Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Learn More
Zpedia / Was ist Mikrosegmentierung?

Was ist Mikrosegmentierung?

Mikrosegmentierung ist eine Cybersicherheitstechnik, die Organisationen mehr Kontrolle über den Traffic zwischen einzelnen Ressourcen innerhalb des Netzwerks (z. B. Traffic zwischen Servern oder East-West-Traffic) gibt. Durch die eindeutige Identifizierung jeder Ressource (z. B. Server, Anwendung, Host, User) können Berechtigungen konfiguriert werden, die eine präzise Kontrolle des Traffics gewährleisten. Durch konsequente Mikrosegmentierung gemäß Zero-Trust-Grundsätzen lassen sich Sicherheitsverletzungen vermeiden, indem die laterale Ausbreitung von Bedrohungen und Infizierung von Workloads verhindert wird.

Siehe „Microsegmentation 101“

Was das Besondere an Mikrosegmentierung ist

Mikrosegmentierung ermöglicht die Durchsetzung von Richtlinien und die Zuweisung von Zugriffsberechtigungen basierend auf der Identität der jeweiligen Ressource. Daher eignet sie sich ideal zur Erstellung intelligenter Gruppierungen von Workloads anhand der Merkmale der einzelnen Workloads, die innerhalb des Rechenzentrums kommunizieren. In Kombination mit Zugriffskontrollen, die auf dem Prinzip der minimalen Rechtevergabe basieren, schützt Mikrosegmentierung kritische Unternehmensanwendungen und -daten besser und stärkt gleichzeitig den allgemeinen Sicherheitsstatus erheblich.

So ist die Mikrosegmentierung unabhängig von den dynamischen Veränderungen bzw. den betriebswirtschaftlichen und technischen Anforderungen, denen Netzwerke unterliegen, und empfiehlt sich daher als robustere und zuverlässigere Alternative zu herkömmlichen Netzwerksicherheitslösungen. Zudem ist sie ein grundlegender Bestandteil des ZTNA-Frameworks (Zero Trust Network Access), das nachweislich die Zugriffskontrolle vereinfacht.

Darüber hinaus sorgt Mikrosegmentierung für eine erhebliche Vereinfachung der Verwaltung. Zum Schutz eines Segments sind nur noch wenige identitätsbasierte Richtlinien erforderlich – statt Hunderter adressbasierter Firewall-Richtlinien wie bei herkömmlichen Lösungen.

Mikrosegmentierung und Netzwerksegmentierung im Vergleich

Netzwerksegmentierung und Mikrosegmentierung werden häufig als Synonyme verwendet. Tatsächlich handelt es sich um zwei komplett unterschiedliche Ansätze.

Die Netzwerksegmentierung eignet sich am besten für North-South-Traffic (eingehender und ausgehender Netzwerktraffic). Unternehmen erstellen Netzwerksegmente in der Regel über VLANs oder Firewalls, wobei die Segmente (Zonen) auf geografischen Regionen oder bestehenden Netzwerkebenen — Daten, Anwendungen oder Netzwerk — basieren. Dabei wird ein User bzw. eine andere Entität als vertrauenswürdig eingestuft, sobald er sich in einer bestimmten Zone des Netzwerks befindet.

Die Mikrosegmentierung eignet sich optimal für East-West-Traffic (über das Rechenzentrum oder das Cloud-Netzwerk — Server zu Server, Anwendung zu Server usw.). Wenn man das am Modell einer mittelalterlichen Festung veranschaulicht, entspricht Netzwerksegmentierung quasi dem Schutz vor externen Feinden durch Außenmauern und Burggraben. Bei der Mikrosegmentierung werden Wachen an den Türen der einzelnen Gemächer im Inneren postiert.

Zuverlässiger Schutz vor Cyberangriffen durch granulare Partitionierung des Netzwerk-Traffics

Mit Mikrosegmentierungslösungen können sichere Zonen geschaffen werden, die zur Isolierung und individuellen Absicherung von Workloads oder virtuellen Maschinen (VMs) dienen. Der Begriff Mikrosegmentierung bezieht sich auf die granulare Partitionierung des Netzwerktraffics zur zuverlässigen Abwehr von Cyberangriffen.

