Zpedia 

/ Was ist Mikrosegmentierung?

Was ist Mikrosegmentierung?

Mikrosegmentierung ist eine Cybersicherheitstechnik, die Organisationen mehr Kontrolle über den Traffic zwischen einzelnen Ressourcen innerhalb des Netzwerks (z. B. Traffic zwischen Servern oder East-West-Traffic) gibt. Durch die eindeutige Identifizierung jeder Ressource (z. B. Server, Anwendung, Host, User) können Berechtigungen konfiguriert werden, die eine präzise Kontrolle des Traffics gewährleisten. Durch konsequente Mikrosegmentierung gemäß Zero-Trust-Grundsätzen lassen sich Sicherheitsverletzungen vermeiden, indem die laterale Ausbreitung von Bedrohungen und Infizierung von Workloads verhindert wird.
Siehe „Microsegmentation 101“
Zero TrustCloud-Sicherheit
  1. Deshalb ist ZTNA wichtig
  2. Mikrosegmentierung und Netzwerksegmentierung im Vergleich
  3. Funktionsweise
  4. Herkömmliche Ansätze
  5. Merkmale und Vorteile
  6. Schutz durch Zscaler
  7. Empfohlene Ressourcen
  8. FAQs
  9. Ähnliche Themen

Was das Besondere an Mikrosegmentierung ist

Mikrosegmentierung ermöglicht die Durchsetzung von Richtlinien und die Zuweisung von Zugriffsberechtigungen basierend auf der Identität der jeweiligen Ressource. Daher eignet sie sich ideal zur Erstellung intelligenter Gruppierungen von Workloads anhand der Merkmale der einzelnen Workloads, die innerhalb des Rechenzentrums kommunizieren. In Kombination mit Zugriffskontrollen, die auf dem Prinzip der minimalen Rechtevergabe basieren, schützt Mikrosegmentierung kritische Unternehmensanwendungen und -daten besser und stärkt gleichzeitig den allgemeinen Sicherheitsstatus erheblich.

So ist die Mikrosegmentierung unabhängig von den dynamischen Veränderungen bzw. den betriebswirtschaftlichen und technischen Anforderungen, denen Netzwerke unterliegen, und empfiehlt sich daher als robustere und zuverlässigere Alternative zu herkömmlichen Netzwerksicherheitslösungen. Zudem ist sie ein grundlegender Bestandteil des ZTNA-Frameworks (Zero Trust Network Access), das nachweislich die Zugriffskontrolle vereinfacht.

Darüber hinaus sorgt Mikrosegmentierung für eine erhebliche Vereinfachung der Verwaltung. Zum Schutz eines Segments sind nur noch wenige identitätsbasierte Richtlinien erforderlich – statt Hunderter adressbasierter Firewall-Richtlinien wie bei herkömmlichen Lösungen.

Mikrosegmentierung und Netzwerksegmentierung im Vergleich

Netzwerksegmentierung und Mikrosegmentierung werden häufig als Synonyme verwendet. Tatsächlich handelt es sich um zwei komplett unterschiedliche Ansätze.

Die Netzwerksegmentierung eignet sich am besten für North-South-Traffic (eingehender und ausgehender Netzwerktraffic). Unternehmen erstellen Netzwerksegmente in der Regel über VLANs oder Firewalls, wobei die Segmente (Zonen) auf geografischen Regionen oder bestehenden Netzwerkebenen — Daten, Anwendungen oder Netzwerk — basieren. Dabei wird ein User bzw. eine andere Entität als vertrauenswürdig eingestuft, sobald er sich in einer bestimmten Zone des Netzwerks befindet.

Die Mikrosegmentierung eignet sich optimal für East-West-Traffic (über das Rechenzentrum oder das Cloud-Netzwerk — Server zu Server, Anwendung zu Server usw.). Wenn man das am Modell einer mittelalterlichen Festung veranschaulicht, entspricht Netzwerksegmentierung quasi dem Schutz vor externen Feinden durch Außenmauern und Burggraben. Bei der Mikrosegmentierung werden Wachen an den Türen der einzelnen Gemächer im Inneren postiert.

Zuverlässiger Schutz vor Cyberangriffen durch granulare Partitionierung des Netzwerk-Traffics

Mit Mikrosegmentierungslösungen können sichere Zonen geschaffen werden, die zur Isolierung und individuellen Absicherung von Workloads oder virtuellen Maschinen (VMs) dienen. Der Begriff Mikrosegmentierung bezieht sich auf die granulare Partitionierung des Netzwerktraffics zur zuverlässigen Abwehr von Cyberangriffen.

