Was ist Mikrosegmentierung? Mikrosegmentierung ist eine Cybersicherheitstechnik, die Organisationen mehr Kontrolle über den Traffic zwischen einzelnen Ressourcen innerhalb des Netzwerks (z. B. Traffic zwischen Servern oder East-West-Traffic) gibt. Durch eindeutige Identifizierung aller Ressourcen (z. B. Server, Anwendungen, Hosts, User) können hochgradig granulare Berechtigungen konfiguriert werden. Durch konsequente Mikrosegmentierung gemäß Zero-Trust-Grundsätzen lassen sich Sicherheitsverletzungen vermeiden, indem die laterale Ausbreitung von Bedrohungen und Infizierung von Workloads verhindert wird.

Mikrosegmentierung und Netzwerksegmentierung im Vergleich

Netzwerksegmentierung und Mikrosegmentierung werden häufig als Synonyme verwendet. Tatsächlich handelt es sich um zwei komplett unterschiedliche Ansätze.

Netzwerksegmentierung ist eine effektive Maßnahme zur Kontrolle des ein- und ausgehenden Traffics. Dabei wird eine Entität, also z. B. ein User, als vertrauenswürdig eingestuft, sobald er sich in einer bestimmten Zone des Netzwerks befindet.

Mikrosegmentierung hingegen dient zur Kontrolle des lateralen Traffics innerhalb des Rechenzentrums bzw. Cloud-Netzwerks, der sich von Server zu Server, Anwendung zu Server usw. bewegt. Einfach ausgedrückt: Die Netzwerksegmentierung bildet die Außenmauern der Festung. Mikrosegmentierung entspricht den Wachen, die an den Türen im Inneren postiert sind.

Zuverlässiger Schutz vor Cyberangriffen durch granulare Partitionierung des Netzwerk-Traffics

Mit Mikrosegmentierungslösungen können sichere Zonen geschaffen werden, die zur Isolierung und individuellen Sicherung von Workloads dienen. Der Begriff „Mikro“-Segmentierung bezieht sich auf die granulare Partitionierung des Netzwerk-Traffics zur zuverlässigen Abwehr von Cyberangriffen.

Ein Ansatz, der Richtlinien für die Mikrosegmentierung beinhaltet, ermöglicht IT- und Sicherheitsbeauftragten, differenzierte Einstellungen für verschiedene Traffic-Typen zu konfigurieren. Durch Erstellen entsprechender Richtlinien lässt sich die Kommunikation mit Netzwerken und Anwendungen ausschließlich auf ausdrücklich berechtigte Workloads beschränken.

Durch Durchsetzen von Segmentierungsregeln bis hinunter zur Workload- oder Anwendungsebene kann die IT die Angriffsfläche verkleinern und damit das Risiko der lateralen Verbreitung von Bedrohungen von einer infizierten Workload oder Anwendung zu einer anderen verringern.

Nachteile von Legacy-Ansätzen

Herkömmliche Lösungen für die Netzwerksegmentierung basieren auf Firewalls, die Regeln unter Berücksichtigung von Netzwerkadressen durchsetzen. Diese Abhängigkeit von Netzwerkadressen ist insofern problematisch, als Netzwerke ständigen Änderungen unterliegen. Entsprechend müssen auch die Richtlinien ständig aktualisiert werden, wenn sich Anwendungen und Geräte verändern. Die ständigen Aktualisierungen stellen schon bei lokaler Bereitstellung im Rechenzentrum eine Herausforderung dar. Noch komplizierter wird es in Cloud-Umgebungen und Infrastrukturen ohne statische IP-Adressen.

Mit Segmentierungsansätzen auf Basis von Netzwerkadressen lässt sich außerdem nicht feststellen, welche Entitäten im Einzelnen miteinander kommunizieren (z. B. die Identität der kommunizierenden Software). Stattdessen geben sie nur Auskunft über die Kommunikationswege, also z. B. darüber, von welcher IP-Adresse bzw. welchem Port oder Protokoll die Anfrage ausging. Entsprechend werden Kommunikationen über als „sicher“ eingestufte Verbindungen zugelassen, obwohl die IT- und Sicherheitsteams nicht genau wissen, von welcher Entität die Kommunikation ausgeht.

Sobald sich eine Entität innerhalb einer „sicheren Zone“ im Netzwerk befindet, gilt sie als vertrauenswürdig. Das kann zu Sicherheitsverletzungen bzw. zur lateralen Ausbreitung von Bedrohungen in flachen Netzwerken führen.

Was das Besondere an Mikrosegmentierung ist

Mikrosegmentierung ermöglicht als einzige Methode die Durchsetzung von Richtlinien und die Zuweisung von Zugriffsberechtigungen basierend auf der Identität der jeweiligen Ressource. Daher eignet sie sich ideal zur Erstellung intelligenter Gruppierungen von Workloads anhand der Merkmale der einzelnen Workloads, die innerhalb des Rechenzentrums kommunizieren.

Als Kernbestandteil des ZTNA-Frameworks (Zero Trust Network Access) ist sie zudem unabhängig von den dynamischen Veränderungen bzw. den betriebswirtschaftlichen und technischen Anforderungen, denen Netzwerke unterliegen. Deswegen empfiehlt sie sich als robustere und zuverlässigere Alternative zu herkömmlichen Netzwerksicherheitslösungen.

Darüber hinaus sorgt Mikrosegmentierung für eine erhebliche Vereinfachung der Verwaltung. Zum Schutz eines Segments sind nur noch wenige identitätsbasierte Richtlinien erforderlich – statt Hunderter adressbasierter Firewall-Richtlinien wie bei herkömmlichen Lösungen.