In unserer stark vernetzten Welt ist die Mikrosegmentierung ein zentraler Bestandteil jeder effektiven modernen Sicherheitsstrategie geworden. Ein Ansatz, der Richtlinien für die Mikrosegmentierung beinhaltet, ermöglicht IT- und Sicherheitsbeauftragten, differenzierte Einstellungen für verschiedene Traffictypen zu konfigurieren. Durch Erstellen entsprechender Richtlinien lässt sich die Kommunikation mit Netzwerken und Anwendungen ausschließlich auf ausdrücklich berechtigte Workloads beschränken.

Durch Durchsetzen von Segmentierungsregeln bis hinunter zur Workload- oder Anwendungsebene kann die IT die Angriffsfläche verkleinern und damit das Risiko der lateralen Ausbreitung von Bedrohungen von einer infizierten Workload oder Anwendung zu einer anderen verringern.

Anwendungsfälle der Mikrosegmentierung

Mikrosegmentierung ist für den Erfolg mehrerer gängiger Anwendungsfälle in Unternehmen von entscheidender Bedeutung, darunter:

  • Cloud-Migration: Mikrosegmentierung kann die Einführung der Cloud beschleunigen und vereinfachen, indem sie eine sichere direkte Konnektivität für Cloud-Workloads ermöglicht und eine sichere Workload-Kommunikation über eine Multicloud-Infrastruktur gewährleistet.
  • Fusionen und Übernahmen: Mikrosegmentierung beschleunigt die Integration nach Fusionen und Übernahmen, indem sie netzwerkübergreifenden Zugriff auf Anwendungen ermöglicht, ohne Netzwerke zu verbinden. Administratoren können einen universellen Sicherheitsstatus anwenden, um Workloads über mehrere VPCs, Regionen und öffentliche Clouds hinweg zu schützen.
  • Virtuelle Desktop-Infrastruktur: Mikrosegmentierung trägt zur Sicherheit der VDI bei, die über eine Cloud-Infrastruktur bereitgestellt wird, indem sie die Durchsetzung präziser Zugriffskontrollrichtlinien für explizit erlaubte Standorte und private Anwendungen gewährleistet.
  • Workload-Segmentierung: Durch Mikrosegmentierung erhalten Unternehmen granulare Kontrolle über die Konnektivität von Cloud-Workloads, die sich in verschiedenen VPCs/VNets, Regionen oder öffentlichen Clouds befinden.

Mikrosegmentierung geht über die herkömmliche Segmentierung hinaus

Mikrosegmentierung bietet einen dynamischen, kontextbewussten Ansatz für die Netzwerksicherheit. Während herkömmliche Netzwerksegmentierung auf statischen, auf IP-Adressen basierenden Firewall-Regeln beruht, konzentriert sich Mikrosegmentierung auf die Anwendungsebene, die Identität der User und Geräteattribute. Da Mikrosegmentierungsrichtlinien nicht an bestimmte IP-Adressen gebunden sind, lassen sie sich besser an moderne Netzwerke anpassen, sei es in On-Premise-Rechenzentren oder Multicloud-Umgebungen.

Bei herkömmlicher Segmentierung müssen ständig Regeln aktualisiert werden, wohingegen sich Mikrosegmentierung dynamisch an Änderungen der Netzwerkkonfiguration, mobile Geräte und User sowie sich stetig weiterentwickelnde Bedrohungen anpassen kann. Durch die Berücksichtigung von Faktoren wie Userverhalten und Anwendungskontext bietet Mikrosegmentierung ein robusteres, flexibleres und effektiveres Sicherheitsframework für moderne IT-Umgebungen.

Nachteile von Legacy-Ansätzen

Auf Netzwerkadressen basierende Segmentierungsansätze können nicht erkennen, welche Entitäten, beispielsweise welche spezifische Software, kommunizieren. Sie können Ihnen nur Aufschluss über die Kommunikationsweise geben, etwa über die IP-Adresse, den Port oder das Protokoll, von dem die „Anfrage“ stammt. Entsprechend werden Kommunikationen über als „sicher“ eingestufte Verbindungen zugelassen, obwohl die IT- und Sicherheitsteams nicht genau wissen, von welcher Entität die Kommunikation ausgeht.

Sobald sich eine Entität innerhalb einer „sicheren Zone“ im Netzwerk befindet, gilt sie als vertrauenswürdig. Das kann zu Sicherheitsverletzungen bzw. zur lateralen Ausbreitung von Bedrohungen in flachen Netzwerken führen.