In unserer stark vernetzten Welt ist die Mikrosegmentierung ein zentraler Bestandteil jeder effektiven modernen Sicherheitsstrategie geworden. Ein Ansatz, der Richtlinien für die Mikrosegmentierung beinhaltet, ermöglicht IT- und Sicherheitsbeauftragten, differenzierte Einstellungen für verschiedene Traffictypen zu konfigurieren. Durch Erstellen entsprechender Richtlinien lässt sich die Kommunikation mit Netzwerken und Anwendungen ausschließlich auf ausdrücklich berechtigte Workloads beschränken.

Durch Durchsetzen von Segmentierungsregeln bis hinunter zur Workload- oder Anwendungsebene kann die IT die Angriffsfläche verkleinern und damit das Risiko der lateralen Ausbreitung von Bedrohungen von einer infizierten Workload oder Anwendung zu einer anderen verringern.

Anwendungsfälle der Mikrosegmentierung

Mikrosegmentierung ist für den Erfolg mehrerer gängiger Anwendungsfälle in Unternehmen von entscheidender Bedeutung, darunter:

  • Cloud-Migration: Mikrosegmentierung kann die Einführung der Cloud beschleunigen und vereinfachen, indem sie eine sichere direkte Konnektivität für Cloud-Workloads ermöglicht und eine sichere Workload-Kommunikation über eine Multicloud-Infrastruktur gewährleistet.
  • Fusionen und Übernahmen: Mikrosegmentierung beschleunigt die Integration nach Fusionen und Übernahmen, indem sie netzwerkübergreifenden Zugriff auf Anwendungen ermöglicht, ohne Netzwerke zu verbinden. Administratoren können einen universellen Sicherheitsstatus anwenden, um Workloads über mehrere VPCs, Regionen und öffentliche Clouds hinweg zu schützen.
  • Virtuelle Desktop-Infrastruktur: Mikrosegmentierung trägt zur Sicherheit der VDI bei, die über eine Cloud-Infrastruktur bereitgestellt wird, indem sie die Durchsetzung präziser Zugriffskontrollrichtlinien für explizit erlaubte Standorte und private Anwendungen gewährleistet.
  • Workload-Segmentierung: Durch Mikrosegmentierung erhalten Unternehmen granulare Kontrolle über die Konnektivität von Cloud-Workloads, die sich in verschiedenen VPCs/VNets, Regionen oder öffentlichen Clouds befinden.

Mikrosegmentierung geht über die herkömmliche Segmentierung hinaus

Mikrosegmentierung bietet einen dynamischen, kontextbewussten Ansatz für die Netzwerksicherheit. Während herkömmliche Netzwerksegmentierung auf statischen, auf IP-Adressen basierenden Firewall-Regeln beruht, konzentriert sich Mikrosegmentierung auf die Anwendungsebene, die Identität der User und Geräteattribute. Da Mikrosegmentierungsrichtlinien nicht an bestimmte IP-Adressen gebunden sind, lassen sie sich besser an moderne Netzwerke anpassen, sei es in On-Premise-Rechenzentren oder Multicloud-Umgebungen.

Bei herkömmlicher Segmentierung müssen ständig Regeln aktualisiert werden, wohingegen sich Mikrosegmentierung dynamisch an Änderungen der Netzwerkkonfiguration, mobile Geräte und User sowie sich stetig weiterentwickelnde Bedrohungen anpassen kann. Durch die Berücksichtigung von Faktoren wie Userverhalten und Anwendungskontext bietet Mikrosegmentierung ein robusteres, flexibleres und effektiveres Sicherheitsframework für moderne IT-Umgebungen.

Nachteile von Legacy-Ansätzen

Auf Netzwerkadressen basierende Segmentierungsansätze können nicht erkennen, welche Entitäten, beispielsweise welche spezifische Software, kommunizieren. Sie können Ihnen nur Aufschluss über die Kommunikationsweise geben, etwa über die IP-Adresse, den Port oder das Protokoll, von dem die „Anfrage“ stammt. Entsprechend werden Kommunikationen über als „sicher“ eingestufte Verbindungen zugelassen, obwohl die IT- und Sicherheitsteams nicht genau wissen, von welcher Entität die Kommunikation ausgeht.

Sobald sich eine Entität innerhalb einer „sicheren Zone“ im Netzwerk befindet, gilt sie als vertrauenswürdig. Das kann zu Sicherheitsverletzungen bzw. zur lateralen Ausbreitung von Bedrohungen in flachen Netzwerken führen.

