Ressourcen > Sicherheit – Glossar > Was ist die Segmentierung von Cloud-Workloads?

Was ist die Segmentierung von Cloud-Workloads?

Was ist die Segmentierung von Cloud-Workloads?

Die Segmentierung von Cloud-Workloads bezieht sich auf ein Cloud-basiertes Verfahren, das identitätsbasierten Schutz für Workloads ohne Änderungen an der Netzwerkarchitektur bietet.

 

Warum Mikrosegmentierung erforderlich ist

Ursprünglich wurde Mikrosegmentierung eingesetzt, um den Traffic zwischen Servern innerhalb eines Netzwerksegments zu moderieren. Mittlerweile umfasst sie auch den Traffic zwischen Segmenten, stellt also die Kommunikation zwischen Server A und Server B bzw. Anwendung A und Host B her. Voraussetzung ist, dass die Identität der Ressource, von der die Anfrage ausgeht (Server/Anwendung/Host/User), den jeweils konfigurierten Berechtigungskriterien entspricht. 

Herkömmliche netzwerkbasierte Lösungen für die Mikrosegmentierung basieren auf virtuellen Firewalls, die Netzwerkadressen zur Durchsetzung von Regeln verwenden. Diese Abhängigkeit von Netzwerkadressen ist insofern problematisch, als Netzwerke ständigen Änderungen unterliegen. Entsprechend müssen auch die Richtlinien ständig aktualisiert werden, wenn sich Anwendungen und Geräte verändern. Die häufigen Aktualisierungen stellen schon bei Bereitstellung im Rechenzentrum eine Herausforderung dar. Noch komplizierter wird es in Cloud-Umgebungen und Infrastrukturen ohne statische IP-Adressen.

Mit Segmentierungsansätzen auf Basis von Netzwerkadressen lässt sich nicht feststellen, welche Entitäten im Einzelnen miteinander kommunizieren (z. B. die Identität der kommunizierenden Software). Stattdessen geben sie nur Auskunft über die Kommunikationswege, also z. B. darüber, von welcher IP-Adresse bzw. welchem Port oder Protokoll die Anfrage ausging. Kommunikationen über als „sicher“ eingestufte Verbindungen werden zugelassen, ohne dass die IT genau weiß, von welcher Entität die Kommunikation ausgeht. Sobald sich eine Entität innerhalb einer Netzwerkzone befindet, gilt sie als vertrauenswürdig. Dieses vertrauensbasierte Modell kann jedoch von Cyberkriminellen ausgenutzt werden, um sich lateral in der Cloud oder im Rechenzentrum zu bewegen.

Durch diesen veralteten Ansatz entsteht eine Architektur, die als flaches Netzwerk bekannt ist. Innerhalb einer solchen Struktur erfolgen unnötige Zugriffe über ungeschützte Pfade, sodass Angreifer sich ungehindert lateral durch Cloud- und Rechenzentrumsumgebungen bewegen können. Dadurch ist die Sicherheit von Workloads gefährdet. Die Netzwerksegmentierung mit virtuellen Legacy-Firewalls ist jedoch mit einem hohen Kosten- und Arbeitsaufwand verbunden, der ihre sicherheitsrelevanten Vorteile wieder aufhebt.

Dieses netzwerkbasierte Modell kann zu Sicherheitsverletzungen führen – vor allem aus diesem Grund wurde die Mikrosegmentierung entwickelt. 

Mithilfe von Mikrosegmentierung können Sicherheitsmaßnahmen in direkter Nähe der Anwendungs-Workloads bereitgestellt werden, sodass Unternehmen die Kommunikation zwischen Workloads effizienter kontrollieren und individuelle Schutzvorkehrungen treffen können. So können Unternehmen durch granulare Kontrollen des Traffics die Angriffsflächen ihrer Netzwerke minimieren.

Mithilfe der Mikrosegmentierung können IT-Teams differenzierte Sicherheitseinstellungen für verschiedene Arten von Unternehmensanwendungen einrichten. Durch Erstellen entsprechender Richtlinien lässt sich die Kommunikation mit Netzwerken und Anwendungen ausschließlich auf ausdrücklich berechtigte Workloads beschränken. So könnte ein Unternehmen, das dieses Zero-Trust-Modell anwendet, beispielsweise eine Richtlinie erstellen, der zufolge eine bestimmte Anwendung, die auf einem Host ausgeführt wird, nur mit anderer Anwendungssoftware kommunizieren darf, die auf anderen Hosts ausgeführt wird. Beispielsweise kann die gesamte PCI-bezogene Software mikrosegmentiert werden, um den Zugriff auf die PCI-Umgebung streng zu kontrollieren und die Anzahl der berechtigten Systeme zu reduzieren. Bei Verlagerung von Geräten oder Workloads werden die Sicherheitsrichtlinien und -attribute entsprechend mit verlagert.