Merkmale und Vorteile der Mikrosegmentierung

Mikrosegmentierung bietet eine ganze Reihe von Funktionen und technischen Vorteilen, insbesondere:

  • Zentralisierte Sicherheitskontrollen und -verwaltung in allen Netzwerken: Da die Mikrosegmentierung für den East-West-Traffic und nicht für den North-South-Traffic zuständig ist, gelten Ihre Richtlinien für den gesamten Traffic, der sich durch die von ihnen kontrollierten Segmente bewegt. Hochgradig granulare Richtlinien ermöglichen zudem sehr viel mehr Transparenz im Vergleich zur Netzwerksegmentierung.
  • Automatische Anpassung der Segmentierungsrichtlinien: Richtlinien werden auf Workloads (nicht auf Hardware) angewandt und bleiben daher auch bei Änderungen der Infrastruktur intakt. Dadurch können Kontrollmaßnahmen ohne Ausfallzeiten in beliebig vielen Umgebungen durchgesetzt werden.
  • Lückenloser Schutz: Sicherheitsrichtlinien erstrecken sich über private und öffentliche Clouds, Container, On-Premise-Rechenzentren, Hybrid-Cloud-Umgebungen und Betriebssysteme, da sich die Richtlinien auf die Workload und nicht auf das Netzwerksegment beziehen.
  • Vereinfachte Prüfungen: Da durch die Mikrosegmentierung jede Ressource eindeutig identifiziert werden kann, bietet sie eine deutlich bessere Transparenz als andere Ansätze, sodass behördliche Prüfungen viel schneller und einfacher durchgeführt werden können.

Einige Anbieter haben sich ausschließlich auf Mikrosegmentierung spezialisiert. In allen Fällen sollte die Lösung die wachsende Nachfrage nach identitätsbasierter Mikrosegmentierung (granularere, softwaredefinierte Segmentierung, auch als Zero-Trust-Netzwerksegmentierung bezeichnet) des lateralen Traffics in Rechenzentren unterstützen.

Neil MacDonald und Tom Croll, Gartner Market Guide to Cloud Workload Protection, April 2020

Mikrosegmentierung: Geschäftsnutzen

Proaktive Netzwerk- und IT-Sicherheit

Bei der Mikrosegmentierung werden Sicherheitsprobleme der herkömmlichen Segmentierung beseitigt. Es werden anwendungsbezogene Richtlinien erstellt, die alle Anwendungen und Services begleiten. Potenzielle Sicherheitsverletzungen bleiben dadurch auf die betroffenen Ressourcen begrenzt, anstatt das gesamte Netzwerk zu infizieren. Die effektivsten Services zur Mikrosegmentierung haben darüber hinaus die Kapazität zur automatischen Erkennung aller kommunizierenden Anwendungen und Empfehlung entsprechender Zero-Trust-Richtlinien, die sich dann mit einem Klick anwenden lassen.

Robuster Schutz für alle Workloads

Anstelle von statischen Kontrollen unter Berücksichtigung von IP-Adressen, Ports und Protokollen können kryptografische Fingerabdrücke für alle Workloads erstellt werden. So lässt sich ein konsistenter Schutz für Workloads gewährleisten, die im internen Rechenzentrum oder auch in der Cloud betrieben werden. Durch Fingerabdrücke wird die Sicherung der Workloads von IP-Adresskonstrukten entkoppelt, um die mit IP-basierten Kontrollen verbundenen Probleme zu vermeiden.

Kontinuierliche Risikobewertung

Mikrosegmentierung ermöglicht die Quantifizierung von Risiken durch automatische Messung der sichtbaren Angriffsfläche im Netzwerk. Dadurch erhält das Unternehmen einen exakten Überblick darüber, wie viele potenzielle Kommunikationspfade zwischen Anwendungen genutzt werden. Es sind sogar Services erhältlich, die bei jeder einzelnen Verbindungsanforderung die Identität der betreffenden Entität verifizieren. Dadurch lassen sich Risiken weiter verringern, während gleichzeitig die Erfüllung aufsichtsrechtlicher Compliance-Pflichten unterstützt wird und datengestützte Erkenntnisse für Risikoberichte mit Visualisierung bereitgestellt werden.

