Sergey Nivens - Fotolia

Was Sie vor der Einführung von Mikrosegmentierung beachten sollten

Mit Mikrosegmentierung lässt sich die Netzwerksicherheit erhöhen. Eine vorausschauende Planung und die richtigen Tools sind aber zwingend notwendig.

Die Einführung der Mikrosegmentierung könnte sich mit der zunehmenden Verbreitung von Software-defined Networking (SDN) und Software-defined Data Centern (SDDC) beschleunigen.

Bei der Mikrosegmentierung handelt es sich um eine Sicherheitstechnologie, die das Data Center in logische Elemente aufteilt und sie mit IT-Sicherheitsrichtlinien der höchsten Stufe verwaltet. Dies hilft, den Zugriff zu isolieren und die laterale Bewegung von verdächtigen Aktivitäten zu beschränken, wenn die traditionelle Perimetersicherheit beeinträchtigt ist.

Die Netzwerk-Mikrosegmentierung ergänzt die Traffic-Steuerungen für die Segmentierung im Subnetz um Virtualisierung und Steuerung der Abstraktion auf Softwareebene. Als Ergebnis erhält man eine bessere Netzwerk-Performance und eine einfachere Architektur in komplexen, virtualisierten und Software-defined Data Centern mit fluktuierenden Workloads. Sicherheitsrichtlinien und -regeln gelten nur für die Einheiten des Rechenzentrums – in der Regel ein Workload oder eine Anwendung –, um je nach konkretem Fall angemessen mit Bedrohungsvektoren umzugehen.

In mancher Hinsicht ist für die Mikrosegmentierung das Gleiche entscheidend wie für jede Strategie, die das Netzwerk des Rechenzentrums betrifft – beispielsweise Verständnis der Traffic-Flüsse. Aber durch den richtlinienbasierten Charakter der Mikrosegmentierung ergeben sich zusätzliche Überlegungen für eine praktikable Bereitstellung.

So implementieren Sie Mikrosegmentierung erfolgreich

Wie bei der konventionellen Virtualisierung gibt es keinen verbindlich vorgeschriebenen einheitlichen Weg, um die Netzwerk-Mikrosegmentierung zu implementieren. In den meisten Situationen werden die bestehenden Schutzmechanismen und die Legacy-Infrastruktur systematisch durch neue Technologien verbessert, etwa durch Software-defined Networks, virtuelle Firewalls etc. Doch bei der Einführung der Mikrosegmentierung gilt es, einige wesentliche Dinge zu berücksichtigen.

Die erste Überlegung betrifft die Sichtbarkeit. Potenzielle Nutzer dieser Technologie müssen über ein tief greifendes Verständnis der Traffic-Flüsse im Netzwerk sowie der Kommunikationsmuster zum, vom und innerhalb des Data Centers verfügen. Dazu benötigt man im Allgemeinen Analyse-Tools, die Traffic-Muster und wichtige Beziehungen erkennen können. Es ist mit einem manuellen Ansatz so gut wie unmöglich, die richtigen Dienste und Firewall-Richtlinien für jeden Workload zuzuordnen. Zum Beispiel sollten die Analyseverfahren in der Lage sein, Gruppen verwandter Workloads mit gemeinsamen Charakteristiken zu entdecken, etwa Workloads im gleichen physischen Subnetz, und gemeinsam genutzte Dienste wie das Domain Name System (DNS) der Organisation zu erkennen. Zudem sollten die Analyseverfahren Beziehungen zwischen verschiedenen Anwendungen genauso identifizieren wie potenziell verletzbare Netzwerkbereiche und auf ineffiziente Punkte im Netzwerk aufmerksam machen, zum Beispiel auf Hairpinning (auch als NAT-Loopback bezeichnet).