Merkmale und Vorteile der Mikrosegmentierung

Mikrosegmentierung bietet eine ganze Reihe von Funktionen und technischen Vorteilen, insbesondere:

  • Zentrale Sicherheitskontrollen und Richtlinienverwaltung für sämtliche Netzwerke: Mikrosegmentierung dient zur Kontrolle des lateralen Traffics innerhalb des Netzwerks. Entsprechend werden Richtlinien konsistent auf den gesamten Traffic angewandt, der das jeweilige Segment durchläuft. Hochgradig granulare Richtlinien ermöglichen zudem sehr viel mehr Transparenz im Vergleich zur Netzwerksegmentierung.
  • Automatische Anpassung der Segmentierungsrichtlinien: Richtlinien werden auf Workloads (nicht auf Hardware) angewandt und bleiben daher auch bei Änderungen der Infrastruktur intakt. Dadurch können Kontrollmaßnahmen ohne Ausfallzeiten in beliebig vielen Umgebungen durchgesetzt werden.
  • Lückenloser Schutz: Sicherheitsrichtlinien erstrecken sich über private und öffentliche Clouds, Container, On-Premise-Rechenzentren, Hybrid-Cloud-Umgebungen und Betriebssysteme, da sich die Richtlinien auf die Workload und nicht auf das Netzwerksegment beziehen.
  • Vereinfachte Prüfungen: Da durch die Mikrosegmentierung jede Ressource eindeutig identifiziert werden kann, bietet sie eine deutlich bessere Transparenz als andere Ansätze, sodass behördliche Prüfungen viel schneller und einfacher durchgeführt werden können.

Zitat

Einige Anbieter haben sich ausschließlich auf Mikrosegmentierung spezialisiert. In allen Fällen sollte die Lösung die wachsende Nachfrage nach identitätsbasierter Mikrosegmentierung (granularere, softwaredefinierte Segmentierung, auch als Zero-Trust-Netzwerksegmentierung bezeichnet) des lateralen Traffics in Rechenzentren unterstützen.

Neil MacDonald und Tom Croll, Gartner Market Guide to Cloud Workload Protection, April 2020

Mikrosegmentierung: Geschäftsnutzen

Proaktive Netzwerk- und IT-Sicherheit

Bei der Mikrosegmentierung werden Sicherheitsprobleme der herkömmlichen Segmentierung beseitigt. Es werden anwendungsbezogene Richtlinien erstellt, die alle Anwendungen und Services begleiten. Potenzielle Sicherheitsverletzungen bleiben dadurch auf die betroffenen Ressourcen begrenzt, anstatt das gesamte Netzwerk zu infizieren. Die effektivsten Services zur Mikrosegmentierung haben darüber hinaus Funktionen zur automatischen Erkennung aller kommunizierenden Anwendungen und Empfehlung entsprechender Zero-Trust-Richtlinien, die sich dann mit einem Klick anwenden lassen.

Robuster Schutz für alle Workloads

Anstelle von statischen Kontrollen unter Berücksichtigung von IP-Adressen, Ports und Protokollen können kryptografische Fingerabdrücke für alle Workloads erstellt werden. So lässt sich ein konsistenter Schutz für Workloads gewährleisten, die im internen Rechenzentrum oder auch in der Cloud betrieben werden. Durch Fingerabdrücke wird die Sicherung der Workloads von IP-Adresskonstrukten entkoppelt, um die mit IP-basierten Kontrollen verbundenen Probleme zu vermeiden.

Kontinuierliche Risikobewertung

Mikrosegmentierung ermöglicht die Quantifizierung von Risiken durch automatische Messung der sichtbaren Angriffsfläche im Netzwerk. Dadurch erhält das Unternehmen einen exakten Überblick darüber, wie viele potenzielle Kommunikationspfade zwischen Anwendungen genutzt werden. Es sind sogar Services erhältlich, die bei jeder einzelnen Verbindungsanforderung die Identität der betreffenden Entität verifizieren. Dadurch lassen sich Risiken weiter verringern, während gleichzeitig die Erfüllung aufsichtsrechtlicher Compliance-Pflichten unterstützt wird und datengestützte Erkenntnisse für Risikoberichte mit Visualisierung bereitgestellt werden.