Best Practices für eine erfolgreiche Mikrosegmentierung

Wie lassen sich diese Vorteile umsetzen? Die Einzelheiten werden je nach Branche oder gesetzlichen Vorschriften unterschiedlich aussehen, aber ein paar allgemeine Best Practices sollten Teil jedes erfolgreichen Mikrosegmentierungsplans sein:

  • Erstellen Sie detaillierte, granulare Richtlinien für den Zugriff mit minimaler Rechtevergabe, die sich auf die Anwendungsebene konzentrieren und auf Useridentitäten sowie Geräteattributen basieren und den Zugriff auf Ressourcen auf das Maß beschränken, das die jeweiligen User oder Entitäten für ihre Arbeit benötigen.
  • Integrieren Sie IAM-Systeme (Identity and Access Management), um sicherzustellen, dass Ihre Richtlinien mit den Rollen und Berechtigungen der User übereinstimmen.
  • Implementieren Sie eine kontinuierliche Überwachung und Prüfung des Netzwerk-Traffics und der Richtliniendurchsetzung in Echtzeit, um Anomalien oder Richtlinienverstöße zu erkennen.
  • Nutzen Sie automatisierte Tools, die Richtlinien bereitstellen und anpassen, wenn sich Ihre Netzwerkkonfiguration oder Ihr Sicherheitsstatus ändert.
  • Führen Sie regelmäßige Sicherheitsüberprüfungen und Penetrationstests durch. Dokumentieren Sie diese gründlich, um sicherzustellen, dass Ihre Richtlinien jederzeit wirksam sind, und um das Reporting über die Einhaltung von Richtlinien und die Fehlerbehebung zu unterstützen.

Zero-Trust-Segmentierung

Ein Zero-Trust-Sicherheitsmodell basiert auf Prinzipien der Mikrosegmentierung.  Richtlinien werden nicht auf Netzwerksegmente, sondern auf einzelne Workloads angewandt, sodass der Zugriff für jede Ressource an jedem beliebigen Standort granular gesteuert werden kann, wenn anhand der vorliegenden Kontextdaten kein zuverlässiger Nachweis der Vertrauenswürdigkeit möglich ist.

Mit einem Zero-Trust-Modell – insbesondere einem Cloud-basierten Zero-Trust-Modell – könnte ein Unternehmen beispielsweise eine Richtlinie erstellen, der zufolge medizinische Geräte nur mit anderen medizinischen Geräten kommunizieren dürfen. Bei Verlagerung von Endgeräten oder Workloads werden die Sicherheitsrichtlinien und -attribute ebenfalls entsprechend verlagert.

Viele Anbieter von Cloud-Sicherheitslösungen versprechen cloudbasierten Zero-Trust-Schutz, ohne dieses Versprechen erfüllen zu können. Nur ein Anbieter stellt ganzheitliche, cloudnative Zero-Trust-Sicherheit bereit, die Netzwerke, Anwendungen und vertrauliche Daten zuverlässig vor zunehmend komplexen Cyberbedrohungen schützt.

Vorteile der Zscaler-Lösung

Zscaler Workload Communications ist der moderne Ansatz zur Absicherung Ihrer Cloud-Anwendungen und -Workloads. Mit sicherer Zero-Trust-Cloud-Konnektivität für Workloads können Sie die Angriffsfläche Ihres Netzwerks minimieren, die laterale Ausbreitung von Bedrohungen unterbinden, die Kompromittierung von Workloads verhindern und den Verlust sensibler Daten vermeiden.

Workload Communications nutzt die Plattform Zscaler Zero Trust Exchange™ zur Absicherung von Cloud-Workloads. Mit dieser Lösung kann Ihr Unternehmen bösartige Zugriffe mithilfe eines Sicherheitsansatzes auf Zero-Trust-Basis unterbinden, der sich auf Identität, Risikoprofile, Standort und Verhaltensanalysen stützt.

Durch die Bedrohungsabwehr mit umfassender SSL-Überprüfung wird Ihre Cybersicherheit zusätzlich gestärkt. Da der Cyberschutz über die Cloud bereitgestellt wird, lassen sich Sicherheitsrichtlinien einfach konfigurieren, verwalten und kontrollieren. Dadurch ist es so einfach wie noch nie, die Angriffsfläche Ihres Netzwerks zu minimieren und effektiven Zero-Trust-Schutz zu gewährleisten.

