Live Global Events: Secure, Simplify, and Transform Your Business.

See Agenda and Locations
Zpedia / Was ist Mikrosegmentierung?

Was ist Mikrosegmentierung?

Mikrosegmentierung ist eine Cybersicherheitstechnik, die Organisationen mehr Kontrolle über den Traffic zwischen einzelnen Ressourcen innerhalb des Netzwerks (z. B. Traffic zwischen Servern oder East-West-Traffic) gibt. Durch eindeutige Identifizierung aller Ressourcen (z. B. Server, Anwendungen, Hosts, User) können hochgradig granulare Berechtigungen konfiguriert werden. Durch konsequente Mikrosegmentierung gemäß Zero-Trust-Grundsätzen lassen sich Sicherheitsverletzungen vermeiden, indem die laterale Ausbreitung von Bedrohungen und Infizierung von Workloads verhindert wird.

Siehe „Microsegmentation 101“

Was das Besondere an Mikrosegmentierung ist

Mikrosegmentierung ermöglicht als einzige Methode die Durchsetzung von Richtlinien und die Zuweisung von Zugriffsberechtigungen basierend auf der Identität der jeweiligen Ressource. Daher eignet sie sich ideal zur Erstellung intelligenter Gruppierungen von Workloads anhand der Merkmale der einzelnen Workloads, die innerhalb des Rechenzentrums kommunizieren.

Als Kernbestandteil des ZTNA-Frameworks (Zero Trust Network Access) ist sie zudem unabhängig von den dynamischen Veränderungen bzw. den betriebswirtschaftlichen und technischen Anforderungen, denen Netzwerke unterliegen. Deswegen empfiehlt sie sich als robustere und zuverlässigere Alternative zu herkömmlichen Netzwerksicherheitslösungen.

Darüber hinaus sorgt Mikrosegmentierung für eine erhebliche Vereinfachung der Verwaltung. Zum Schutz eines Segments sind nur noch wenige identitätsbasierte Richtlinien erforderlich – statt Hunderter adressbasierter Firewall-Richtlinien wie bei herkömmlichen Lösungen.

Mikrosegmentierung und Netzwerksegmentierung im Vergleich

Netzwerksegmentierung und Mikrosegmentierung werden häufig als Synonyme verwendet. Tatsächlich handelt es sich um zwei komplett unterschiedliche Ansätze.

Netzwerksegmentierung ist eine effektive Maßnahme zur Kontrolle des ein- und ausgehenden Traffics. Dabei wird eine Entität, also z. B. ein User, als vertrauenswürdig eingestuft, sobald er sich in einer bestimmten Zone des Netzwerks befindet.

Mikrosegmentierung hingegen dient zur Kontrolle des lateralen Traffics innerhalb des Rechenzentrums bzw. Cloud-Netzwerks, der sich von Server zu Server, Anwendung zu Server usw. bewegt. Einfach ausgedrückt: Die Netzwerksegmentierung bildet die Außenmauern der Festung. Mikrosegmentierung entspricht den Wachen, die an den Türen im Inneren postiert sind.

Zuverlässiger Schutz vor Cyberangriffen durch granulare Partitionierung des Netzwerk-Traffics

Mit Mikrosegmentierungslösungen können sichere Zonen geschaffen werden, die zur Isolierung und individuellen Sicherung von Workloads dienen. Der Begriff „Mikro“-Segmentierung bezieht sich auf die granulare Partitionierung des Netzwerk-Traffics zur zuverlässigen Abwehr von Cyberangriffen.

Ein Ansatz, der Richtlinien für die Mikrosegmentierung beinhaltet, ermöglicht IT- und Sicherheitsbeauftragten, differenzierte Einstellungen für verschiedene Traffic-Typen zu konfigurieren. Durch Erstellen entsprechender Richtlinien lässt sich die Kommunikation mit Netzwerken und Anwendungen ausschließlich auf ausdrücklich berechtigte Workloads beschränken.

