Ressourcen > Sicherheit – Glossar > Was ist Mikrosegmentierung

Was ist Mikrosegmentierung?

Was ist Mikrosegmentierung?

Ursprünglich wurde Mikrosegmentierung eingesetzt, um den Traffic zwischen Servern (Server-zu-Server) innerhalb eines Netzwerksegments zu moderieren. Mittlerweile umfasst sie auch den Traffic zwischen Segmenten, ermöglicht also die Kommunikation zwischen Server A und Server B bzw. Anwendung A und Host B. Voraussetzung ist, dass die Identität der Ressource, von der die Anfrage ausgeht (Server/Anwendung/Host/User), den jeweils konfigurierten Berechtigungskriterien entspricht. 

Richtlinien und Berechtigungen für die Mikrosegmentierung können basierend auf der Ressourcen-Identität erstellt werden. Dadurch sind sie unabhängig von der zugrunde liegenden Infrastruktur – anders als bei der Netzwerksegmentierung, die auf Netzwerk-IP-Adressen basiert. Daher eignet sich Mikrosegmentierung ideal zur Erstellung intelligenter Gruppierungen von Workloads anhand der Merkmale der einzelnen Workloads, die innerhalb des Rechenzentrums kommunizieren. Als unverzichtbarer Bestandteil des ZTNA-Frameworks (Zero Trust Network Access) ist die Mikrosegmentierung unabhängig von den dynamischen Veränderungen bzw. den betriebswirtschaftlichen und technischen Anforderungen, denen Netzwerke unterliegen. Deswegen empfiehlt sie sich als robustere und zuverlässigere Alternative zu herkömmlichen Netzwerksicherheitslösungen. Außerdem vereinfacht Mikrosegmentierung die Verwaltung erheblich. Zum Schutz eines Segments sind nur noch wenige identitätsbasierte Richtlinien – statt Hunderte von adressbasierten Regeln wie bei herkömmlichen Lösungen – erforderlich.
 

Warum Mikrosegmentierung?

Herkömmliche netzwerkbasierte Lösungen für die Mikrosegmentierung basieren auf Firewalls, die Netzwerkadressen zur Durchsetzung von Regeln verwenden. Diese Abhängigkeit von Netzwerkadressen ist insofern problematisch, als Netzwerke ständigen Änderungen unterliegen. Entsprechend müssen auch die Richtlinien ständig aktualisiert werden, wenn sich Anwendungen und Geräte verändern. Die ständigen Aktualisierungen stellen schon bei lokaler Bereitstellung im Rechenzentrum eine Herausforderung dar. Noch komplizierter wird es in Cloud-Umgebungen und Infrastrukturen ohne statische IP-Adressen.

Mit netzwerkadressbasierten Segmentierungsansätzen lässt sich nicht feststellen, welche Entitäten im Einzelnen miteinander kommunizieren (z. B. die Identität der kommunizierenden Software). Stattdessen geben sie nur Auskunft über die Kommunikationswege, also z. B. darüber, von welcher IP-Adresse bzw. welchem Port oder Protokoll die Anfrage ausging. Kommunikationen über als „sicher“ eingestufte Verbindungen werden zugelassen, obwohl die IT- und Sicherheitsteams nicht genau wissen, von welcher Entität die Kommunikation ausgeht. Sobald sich eine Entität innerhalb einer „sicheren Zone“ im Netzwerk befindet, gilt sie als vertrauenswürdig. Dieses vertrauensbasierte Modell kann jedoch zu Sicherheitslücken führen – um dies zu verhindern, wurde der Ansatz der Mikrosegmentierung entwickelt.

Durch Mikrosegmentierung können sichere Zonen geschaffen werden, die zur Isolierung und individuellen Sicherung von Workloads dienen. So werden Unternehmen durch eine granulare Partitionierung des Traffics besser vor Angriffen geschützt.

Mikrosegmentierung ermöglicht die Einrichtung unterschiedlicher Sicherheitseinstellungen für verschiedene Traffic-Typen durch Erstellen von Richtlinien, die die Kommunikation mit Netzwerken und Anwendungen ausschließlich auf ausdrücklich berechtigte Workloads beschränkt. So könnte ein Unternehmen, das dieses Zero-Trust-Modell anwendet, beispielsweise eine Richtlinie erstellen, der zufolge medizinische Geräte nur mit anderen medizinischen Geräten kommunizieren dürfen. Bei Verlagerung von Geräten oder Workloads werden die Sicherheitsrichtlinien und -attribute entsprechend mit verlagert.

Durch Durchsetzen von Segmentierungsregeln bis hinunter zur Workload- oder Anwendungsebene kann die IT die Angriffsfläche verkleinern und damit das Risiko der lateralen Verbreitung von Bedrohungen von einer infizierten Workload oder Anwendung zu einer anderen verringern.

 

Mikrosegmentierung ist nicht gleich Netzwerksegmentierung

Die Begriffe Netzwerksegmentierung und Mikrosegmentierung werden häufig als Synonyme verwendet. Tatsächlich beschreiben sie zwei grundlegend verschiedene Ansätze. Netzwerksegmentierung ist eine effektive Maßnahme zur Kontrolle des ein- und ausgehenden Traffics. Dabei wird eine Entität, also z. B. ein User, im Allgemeinen als vertrauenswürdig eingestuft, sobald er sich in einer bestimmten Zone des Netzwerks befindet. Mikrosegmentierung hingegen dient zur Kontrolle des lateralen Traffics innerhalb des Rechenzentrums bzw. Cloud-Netzwerks, der sich von Server zu Server, Anwendung zu Server usw. bewegt. Einfach ausgedrückt: Die Netzwerksegmentierung bildet die Außenmauern der Festung. Mikrosegmentierung entspricht den Wachen, die an den Türen im Inneren postiert sind.

