Netzwerkterminologie bezeichnet der Begriff Segmentierung die Unterteilung eines Ethernet-Netzwerks in Subnetzwerke (oder Subnetze), die es erlauben, den Netzwerk-Traffic zu organisieren und einzugrenzen, anstatt jedes Paket ständig an jeden einzelnen Knoten zu senden. Die Netzwerksegmentierung bietet grundlegende Tools, um die Netzwerk-Performance zu steigern und einfache Sicherheitsmechanismen in traditionellen statischen Netzwerken zu etablieren.

Die Netzwerkmikrosegmentierung beruht auf diesem Prinzip, indem sie neue Virtualisierungs- und Steuerungsschichten abstrahiert. Durch die Mikrosegmentierung wird das Data Center in logische Einheiten aufgeteilt (segmentiert), bei denen es sich häufig um Workloads oder Anwendungen handelt.

Die IT-Organisation kann dann spezielle Sicherheitsrichtlinien und -regeln für jede logische Einheit individuell anpassen. Die grundlegende Idee besteht darin, die für bösartige Aktivitäten verfügbare Oberfläche erheblich zu reduzieren und unerwünschten lateralen Traffic (Ost-West-Traffic) – zum Beispiel einen Angriff – einzuschränken, sobald ein Perimeter penetriert wird. Da Richtlinien an logische Segmente gebunden sind, werden mit jeder Workload-Migration auch die Sicherheitsrichtlinien verschoben. Dies beseitigt die mühsamen, fehleranfälligen manuellen Konfigurationsprozesse, die oft zu Sicherheitslücken führen.

„Mikrosegmentierung ist die Anwendung und Durchsetzung von Sicherheitsfunktionen so nah wie möglich an der jeweiligen Applikation“, sagt Pete Sclafani, COO und Mitgründer von 6connect, einem Software- und Dienstleistungsunternehmen, das Provisioning und Automatisierung von Netzwerkressourcen anbietet. „In der Vergangenheit wurde dies up the stack zentralisiert. Es gibt infolgedessen etliche Grauzonen, die Sicherheitsproblemen selbst dann Tür und Tor öffnen, wenn die Richtlinien ordnungsgemäß konfiguriert sind.“

Die Netzwerkmikrosegmentierung ist nichts Neues, doch deren Einführung wurde ausgelöst durch Software-defined Networking (SDN) und Software-defined Data Center (SDDC) – Technologien, die in der Lage sind, Hardware zu abstrahieren. Vor dem Aufkommen von Software-defined-Technologien erforderte jede Art von Mikrosegmentierungsansatz herkömmliche physische Firewalls und VLANs. Der manuelle Aufwand für das Konfigurieren von internen Firewalls zur Steuerung des Ost-West-Traffics – und die anschließende Pflege über einen längeren Zeitraum – war einfach zu komplex und kostspielig. Im Gegensatz dazu unterstützen die Funktionen von SDN und SDDC On-Demand-Provisioning, flexibles Ändern von Parametern und die Möglichkeit, die Sicherheit für jede virtuelle Maschine (VM) zu erzwingen.

Vorteile der Mikrosegmentierung

Traditionelle Firewalls können weiter bestehen bleiben, um bekannte Perimeterverteidigungen (Nord-Süd) aufrechtzuerhalten, aber die Mikrosegmentierung schränkt die unerwünschte Kommunikation zwischen Workloads (Ost-West) innerhalb des Unternehmens entscheidend ein. Dieser Zero-Trust-Ansatz trägt der dramatischen Veränderung der Angriffsmuster Rechnung. Bei diesen neuartigen Netzwerkattacken dringen die Angreifer in den Perimeter ein und verbringen erst einmal Zeit damit, die Aktivitäten zu beobachten, Malware einzuschleusen und die Kontrolle über wichtige Systeme zu erlangen – und schließlich wertvolle Daten zu stehlen oder die betrieblichen Abläufe zu stören oder sogar lahmzulegen.

Das regelbasierte Verhalten der Software macht es zudem möglich, dass die Mikrosegmentierung schnelle, flexible und granulare Sicherheitskonfigurationen um jeden Workload unterstützt. Die IT-Administratoren müssen keine Firewall- und Router-Regeln mehr für individuelle Hardwaregeräte manuell konfigurieren und dabei Fehler und übersehene Zusammenhänge riskieren, die eventuell neue Schwachstellen verursachen oder die Performance beeinträchtigen.

„Wenn man die Sicherheitsrichtlinien in einer zentralisierten Architektur änderte, war das Risiko einer Serviceunterbrechung beträchtlich, selbst bei Diensten, die nicht unmittelbar betroffen waren“, erklärt Sclafani. „Es gibt so viele dokumentierte Fälle aus der Praxis, bei denen jemand die Firewall-Regeln aktualisierte, was sich aber unbeabsichtigt auch auf eine andere Downstream-Anwendung auswirkte, die nicht hätte betroffen sein dürfen.“

Bessere Sicherheit und eine feingranulare Steuerung führen zu einfacheren Netzwerkdesigns. Zum Beispiel tritt das sogenannte Hairpinning im Netzwerk auf, wenn zwei (oder mehr) Hosts im selben Subnetzwerk nicht direkt miteinander kommunizieren können. Stattdessen muss jeder von ihnen zunächst den Traffic aus dem Subnetz heraus senden und anschließend diesen Traffic wieder zum gewünschten Zielserver innerhalb des Subnetzes zurückleiten.