Durch Durchsetzen von Segmentierungsregeln bis hinunter zur Workload- oder Anwendungsebene kann die IT die Angriffsfläche verkleinern und damit das Risiko der lateralen Verbreitung von Bedrohungen von einer infizierten Workload oder Anwendung zu einer anderen verringern.

Nachteile von Legacy-Ansätzen

Herkömmliche Lösungen für die Netzwerksegmentierung basieren auf Firewalls, die Regeln unter Berücksichtigung von Netzwerkadressen durchsetzen. Diese Abhängigkeit von Netzwerkadressen ist insofern problematisch, als Netzwerke ständigen Änderungen unterliegen. Entsprechend müssen auch die Richtlinien ständig aktualisiert werden, wenn sich Anwendungen und Geräte verändern. Die ständigen Aktualisierungen stellen schon bei lokaler Bereitstellung im Rechenzentrum eine Herausforderung dar. Noch komplizierter wird es in Cloud-Umgebungen und Infrastrukturen ohne statische IP-Adressen.

Mit Segmentierungsansätzen auf Basis von Netzwerkadressen lässt sich außerdem nicht feststellen, welche Entitäten im Einzelnen miteinander kommunizieren (z. B. die Identität der kommunizierenden Software). Stattdessen geben sie nur Auskunft über die Kommunikationswege, also z. B. darüber, von welcher IP-Adresse bzw. welchem Port oder Protokoll die Anfrage ausging. Entsprechend werden Kommunikationen über als „sicher“ eingestufte Verbindungen zugelassen, obwohl die IT- und Sicherheitsteams nicht genau wissen, von welcher Entität die Kommunikation ausgeht.

Sobald sich eine Entität innerhalb einer „sicheren Zone“ im Netzwerk befindet, gilt sie als vertrauenswürdig. Das kann zu Sicherheitsverletzungen bzw. zur lateralen Ausbreitung von Bedrohungen in flachen Netzwerken führen.

Mikrosegmentierung: Funktionen

Mikrosegmentierung bietet eine ganze Reihe von technischen Vorteilen, insbesondere:

  • Zentrale Sicherheitskontrollen und Richtlinienverwaltung für sämtliche Netzwerke: Mikrosegmentierung dient zur Kontrolle des lateralen Traffics innerhalb des Netzwerks. Entsprechend werden Richtlinien konsistent auf den gesamten Traffic angewandt, der das jeweilige Segment durchläuft. Hochgradig granulare Richtlinien ermöglichen zudem sehr viel mehr Transparenz im Vergleich zur Netzwerksegmentierung.
  • Automatische Anpassung der Segmentierungsrichtlinien: Richtlinien werden auf Workloads (nicht auf Hardware) angewandt und bleiben daher auch bei Änderungen der Infrastruktur intakt. Dadurch können Kontrollmaßnahmen ohne Ausfallzeiten in beliebig vielen Umgebungen durchgesetzt werden.
  • Lückenloser Schutz: Sicherheitsrichtlinien schützen Ressourcen in der Cloud, in Containern, lokalen Rechenzentren und hybriden Cloud-Umgebungen. Durch Bindung der Richtlinien an spezifische Workloads statt an Netzwerksegmente werden sämtliche potenziellen Sicherheitslücken geschlossen.

Einige Anbieter haben sich ausschließlich auf Mikrosegmentierung spezialisiert. In allen Fällen sollte die Lösung die wachsende Nachfrage nach identitätsbasierter Mikrosegmentierung (granularere, softwaredefinierte Segmentierung, auch als Zero-Trust-Netzwerksegmentierung bezeichnet) des lateralen Traffics in Rechenzentren unterstützen.

Neil MacDonald und Tom Croll, Gartner Market Guide to Cloud Workload Protection, April 2020

Mikrosegmentierung: Geschäftsnutzen

Proaktive Netzwerk- und IT-Sicherheit

Bei der Mikrosegmentierung werden Sicherheitsprobleme der traditionellen Segmentierung beseitigt. Es werden anwendungsbezogene Richtlinien erstellt, die alle Anwendungen und Services begleiten. Potenzielle Sicherheitsverletzungen bleiben dadurch auf die betroffenen Assets begrenzt, anstatt das gesamte Netzwerk zu infizieren. Einige Services zur Mikrosegmentierung haben darüber hinaus die Kapazität zur automatischen Erkennung aller kommunizierenden Anwendungen und Empfehlung entsprechender Zero-Trust-Richtlinien, die sich dann mit einem Klick anwenden lassen.