 

Kernvorteile der identitätsbasierte Mikrosegmentierung

  • Geringerer Verwaltungsaufwand durch weniger Richtlinien
  • Zentrale Richtlinienverwaltung für sämtliche Netzwerke
  • Automatische Anpassung von Richtlinien unabhängig von Infrastrukturänderungen
  • Lückenloser Schutz für alle Ressource in der Cloud, Containern, lokalen Rechenzentren und hybriden Cloud-Umgebungen
Einige Anbieter haben sich ausschließlich auf Mikrosegmentierung spezialisiert. In allen Fällen sollte die Lösung die wachsende Nachfrage nach identitätsbasierter Mikrosegmentierung (präzisere, softwaredefinierte Segmentierung, auch als Zero-Trust-Netzwerksegmentierung bezeichnet) des lateralen Traffics in Rechenzentren unterstützen.
Neil MacDonald und Tom Croll, Gartner Market Guide Cloud Workload Protection, April 2020

Mikrosegmentierung als wirtschaftlicher Erfolgsfaktor

So werden wichtige Geschäftsinitiativen unterstützt:

  • Durch Mikrosegmentierung lassen sich die Sicherheitsrisiken erheblich reduzieren, die mit herkömmlichen, sogenannten Legacy-Ansätzen verbunden sind. Jede Bedrohung der Vertraulichkeit, Integrität oder Verfügbarkeit von Daten oder Systemen stellt ein Geschäftsrisiko dar, das weitestmöglich abgeschwächt werden muss. Bei der Mikrosegmentierung werden anwendungsspezifische Richtlinien erstellt, die auf der Identität der jeweiligen Anwendungen und Services basieren. Potenzielle Sicherheitsvorfälle bleiben dadurch auf das betroffene Asset beschränkt und infizieren nicht das gesamte Netzwerk. Einige Services haben darüber hinaus die Kapazität zur automatischen Erkennung aller kommunizierenden Anwendungen und können entsprechende Zero-Trust-Richtlinien empfehlen und mit einem Klick anwenden.

Lückenloser Schutz

  • Sicherheitstools, die auf IP-Adressen, Ports und Protokollen basieren, sind für den Schutz von Cloud-Umgebungen ungeeignet. Die dynamische Natur der Cloud macht diese statischen Sicherheits- und Zugriffskontrollen unzuverlässig, da sich die zugrunde liegende Infrastruktur jederzeit – in manchen Fällen mehrmals am Tag – ändern kann. Selbst in einer lokal im Rechenzentrum bereitgestellten Umgebung bieten herkömmliche Netzwerk-Sicherheitskontrollen weniger effektiven Schutz, da Angreifer sie relativ einfach spoofen können.

     

  • Anstelle von statischen Kontrollen können kryptografische Fingerabdrücke für alle Workloads erstellt werden. So lässt sich ein konsistenter Schutz für Workloads gewährleisten, die im internen Rechenzentrum oder auch in der Cloud betrieben werden. Durch Fingerprinting wird die Sicherung der Workloads von IP-Adresskonstrukten entkoppelt, um die mit IP-basierten Kontrollen verbundenen Probleme zu vermeiden. Sicherheitsbeauftragte können sich darauf verlassen, dass nur Software kommunizieren darf, die durch Fingerprinting verifiziert wurde – unabhängig von der Netzwerkadresse.

Kontinuierliche Risikobewertung

  • Mikrosegmentierung ermöglicht die automatische Messung der sichtbaren Angriffsfläche im Netzwerk. Dadurch erhält das Unternehmen einen exakten Überblick darüber, wie viele potenzielle Kommunikationspfade zwischen Anwendungen genutzt werden, und kann entsprechend das Risiko quantifizieren. Anhand von maschinellen Lernalgorithmen werden Empfehlungen für Zero-Trust-Richtlinien erstellt, die die Wahrscheinlichkeit von Datenexpositionen reduzieren.

     

  • Durch Mikrosegmentierung kann der Zugriff für Anwendungen, Hosts und Prozesse innerhalb des Netzwerks nach dem Prinzip der minimalen Rechtevergabe eingeschränkt werden. Einige Services überprüfen auch bei jeder Kommunikationsanfrage die Identität der kommunizierenden Software. Dieser softwarezentrierte Ansatz mindert Risiken, unterstützt die Einhaltung gesetzlicher Vorschriften und liefert visualisierte Risikoberichte, die eine einfache Filterung nach Anwendung oder Host ermöglichen.

Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?

Blog lesen
Blog lesen

Passgenaue Zero-Trust-Segmentierung

Blog lesen
Blog zur Mikrosegmentierung

Anwendungsidentität: Was ist das und welche Rolle spielt sie?

Blog lesen

Zero-Trust-Segmentierung in der Cloud und im Rechenzentrum

Datenblatt lesen
Zero-Trust-Segmentierung in der Cloud und im Rechenzentrum