Netzwerksegmentierung für mehr Sicherheit implementieren
Damit eine Strategie zur Netzwerksegmentierung funktioniert und die Sicherheit verbessert, müssen die Netzwerkteams unter anderem detaillierte Sicherheitsrichtlinien erstellen.
Unter Netzwerksegmentierung versteht man die Unterteilung eines Netzwerks in Funktionsbereiche und die Begrenzung der Kommunikation zwischen diesen Bereichen.
So könnte ein Unternehmen beispielsweise getrennte Segmente für Buchhaltung, Personalwesen, Produktentwicklung, Fertigung, Kundendienst, Marketing, Vertrieb und Gebäudeautomatisierung einrichten. Kein Teil des Netzwerks ist davon ausgenommen. Die Segmentierung funktioniert sowohl beim Cloud Computing als auch bei SaaS-Anwendungen.
Die Kommunikation zwischen den Segmenten wird an bestimmten Standorten kontrolliert, an denen Sicherheitspraktiken das Netzwerk schützen können. Netzwerksicherheitsteams können Tools wie Deep Packet Inspection mit Intrusion Detection, Intrusion Protection und Firewalls einsetzen.
Was ist Mikrosegmentierung?
Mikrosegmentierung hebt die Netzwerksegmentierung auf die nächste Stufe, indem sie Richtlinien auf einer granulareren Basis durchsetzt, zum Beispiel nach Anwendung oder Gerät. Mikrosegmentierung kann eine rollenbasierte Zugriffskontrolle auf der Grundlage der Rolle eines Endpunkts und der Zugriffsrichtlinien beinhalten.
Ein IoT-Gerät sollte etwa mit nichts anderem als seinem Anwendungsserver kommunizieren dürfen, nicht einmal mit einem anderen IoT-Gerät. Eine Person, die Daten in der Buchhaltung eingibt, könnte keine anderen Buchhaltungsfunktionen ausführen oder auf Systeme außerhalb der Buchhaltung zugreifen.
In diesen Beispielen kann ein Endpunkt ein Anwendungsserver, ein Benutzer mit einer Rechenressource oder ein digitaler Automat sein, der eine Aktion durchführt. Ein RFID-Leser, der eine Bestandsdatenbank an einer Laderampe aktualisiert, ist ein solches Gerät. Ein Chatbot ist eine digitale Entität, die auf Datenbanken mit Kundenbestellungen zugreift, um die Anfrage eines Kunden zu beantworten. Keiner der beiden Endpunkte sollte in der Lage sein, auf andere Systeme zuzugreifen als die, für die er entwickelt wurde.
Abbildung 1: Die Mikrosegmentierung unterteilt Arbeitslasten in einzelne Segmente und ermöglicht es Netzwerksicherheitsteams, detailliertere Richtlinien durchzusetzen.
Die Segmentierung kann auch den Umfang der Einhaltung von Vorschriften, wie dem Payment Card Industry Data Security Standard (PCI DSS), verringern. Audits müssen nur den Teil des Netzwerks umfassen, der Zahlungskartendaten verarbeitet und speichert. Natürlich sollten solche Audits die ordnungsgemäßen Segmentierungspraktiken validieren.
Bewährte Praktiken der Netzwerksegmentierung
Welche Strategien können Netzwerkteams also bei der Segmentierung ihrer Netzwerke verfolgen?
Sicherheitsrichtlinien erstellen und Ressourcen identifizieren
Um die Netzwerksegmentierung zu implementieren, sollten Netzwerkteams zunächst Sicherheitsrichtlinien für jede Art von Daten und Ressourcen erstellen, die sie schützen müssen. Die Richtlinien sollten jede Ressource, die Benutzer und Systeme, die auf sie zugreifen, sowie die Art des Zugriffs, der gewährt werden soll, identifizieren.
Zugriffslisten verwenden
Als Nächstes sollten die IT-Teams Zugriffskontrollen in Form von Erlaubnislisten einführen. Diese Praxis verbessert die Netzwerksicherheit erheblich. Damit dies funktioniert, müssen die IT-Teams die Anwendungsdatenströme für jede Applikation identifizieren. Dieser Prozess kann zwar sehr arbeitsaufwendig sein, aber im Vergleich zu den Kosten eines Cybersecurity-Ereignisses ist er die Zeit und den Aufwand wert.
Technologien zur Umsetzung der Netzsegmentierung
Die Netzsegmentierung kann je nach Fall auf einer physischen oder logischen Trennung oder auf beidem beruhen. Firewalls, Zugriffskontrolllisten (ACL) und virtuelle LANs (VLAN) bieten die grundlegende Segmentierungsfunktionalität.
Der Hauptvorteil der Netzwerk-Segmentierung besteht darin, dass der Schaden durch einen Cybersecurity-Angriff begrenzt wird.
Im nächsten Schritt werden virtuelle Routing- und Forwarding-Funktionen (VRF) zur Segmentierung von Routing-Informationen hinzugefügt. Eine fortgeschrittene Implementierung würde ein vollständiges mandantenfähiges System auf der Grundlage softwaredefinierter Technologien implementieren, das Firewalls, ACLs, VLANs und VRF kombiniert.
Software-defined Access
Software-definierter Zugang (SD-Access) identifiziert Endpunkte und weist sie den richtigen Netzwerksegmenten zu, unabhängig davon, wo sie physisch mit dem Netzwerk verbunden sind. SD-Access kennzeichnet Pakete mit Tags, um das Segment zu identifizieren, zu dem sie gehören. Durch die Kennzeichnung kann das Netzwerk effizient die richtige Richtlinie auf Netzwerkflüsse anwenden.
Physische Trennung
Netzwerkteams sollten eine physische Trennung, wie etwa getrennte Firewalls, verwenden, wenn sie die Komplexität der Firewall-Regeln reduzieren müssen. Wenn die Firewall-Regeln für eine große Anzahl von Anwendungen in einer Firewall gemischt werden, kann es unmöglich werden, sie zu pflegen. Aus komplexen Regelsätzen werden selten Regeln entfernt, da die daraus resultierende Wirkung schwer zu bestimmen ist. Die Verwendung separater Firewalls auf der Grundlage von VM-Implementierungen kann jeden Regelsatz erheblich vereinfachen und erleichtert den IT-Teams die Prüfung und Entfernung alter Regeln, wenn sich die Anforderungen ändern.
Automatisierung
Schließlich können IT-Teams die Netzwerksicherheit auch durch Automatisierung aufrechterhalten. Viele Schritte der Sicherheitsüberprüfung können und sollten automatisiert sein, um sicherzustellen, dass sie konsistent angewendet werden. Tools, die auf softwaredefinierter Technologie basieren, können bei der Automatisierung helfen.
Erfahren Sie mehr über LAN-Design und Netzwerkbetrieb