Analysemodelle bilden die Basis für neue Sicherheitsregeln und -richtlinien für die Mikrosegmentierung. Gleichzeitig minimieren sie die Fehler und übersehenen Umstände, durch die sich wichtige Zusammenhänge möglicherweise nicht mehr erkennen lassen. Gleichermaßen wichtig ist ein System zur Richtliniendefinition und Orchestrierung, um die für die Mikrosegmentierung erforderlichen Richtlinien zu erstellen und diese auf die Infrastruktur zu übertragen. Nicht jede Anwendung sei zwingend ein geeigneter Kandidat für die Mikrosegmentierung, meint Pete Sclafani, COO und Mitgründer von 6connect, einem Software- und Dienstleistungsunternehmen, das Provisioning und Automatisierung von Netzwerkressourcen anbietet. Eine sorgfältige Prüfung und Bewertung von Analysemodellen kann dazu beitragen, vor dem Bereitstellen der Mikrosegmentierung etwaige problematische Workloads oder Netzwerkelemente zu ermitteln.

Im nächsten Schritt implementieren Sie Sicherheitsregeln und -richtlinien. Dazu verwenden Sie einen Zero-Trust-Ansatz – eine vollständige Sperre der Kommunikation – und befolgen während der gesamten Bereitstellung der Mikrosegmentierung Zero-Trust-Prinzipien. Kommunikation über das Netzwerk sollte nur selektiv auf Grundlage der Ergebnisse der vorherigen Analyse erlaubt sein. Dies ist die beste Vorgehensweise, um die Konnektivität und Sicherheit von Anwendungen zu gewährleisten.

Wiederholen Sie diesen Vorgang regelmäßig. Den Traffic zu analysieren und Regeln herauszudestillieren, ist keine einmalige Deployment-Aufgabe, sondern ein kontinuierlicher Prozess, der häufig durchgeführt werden sollte. Auf diese Weise können Sie sicherstellen, dass Workloads und Richtlinien sich nicht unerwartet ändern und dass alle neuen Analyseresultate (vielleicht aufgrund von neuen Anwendungen oder Änderungen der Traffic-Muster) sich nutzen lassen, um die Regeln für die Mikrosegmentierung anzupassen.

Bei all diesen Überlegungen steht eindeutig die Wahl des Hypervisors und der verwendeten Tools, um die Mikrosegmentierung zu erleichtern, im Vordergrund.

„Wir haben erkannt, dass die Interaktion zwischen der SDN-Schicht und der physischen Schicht visualisiert werden musste“, sagt ein IT-Leiter bei einem Sportartikeleinzelhändler. „Man braucht ein einzelnes Tool, das sich für beides eignet. Außerdem benötigt man ein Tool, das für das Cloud-Team, das Storage-Team, das Netzwerk- und das Netzwerk-Operations-Team funktioniert.“

So unterstützen Anbieter Mikrosegmentierung

VMware und Palo Alto Networks haben in Sachen Mikrosegmentierung eine strategische Partnerschaft vereinbart und nutzen NSX zusammen mit Hypervisor-Plattformen wie vSphere und Management-Tools wie vCenter. Cisco Systems wiederum fährt mit seiner Application Centric Infrastructure einen anwendungszentrierten Ansatz, um die Mikrosegmentierung zu unterstützen. Darüber hinaus gibt es Tools von Drittanbietern, die helfen können. Dazu zählen zum Beispiel die Security and Operations Platform von Arkin zum Planen, Analysieren, Monitoring und Troubleshooting der Mikrosegmentierung sowie CA Spectrum von CA Technologies zum Management von physischen, virtuellen und Cloud-Umgebungen zusammen mit Netzwerk-Virtualisierung.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

SDN-Sicherheit: Maßnahmen für eine sicherere Architektur.

Ist Software-defined Security die Zukunft der Netzwerksicherheit?

Netzwerksegmentierung: Unbedenklich oder unsichtbare Security-Bedrohung?

Mikrosegmentierung bringt mehr Netzwerk-Sicherheit für NSX und ACI.

 

Erfahren Sie mehr über Software-defined Networking

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close