Best Practices für eine erfolgreiche Mikrosegmentierung

Wie lassen sich diese Vorteile umsetzen? Die Einzelheiten werden je nach Branche oder gesetzlichen Vorschriften unterschiedlich aussehen, aber ein paar allgemeine Best Practices sollten Teil jedes erfolgreichen Mikrosegmentierungsplans sein:

  • Erstellen Sie detaillierte, granulare Richtlinien für den Zugriff mit minimaler Rechtevergabe, die sich auf die Anwendungsebene konzentrieren und auf Useridentitäten sowie Geräteattributen basieren und den Zugriff auf Ressourcen auf das Maß beschränken, das die jeweiligen User oder Entitäten für ihre Arbeit benötigen.
  • Integrieren Sie IAM-Systeme (Identity and Access Management), um sicherzustellen, dass Ihre Richtlinien mit den Rollen und Berechtigungen der User übereinstimmen.
  • Implementieren Sie eine kontinuierliche Überwachung und Prüfung des Netzwerk-Traffics und der Richtliniendurchsetzung in Echtzeit, um Anomalien oder Richtlinienverstöße zu erkennen.
  • Nutzen Sie automatisierte Tools, die Richtlinien bereitstellen und anpassen, wenn sich Ihre Netzwerkkonfiguration oder Ihr Sicherheitsstatus ändert.
  • Führen Sie regelmäßige Sicherheitsüberprüfungen und Penetrationstests durch. Dokumentieren Sie diese gründlich, um sicherzustellen, dass Ihre Richtlinien jederzeit wirksam sind, und um das Reporting über die Einhaltung von Richtlinien und die Fehlerbehebung zu unterstützen.

Zero-Trust-Segmentierung

Ein Zero-Trust-Sicherheitsmodell basiert auf Prinzipien der Mikrosegmentierung.  Richtlinien werden nicht auf Netzwerksegmente, sondern auf einzelne Workloads angewandt, sodass der Zugriff für jede Ressource an jedem beliebigen Standort granular gesteuert werden kann, wenn anhand der vorliegenden Kontextdaten kein zuverlässiger Nachweis der Vertrauenswürdigkeit möglich ist.

Mit einem Zero-Trust-Modell – insbesondere einem Cloud-basierten Zero-Trust-Modell – könnte ein Unternehmen beispielsweise eine Richtlinie erstellen, der zufolge medizinische Geräte nur mit anderen medizinischen Geräten kommunizieren dürfen. Bei Verlagerung von Endgeräten oder Workloads werden die Sicherheitsrichtlinien und -attribute ebenfalls entsprechend verlagert.

Viele Anbieter von Cloud-Sicherheitslösungen versprechen cloudbasierten Zero-Trust-Schutz, ohne dieses Versprechen erfüllen zu können. Nur ein Anbieter stellt ganzheitliche, cloudnative Zero-Trust-Sicherheit bereit, die Netzwerke, Anwendungen und vertrauliche Daten zuverlässig vor zunehmend komplexen Cyberbedrohungen schützt.

Vorteile der Zscaler-Lösung

Zscaler Workload Communications ist der zukunftsfähige Ansatz zur Absicherung Ihrer Cloud-Anwendungen und -Workloads. Mit sicherer Zero-Trust-Cloud-Konnektivität für Workloads können Sie die Angriffsfläche Ihres Netzwerks minimieren, die laterale Ausbreitung von Bedrohungen unterbinden, die Kompromittierung von Workloads verhindern und den Verlust sensibler Daten vermeiden.

Workload Communications nutzt die Plattform Zscaler Zero Trust Exchange™ zur Absicherung von Cloud-Workloads. Mit dieser Lösung kann Ihr Unternehmen bösartige Zugriffe mithilfe eines Sicherheitsansatzes auf Zero-Trust-Basis unterbinden, der sich auf Identität, Risikoprofile, Standort und Verhaltensanalysen stützt.

Durch die Bedrohungsabwehr mit umfassender SSL-Überprüfung wird Ihre Cybersicherheit zusätzlich gestärkt. Da der Cyberschutz über die Cloud bereitgestellt wird, lassen sich Sicherheitsrichtlinien einfach konfigurieren, verwalten und kontrollieren. Dadurch ist es so einfach wie noch nie, die Angriffsfläche Ihres Netzwerks zu minimieren und effektiven Zero-Trust-Schutz zu gewährleisten.

Empfohlene Ressourcen

Cloud-Konnektivität mit Zero Trust
Webseite besuchen
Zscaler Workload Communications
Zum Datenblatt
Zero-Trust-Mikrosegmentierung: Auf die Daten kommt es an
Zum Blogbeitrag
Zscaler Private Access
Seite aufrufen

01 / 02

Häufig gestellte Fragen