Robuster Schutz für alle Workloads

Anstelle von statischen Kontrollen unter Berücksichtigung von IP-Adressen, Ports und Protokollen können kryptografische Fingerabdrücke für alle Workloads erstellt werden. So lässt sich ein konsistenter Schutz für Workloads gewährleisten, die im internen Rechenzentrum oder auch in der Cloud betrieben werden. Durch Fingerabdrücke wird die Sicherung der Workloads von IP-Adresskonstrukten entkoppelt, um die mit IP-basierten Kontrollen verbundenen Probleme zu vermeiden.

Kontinuierliche Risikobewertung

Mikrosegmentierung ermöglicht die Quantifizierung von Risiken durch automatische Messung der sichtbaren Angriffsfläche im Netzwerk. Dadurch erhält das Unternehmen einen exakten Überblick darüber, wie viele potenzielle Kommunikationspfade zwischen Anwendungen genutzt werden. Es sind sogar Services erhältlich, die bei jeder einzelnen Verbindungsanforderung die Identität der betreffenden Entität verifizieren. Dadurch lassen sich Risiken weiter verringern, während gleichzeitig die Erfüllung aufsichtsrechtlicher Compliance-Pflichten unterstützt wird und datengestützte Erkenntnisse für Risikoberichte mit Visualisierung bereitgestellt werden.

Best Practices for Successful Microsegmentation

So, how do you realize those benefits? The specifics are going to look different depending on your industry, regulatory obligations, and more, but a few general best practices should be part of any successful microsegmentation plan:

  • Create detailed, granular least-privileged access policies based on application-level awareness, user identities, and device attributes, limiting access to resources to only what each user or entity requires to do their work.
  • Integrate with identity and access management (IAM) systems to ensure your policies align with user roles and permissions.
  • Implement real-time, continuous monitoring and auditing of network traffic and policy enforcement to detect anomalies or policy violations.
  • Utilize automated tools to deploy and adjust policies in response to changes in your network configuration or security posture.
  • Conduct regular security audits and penetration testing, and keep thorough documentation, to ensure your policies remain effective as well as support compliance reporting and troubleshooting.

Zero-Trust-Segmentierung

Wie bereits erwähnt, basieren Zero-Trust-Sicherheitsmodelle auf den Grundsätzen der Mikrosegmentierung. Richtlinien werden nicht auf Netzwerksegmente, sondern auf einzelne Workloads angewandt, sodass der Zugriff für jede Ressource an jedem beliebigen Standort granular gesteuert werden kann, wenn anhand der vorliegenden Kontextdaten kein zuverlässiger Nachweis der Vertrauenswürdigkeit möglich ist.

Mit einem Zero-Trust-Modell – insbesondere einem Cloud-basierten Zero-Trust-Modell – könnte ein Unternehmen beispielsweise eine Richtlinie erstellen, der zufolge medizinische Geräte nur mit anderen medizinischen Geräten kommunizieren dürfen. Bei Verlagerung von Endgeräten oder Workloads werden die Sicherheitsrichtlinien und -attribute ebenfalls entsprechend verlagert.

Viele Anbieter von Cloud-Sicherheitslösungen versprechen Cloud-basierten Zero-Trust-Schutz, ohne dieses Versprechen erfüllen zu können. Nur ein Anbieter stellt ganzheitliche Zero-Trust-Sicherheit in der Cloud bereit, die Netzwerke, Anwendungen und vertrauliche Daten zuverlässig vor zunehmend komplexen Cyberbedrohungen schützt.