Dadurch ist es dem Netzwerk möglich, allgemeine Sicherheitspunkte zu implementieren, aber der Traffic bewegt sich im Prinzip wie in einer Haarnadelkurve durch das Netzwerk. Hairpinning erhöht das Traffic-Aufkommen, wirkt sich aber nicht positiv für die Umgebung aus (außer dass ansonsten isolierte Endpunkte kommunizieren dürfen). Die Mikrosegmentierung erlaubt eine direkte Ost-West-Kommunikation zwischen Systemen und beseitigt die Notwendigkeit für Traffic-Hairpinning. Auf diese Weise vereinfacht sie das Netzwerk und verbessert die Netzwerk-Performance.

Darüber hinaus sind die für jeden Workload eingerichteten Sicherheitsrichtlinien der Mikrosegmentierung nun nicht mehr an die Netzwerkhardware, sondern an den Workload gebunden. Das bedeutet, dass alle Mikrosegmentierungsregeln, die auf einen Workload (der in der Regel in einer virtuellen Maschine installiert ist) angewendet werden, dem Workload folgen. Beispielsweise lassen sich Workloads migrieren, um eine Lastverteilung zu erreichen oder eine Systemwartung zu unterstützen, ohne die Notwendigkeit, bestehende Sicherheitsregeln umzukonfigurieren oder neue Regeln zu erstellen. Dies kann sich auch für das Unternehmen auszahlen, etwa in Form einer stärkeren Risikominderung, eines besseren Sicherheits-Auditings und einer höheren Compliance.

„Bei der Mikrosegmentierung geht es um mehr Schnelligkeit gepaart mit Sicherheit“, meint ein IT-Leiter bei einem bekannten Sportartikeleinzelhändler. „Einen Software-basierten Ansatz zu nutzen, der direkt mit dem Hypervisor interagiert, heißt, dass wir unseren Sicherheitsansatz mithilfe von Vorlagen generalisieren können. Wir können so identische System-Builds erstellen, die Sicherheit als Basiskomponente von Beginn an enthalten. Security ist damit keine willkürlich hinzugefügte Beigabe, sondern integraler Bestandteil des Rezepts.“

Die Tücken der Mikrosegmentierung

Die Mikrosegmentierung ist ein mächtiges Konzept mit dem Potenzial, in den neu entstehenden softwarebasierten Umgebungen eine bessere Sicherheit und Agilität zu ermöglichen. Doch es ist keine Kur für jedes kleinere oder größere Netzwerkproblem. Unternehmensbosse und IT-Leiter müssen einige der möglichen Risiken bei der Bereitstellung der Netzwerkmikrosegmentierung berücksichtigen, bevor sie sich auf diese Technologie einlassen.

Die Komplexität ist vielleicht die perfideste Falle. „Es kann komplex werden, das Anwendungsverhalten und die richtigen Firewall-Regeln zu modellieren“, gibt Mahesh Kumar, Marketing-Leiter bei Arkin Net, zu bedenken. „Zu granular, und das Management wird zu schwierig. Zu allgemein, und der Zweck wird verfehlt.“ Außerdem ist es wichtig, alle Workloads zu berücksichtigen – selbst im Leerlauf befindliche oder ausgeschaltete VMs. Sonst kann ein Workload im Leerlauf im Sperrmodus online gehen, ohne die Möglichkeit, richtig zu kommunizieren. Komplexitätsprobleme führen zu potenziellen Schwierigkeiten hinsichtlich Konnektivität und Verfügbarkeit für Enterprise-Anwendungen.

Die Konsistenz kommt als zweite Sorge hinzu. Da die Mikrosegmentierung im Wesentlichen Sicherheitsrichtlinien und -regeln an Workloads verteilt, ist es wichtig, dass diese Richtlinien und Regeln konsistenten Vorgaben folgen. Ohne Vorgaben oder Best Practices ist es möglich, dass die Richtlinien zwischen verschiedenen Workloads oder Standorten abweichen. Konsistenzprobleme können zu Schwierigkeiten in puncto Performance oder Verfügbarkeit führen, die sich nur schwer finden und beseitigen lassen.

Die für die Implementierung der Mikrosegmentierung hinzugefügten Management- und Steuerungsschichten können potenzielle Auswirkungen auf die Netzwerk- und Anwendungs-Performance haben. Mahesh Kumar wiederholt die Beobachtung von Pete Sclafani von 6connect, dass nicht unbedingt alle Anwendungen für die Mikrosegmentierung geeignet sind. Das gilt insbesondere für leistungsabhängige Anwendungen mit geringer Latenz (zum Beispiel Echtzeit-Trading-Tools).

Übersehen Sie zu guter Letzt nicht die organisatorischen Effekte der Mikrosegmentierung, die tendenziell die Bereiche Computing, Netzwerke und Sicherheit umfasst. So können unterschiedliche Teams Änderungen vornehmen, die sich auf die Sicherheit auswirken. Das wiederum kann zu Kommunikationspannen, Konflikten und gegenseitigen Vorwürfen zwischen diesen traditionell getrennt arbeitenden Gruppen führen. Klare Absprachen und Interaktion zwischen den verschiedenen Gruppen sind von entscheidender Bedeutung für einen langfristigen Einsatz und Erfolg.

„Es braucht seine Zeit, bis sich die Menschen umgestellt haben“, sagt der Sportartikeleinzelhändler. „Man muss lernen, anders zu denken, und offen für neue Ideen sein. Und dann gibt es auch noch einen Trainingsfaktor.“

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Ist Software-defined Security die Zukunft der Netzwerksicherheit?

Mikrosegmentierungs-Strategien für intelligentere Sicherheitskonzepte.

Mikrosegmentierung bringt mehr Netzwerksicherheit für NSX und ACI.

SDN: Hype oder wichtiger Schritt hin zum SDDC?

Artikel wurde zuletzt im September 2016 aktualisiert

Erfahren Sie mehr über Software-defined Networking

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close