Mikrosegmentierung: Funktionen

Mikrosegmentierung bietet eine ganze Reihe von technischen Vorteilen, insbesondere:

• Zentrale Sicherheitskontrollen und Richtlinienverwaltung für sämtliche Netzwerke: Mikrosegmentierung dient zur Kontrolle des lateralen Traffics innerhalb des Netzwerks. Entsprechend werden Richtlinien konsistent auf den gesamten Traffic angewandt, der das jeweilige Segment durchläuft. Hochgradig granulare Richtlinien ermöglichen zudem sehr viel mehr Transparenz im Vergleich zur Netzwerksegmentierung.
• Automatische Anpassung der Segmentierungsrichtlinien: Richtlinien werden auf Workloads (nicht auf Hardware) angewandt und bleiben daher auch bei Änderungen der Infrastruktur intakt. Dadurch können Kontrollmaßnahmen ohne Ausfallzeiten in beliebig vielen Umgebungen durchgesetzt werden.
• Lückenloser Schutz: Sicherheitsrichtlinien schützen Ressourcen in der Cloud, in Containern, lokalen Rechenzentren und hybriden Cloud-Umgebungen. Durch Bindung der Richtlinien an spezifische Workloads statt an Netzwerksegmente werden sämtliche potenziellen Sicherheitslücken geschlossen.

Mikrosegmentierung: Geschäftsnutzen

Proaktive Netzwerk- und IT-Sicherheit

Bei der Mikrosegmentierung werden Sicherheitsprobleme der traditionellen Segmentierung beseitigt. Es werden anwendungsbezogene Richtlinien erstellt, die alle Anwendungen und Services begleiten. Potenzielle Sicherheitsverletzungen bleiben dadurch auf die betroffenen Assets begrenzt, anstatt das gesamte Netzwerk zu infizieren. Einige Services zur Mikrosegmentierung haben darüber hinaus die Kapazität zur automatischen Erkennung aller kommunizierenden Anwendungen und Empfehlung entsprechender Zero-Trust-Richtlinien, die sich dann mit einem Klick anwenden lassen.

Robuster Schutz für alle Workloads

Anstelle von statischen Kontrollen unter Berücksichtigung von IP-Adressen, Ports und Protokollen können kryptografische Fingerabdrücke für alle Workloads erstellt werden. So lässt sich ein konsistenter Schutz für Workloads gewährleisten, die im internen Rechenzentrum oder auch in der Cloud betrieben werden. Durch Fingerabdrücke wird die Sicherung der Workloads von IP-Adresskonstrukten entkoppelt, um die mit IP-basierten Kontrollen verbundenen Probleme zu vermeiden.

Kontinuierliche Risikobewertung

Mikrosegmentierung ermöglicht die Quantifizierung von Risiken durch automatische Messung der sichtbaren Angriffsfläche im Netzwerk. Dadurch erhält das Unternehmen einen exakten Überblick darüber, wie viele potenzielle Kommunikationspfade zwischen Anwendungen genutzt werden. Es sind sogar Services erhältlich, die bei jeder einzelnen Verbindungsanforderung die Identität der betreffenden Entität verifizieren. Dadurch lassen sich Risiken weiter verringern, während gleichzeitig die Erfüllung aufsichtsrechtlicher Compliance-Pflichten unterstützt wird und datengestützte Erkenntnisse für Risikoberichte mit Visualisierung bereitgestellt werden.

Zero-Trust-Segmentierung

Wie bereits erwähnt, basieren Zero-Trust-Sicherheitsmodelle auf den Grundsätzen der Mikrosegmentierung. Richtlinien werden nicht auf Netzwerksegmente, sondern auf einzelne Workloads angewandt, sodass der Zugriff für jede Ressource an jedem beliebigen Standort granular gesteuert werden kann, wenn anhand der vorliegenden Kontextdaten kein zuverlässiger Nachweis der Vertrauenswürdigkeit möglich ist.

Mit einem Zero-Trust-Modell – insbesondere einem Cloud-basierten Zero-Trust-Modell – könnte ein Unternehmen beispielsweise eine Richtlinie erstellen, der zufolge medizinische Geräte nur mit anderen medizinischen Geräten kommunizieren dürfen. Bei Verlagerung von Endgeräten oder Workloads werden die Sicherheitsrichtlinien und -attribute ebenfalls entsprechend verlagert.

Viele Anbieter von Cloud-Sicherheitslösungen versprechen Cloud-basierten Zero-Trust-Schutz, ohne dieses Versprechen erfüllen zu können. Nur ein Anbieter stellt ganzheitliche Zero-Trust-Sicherheit in der Cloud bereit, die Netzwerke, Anwendungen und vertrauliche Daten zuverlässig vor zunehmend komplexen Cyberbedrohungen schützt.

Die Zscaler-Lösung zum Schutz vor Ransomware

Zscaler Workload Segmentation (ZWS) wurde von Grund auf entwickelt, um die Mikrosegmentierung in allen Cloud- und Rechenzentrumsumgebungen zu automatisieren und zu vereinfachen. Mithilfe leicht verständlicher identitätsbasierter Richtlinien können Organisationen mit einem einzigen Klick das Sicherheitsniveau erhöhen und mit ZWS Risiken aufdecken sowie zuverlässigen Schutz auf Workloads anwenden, ohne dass Änderungen am Netzwerk oder den Anwendungen erforderlich sind.

Zscaler Workload Segmentation beruht auf einer identitätsbasierten Technologie und gewährleistet lückenlosen Schutz mit Richtlinien, die sich automatisch an Änderungen der Umgebung anpassen. Dadurch ist es so einfach wie noch nie, die Netzwerksangriffsfläche zu minimieren und effektiven Zero-Trust-Schutz zu gewährleisten.