Eine Blaupause für erfolgreiche Mikrosegmentierung

Mikrosegmentierung gilt als eine der effektivsten Methoden, um die Angriffsfläche eines Unternehmens zu reduzieren. Bei der Umsetzung sollten IT-Teams wichtige Punkte beachten.

Ein segmentiertes Netzwerk wird in einzelne Bereiche geteilt, welche isoliert sind und an deren Grenzen der Datenfluss von Filtertechnologie scharf kontrolliert wird, um die Policies eines Unternehmens durchzusetzen. Angreifer, die in eine Zone gelangen, sind auf diese beschränkt und können die Attacke nicht so einfach wie bisher durch seitliche Bewegungen von einem Computer oder Server zum anderen tragen. Das Fehlen dieses Konzeptes wurde häufig als eine Ursache von einigen der größten Datenschutzverletzungen und Ransomware-Angriffen erkannt.

Unternehmen wenden diese Methode jedoch nur langsam an, weil sie auf herkömmlichem, manuellem Weg kompliziert und kostspielig zu implementieren ist – besonders in klassischen On-Premises-Netzwerken und Rechenzentren.

Hier geht die Einrichtung interner Zonen in der Regel mit der Installation zusätzlicher Firewalls einher, erfordert eine Änderung des Routings und sogar das Hinzufügen von Kabeln, um den Datenverkehr zwischen den Zonen fließen zu lassen und kontrollieren zu können. Hinzu kommt die manuelle Verwaltung der zusätzlichen Filterrichtlinien.

Einige dieser Hürden werden dadurch aus dem Weg geräumt, dass eine steigende Anzahl von Firmen zu virtualisierten Rechenzentren mit Software-defined Networking (SDN) wechseln. In SDN-basierten Rechenzentren verfügt die Network Fabric über eingebaute Filterfunktionen, weswegen sich die Netzwerksegmentierung viel einfacher einrichten lässt und keine neue Hardware hinzugefügt werden muss.

Die Flexibilität von SDN ermöglicht außerdem eine erweiterte, granulare Einteilung der Bereiche: Im Prinzip können nämlich die Netzwerke in Hunderte oder sogar Tausende von Mikrosegmenten unterteilt werden. Dies bietet ein so hohes Maß an Sicherheit, wie es in physischen Rechenzentren bisher nicht möglich war – oder zumindest unerschwinglich teuer gewesen wäre.

Dennoch reicht es nicht, nur ein virtualisiertes SDN-Rechenzentrum zu haben, um alle Herausforderungen zu meistern. Die Fachkräfte des Unternehmens müssen weiterhin die neuen Filterrichtlinien implementieren und ständig kontrollieren, welche notwendig sind und von der mikrosegmentierten Network Fabric durchgesetzt werden. Dabei ist das Schreiben dieser Richtlinien nicht nur der erste Schritt, sondern bereits die größte Hürde, weil die Konnektivität aller Segmente, Anwendungen und Firewalls bedacht werden muss.

Anforderungen eine Richtlinie zur Mikrosegmentierung

Eine korrekt geschriebene Filterrichtlinie für die Mikrosegmentierung stellt drei übergeordnete Forderungen an die Fachleute:

Sie soll den geschäftlichen Datenverkehr unbehindert erlauben. Ein kleiner Fehler in den Richtlinien kann dafür sorgen, dass die notwendige Kommunikation eines Unternehmens blockiert wird oder Anwendungen ihre Konnektivität verlieren.

Sie darf nichts anderes zulassen. Abseits der Zulassung geschäftlicher Daten sollte die Richtlinie grundlegend jeden anderen Datenfluss unterbinden.

Sie sollte anpassbar bleiben. Kleine Änderungen in der Netzwerkumgebung sollten nicht neu zu schreibende Regeln nötig machen. Wenn die Richtlinie also zu eng gefasst ist, wird sie Datenverkehr bei jeder kleinen Veränderung in der IT-Umgebung blockieren und eine Anpassung fordern. Richtlinien sollten daher stets mit Blick auf ihre künftige Skalierbarkeit geschrieben werden.

Mikrosegmentierung: Grundlagen einer erfolgreichen Umsetzung

Am Beginn jeder Mikrosegmentierung sollten die Grundlagen einer erfolgreichen Umsetzung erkannt, benannt und in eine Planung aufgenommen werden. Zunächst müssen die IT-Fachleute wissen, wie die Datenströme im Unternehmensnetzwerk beschaffen sind, zum Beispiel: Welche Anwendungen der Datenverkehr versorgt.

Avishai Wood, AlgoSec

„Am Beginn jeder Mikrosegmentierung sollten die Grundlagen einer erfolgreichen Umsetzung erkannt, benannt und in eine Planung aufgenommen werden.“

Prof. Avishai Wool, AlgoSec

yyy

Diese Informationen können spezielle Sicherheitslösungen automatisch auslesen, die auf einer zentralen Konsole sämtliche Verbindungen und im Netz befindlichen Anwendungen zeigen – egal, ob die IT-Umgebung aus einem Rechenzentrum, einer Cloud, mehrerer Clouds oder dem Hybrid aus Cloud und Rechenzentrum besteht. Nur mithilfe dieses Wissens lässt sich festlegen, wo die Grenzen der einzelnen Segmente später verlaufen sollen und wie die Sicherheitsrichtlinien verfasst sein müssen.

Security-Automatisierung macht es möglich

Mithilfe einer Security-Automatisierung, die viele Prozesse selbstständig ausführt, um auf Änderungen in Echtzeit reagieren zu können, ist die Einführung einer Mikrosegmentierung einfach möglich. Zugleich entlastet sie die meist unterbesetzten und überarbeiteten IT-Fachleute, damit diese sich auf große Projekte konzentrieren können, die ihre menschlichen Fähigkeiten erfordern. Solch eine Sicherheitslösung sollte über eine zentrale Plattform gesteuert werden können und fähig sein, sich selbstständig um die Verwaltung der Filterrichtlinien, die Aufrechterhaltung der Konnektivität zwischen allen Segmenten und die Einhaltung der Compliance zu kümmern.

Außerdem würden Unternehmen davon profitieren, wenn sie alle Vorgänge und Änderungen für ein einwandfreies Auditing dokumentiert. Falls sie schließlich in der Lage ist, ungeschützte Datenströme zu identifizieren, die keine Firewall passieren müssen und daher ungefiltert bei den Anwendungen ankommen, rückt die erfolgreiche Durchführung und Verwaltung einer Mikrosegmentierung in greifbarer Nähe.

Auf diese Weise wird eine Mikrosegmentierung einfacher und schneller möglich gemacht als bisher, weil die IT-Fachkräfte des Unternehmens sonst alle Schritte manuell ausführen müssten und die gesamte aufwendige Verwaltung an der Hand hätten. Natürlich erfordert die Implementierung weiterhin eine sorgfältige Planung. Das Ergebnis aber ist eine stark gesteigerte und gut geordnete IT-Sicherheit und -Umgebung, ohne Beeinträchtigung der geschäftlichen Abläufe durch die Umstellung.

Über den Autor:
Prof. Avishai Wool ist CTO und Mitbegründer von AlgoSec.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de

Close