Die Zscaler-Lösung zum Schutz vor Ransomware

Zscaler Workload Segmentation (ZWS) wurde von Grund auf entwickelt, um die Mikrosegmentierung in allen Cloud- und Rechenzentrumsumgebungen zu automatisieren und zu vereinfachen. Mithilfe leicht verständlicher identitätsbasierter Richtlinien können Organisationen mit einem einzigen Klick das Sicherheitsniveau erhöhen und mit ZWS Risiken aufdecken sowie zuverlässigen Schutz auf Workloads anwenden, ohne dass Änderungen am Netzwerk oder den Anwendungen erforderlich sind.

Zscaler Workload Segmentation beruht auf einer identitätsbasierten Technologie und gewährleistet lückenlosen Schutz mit Richtlinien, die sich automatisch an Änderungen der Umgebung anpassen. Dadurch ist es so einfach wie noch nie, die Netzwerksangriffsfläche zu minimieren und effektiven Zero-Trust-Schutz zu gewährleisten.

Erleben Sie Zscaler Workload Segmentation selbst. Besuchen Sie unsere Produktseite, um eine individuelle Demo anzufordern.

Weitere Ressourcen

Häufig gestellte Fragen

What Is a Workload?

A workload is a process, resource, or group of these (e.g., communications, processing, management, execution) related to an application and its use. In the cloud, workloads also encompass applications themselves. Understanding and managing workloads is a key part of finding and resolving vulnerabilities, securing data and access points, implementing authentication and encryption, and monitoring and mitigating potential threats.

What Is an Example of Microsegmentation?

As a simple example of microsegmentation, suppose a company were to microsegment its hybrid cloud architecture to isolate and protect critical assets (e.g., databases, servers, workstations). Each segment has its own access controls, firewalls, and intrusion detection systems, limiting lateral movement and reducing the blast radius of a breach. A hacker who compromised a user endpoint would have access only to that endpoint’s segment, not to sensitive data or critical infrastructure.

What Are the Disadvantages of Microsegmentation?

Implementing and managing microsegmentation can be complex, especially in large and dynamic networks. Moreover, routing complexity and traffic inspection at segment boundaries can impact performance if your network and security architecture aren’t able to sufficiently scale. To overcome these issues, it’s crucial to invest in the right tools, and the right vendor, for your workloads and their needs.

Why Do We Need Microsegmentation?

Organizations need microsegmentation to protect critical assets in today’s complex digital landscape. Isolated microsegments in a broader network and security infrastructure allow for granular control over communication between network segments, helping to limit lateral movement, reduce the attack surface, and keep breaches contained. With the proliferation of remote work, IoT, and the cloud, microsegmentation offers control and stronger security posture where traditional perimeter-based security falls short.

Who Needs to Segment Networks or Environments?

Microsegmentation is especially important for organizations that deal with sensitive data or operate critical infrastructure, or are subject to regulations like HIPAA and GDPR—including healthcare, finance, government, e-commerce, and many others—but organizations of any size, in any industry, can benefit. Microsegmentation helps them can strengthen security, reinforce data integrity, and minimize the blast radius of breaches.

Will Microsegmentation Reduce Costs?

Microsegmentation can help organizations reduce both capex and opex. By making your infrastructure more secure, it helps prevent data breaches and downtime, ultimately saving on potential financial losses associated with security incidents. Moreover, it can streamline network management, reduce the need for extensive hardware investments, and lower administrative overhead, resulting in operational cost savings.

Why Is Getting Microsegmentation Right Key to Zero Trust?

Effective microsegmentation lets you enforce granular least-privileged access—a key component of a zero trust approach—limiting the potential for lateral movement of threats and reduces the overall attack surface. Because each connection must be verified before it’s allowed, it’s far more difficult for attackers to escalate privileges. This approach aligns with zero trust, strengthening security in a way traditional “assumed trust” perimeter defenses simply aren’t built to do.

What's the Difference Between Firewalls and Microsegmentation?

At the highest level, firewalls are a perimeter security technology, while microsegmentation is an internal security strategy. Firewalls focus on controlling traffic going into or out of a network. Microsegmentation divides the network into isolated segments and enforces granular security policies, often at the individual workload or device level. Microsegmentation controls traffic between these segments, limiting lateral movement and providing fine-grained control over access to resources, especially in complex, cloud-centric environments.