Durch Durchsetzen von Segmentierungsregeln schon auf der Ebene einzelner Workloads oder Anwendungen kann die IT das Risiko der lateralen Ausbreitung von Bedrohungen von einer infizierten Workload oder Anwendung zu einer anderen verringern.

Mithilfe eines Cloud-basierten Zero-Trust-Ansatzes können nicht nur Verbindungen anhand von Unternehmensrichtlinien geschützt werden, ohne dass User und Anwendungen Zugriff auf das Unternehmensnetzwerk erhalten – ein Ansatz, der als ZTNA (Zero Trust Network Access) bezeichnet wird. Auch öffentliche Clouds und Rechenzentren können so besser abgesichert werden.

Durch Durchsetzen von Segmentierungsregeln schon auf der Ebene einzelner Workloads oder Anwendungen kann die IT das Risiko der lateralen Ausbreitung von Bedrohungen von einer infizierten Workload oder Anwendung zu einer anderen verringern.

Ann Bednarz, Network World

Funktionsweise von Zscaler Cloud Workload Segmentation

Durch automatisierte Erstellung und Verwaltung von Richtlinien vereinfacht Zscaler Workload Segmentation (ZWS) die Mikrosegmentierung und schützt gleichzeitig Anwendungen und Workloads in der Cloud und im Rechenzentrum.

ZWS deckt mit nur einem Klick Risiken auf und wendet identitätsbasierten Schutz auf Workloads an, ohne dass Änderungen am Netzwerk erforderlich sind. Die Lösung beruht auf einem identitätsbasierten Software-Modell und gewährleistet lückenlosen Schutz mit Richtlinien, die sich automatisch an Änderungen an der Umgebung anpassen. Kurz gesagt, mit ZWS können Unternehmen ihre Angriffsfläche im Netzwerk ganz einfach minimieren. 

ZWS bildet zunächst die Anwendungskommunikation mithilfe von maschinellem Lernen topologisch ab. Dieser Prozess dauert etwa 72 Stunden – eine enorme Verbesserung gegenüber der manuellen Durchführung, die einige Monate in Anspruch nimmt. Nach Abschluss des Vorgangs kann Zscaler alle verfügbaren Netzwerkpfade und die Anwendungspfade messen, die für die Unternehmensanwendungen wirklich erforderlich sind. Normalerweise wird nur ein Bruchteil der vorhandenen Pfade tatsächlich benötigt. Alle unnötigen Kommunikationspfade können entfernt werden, um die Angriffsfläche zu verkleinern.

Bei der identitätsbasierten Mikrosegmentierung wird jedem Gerät und jeder Softwareressource eine unveränderliche, eindeutige Identität zugewiesen, die auf verschiedenen Eigenschaften der jeweiligen Ressource basiert. Auch auf Subprozessebene werden Identitäten zugeordnet, sodass Zscaler sogar einzelne Java JAR- und Python-Skripte eindeutig identifizieren kann. Die Identitäten werden vollständig automatisiert erstellt und verwaltet – die Betriebsabläufe bleiben also einfach und unkompliziert.

Zscaler überprüft die Identitäten der kommunizierenden Software in Echtzeit. Durch diesen Zero-Trust-Ansatz wird jegliche Kommunikation von nicht genehmigter und schädlicher Software unterbunden. So gehören auch Piggybacking-Angriffe, bei denen genehmigte Firewallregeln ausgenutzt werden, der Vergangenheit an. Mithilfe dieses identitätsbasierten Modells lassen sich einfachere Betriebsabläufe und wirkungsvollere Schutzmaßnahmen erzielen als mit herkömmlichen Netzwerksicherheitskontrollen.

Da die Identitäten der kommunizierenden Software sehr spezifisch sind, reduziert Zscaler den Bedarf an Richtlinien zur Sicherung eines Segments. Wie bereits erwähnt, erstellt unsere Plattform nie mehr als sieben Richtlinien pro Segment. Trotzdem ist genauestens festgelegt, welche Anwendungen und Geräte miteinander kommunizieren dürfen. Und da Segmentierungsrichtlinien auf der Software-Identität basieren, werden die Richtlinien auch bei Änderungen des zugrunde liegenden Netzwerks weiterhin konsistent angewendet. Wenn das System die eindeutige Identität der Entität, die zu kommunizieren versucht, nicht überprüfen kann, findet keine Kommunikation statt.

Mit Zscaler Workload Segmentation können Segmente und die zugehörigen Richtlinien innerhalb von Minuten erstellt werden.

 

Interessiert?

Im Rahmen einer kostenlosen Demo können Organisationen die Vorteile von Zscaler Workload Segmentation in der Praxis kennenlernen.

One-Click Zero Trust

Datenblatt lesen
One-Click Zero Trust

Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?

Blog lesen
Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?

Goulston & Storrs stärkt Maßnahmen zum Schutz von Kundendaten mit Zscaler Workload Segmentation

Fallstudie lesen
Goulston & Storrs stärkt Maßnahmen zum Schutz von Kundendaten mit Zscaler Workload Segmentation