Möchten Sie selbst erleben, wie Zscaler Workload Communications funktioniert? Besuchen Sie unsere Produktseite, um eine individuelle Demo anzufordern.

Empfohlene Ressourcen

Häufig gestellte Fragen

Was ist eine Workload?

Eine Workload ist ein Prozess, eine Ressource oder eine Kombination davon (z. B. Kommunikation, Verarbeitung, Verwaltung, Ausführung), die mit einer Anwendung und ihrer Nutzung zusammenhängt. In der Cloud umfassen Workloads auch Anwendungen selbst. Das Verständnis und die Verwaltung von Workloads ist ein wichtiger Bestandteil bei der Identifizierung und Behebung von Schwachstellen, der Absicherung von Daten und Zugriffspunkten, der Implementierung von Authentifizierung und Verschlüsselung sowie der Überwachung und Abwehr potenzieller Bedrohungen.

Was ist ein Beispiel für Mikrosegmentierung?

Ein einfaches Beispiel für Mikrosegmentierung: Nehmen wir an, ein Unternehmen würde seine Hybrid-Cloud-Architektur mikrosegmentieren, um kritische Ressourcen (z. B. Datenbanken, Server und Workstations) zu isolieren und zu schützen. Jedes Segment verfügt über eigene Zugriffskontrollen, Firewalls und Systeme zur Erkennung von Eindringlingen, die laterale Bewegungen einschränken und die Auswirkung einer Sicherheitsverletzung reduzieren. Ein Hacker, der das Endgerät eines Users kompromittiert hat, hätte nur Zugriff auf das Segment dieses Endgeräts, nicht aber auf sensible Daten oder kritische Infrastrukturen.

Was sind die Nachteile der Mikrosegmentierung?

Die Implementierung und Verwaltung der Mikrosegmentierung kann sich als komplex erweisen, insbesondere in großen und dynamischen Netzwerken. Darüber hinaus können komplexes Routing und Trafficüberprüfungen an den Segmentgrenzen die Performance beeinträchtigen, wenn Netzwerk und Sicherheitsarchitektur nicht ausreichend skaliert werden können. Um diese Herausforderungen zu meistern, ist es entscheidend, in die richtigen Tools und den richtigen Anbieter für Ihre Workloads und deren Anforderungen zu investieren.

Warum ist Mikrosegmentierung notwendig?

Unternehmen benötigen Mikrosegmentierung, um kritische Ressourcen in der komplexen digitalen Landschaft von heute zu schützen. Durch isolierte Mikrosegmente in einer breiteren Netzwerk- und Sicherheitsinfrastruktur können Sie die Kommunikation zwischen den Netzwerksegmenten genau kontrollieren und so laterale Bewegungen einschränken, die Angriffsfläche verkleinern und Sicherheitsverletzungen eindämmen. Angesichts der zunehmenden Verbreitung von Remote-Arbeit, IoT und der Cloud reicht die herkömmliche perimeterbasierte Sicherheit nicht mehr aus. Durch Mikrosegmentierung erhalten Sie die Kontrolle zurück und können Ihren Sicherheitsstatus erhöhen.

Wer sollte Netzwerke oder Umgebungen segmentieren?

Mikrosegmentierung ist vor allem für Unternehmen relevant, die mit sensiblen Daten arbeiten, kritische Infrastrukturen betreiben oder gesetzlichen Vorgaben wie HIPAA und DSGVO unterliegen (z. B. Gesundheitswesen, Finanzwesen, Behörden, E-Commerce und viele weitere). Letztlich profitieren aber Unternehmen jeglicher Größe und Branche. Mithilfe der Mikrosegmentierung können sie die Sicherheit erhöhen, die Datenintegrität verbessern und die Auswirkungen von Sicherheitsverletzungen minimieren.

Kann man durch Mikrosegmentierung Kosten senken?

Durch Mikrosegmentierung können Unternehmen sowohl ihre Investitions- als auch ihre Betriebskosten senken. Indem Sie die Sicherheit Ihrer Infrastruktur erhöhen, tragen Sie dazu bei, Datenpannen und Ausfallzeiten zu verhindern und so potenzielle finanzielle Verluste im Zusammenhang mit Sicherheitsvorfällen zu vermeiden. Darüber hinaus kann dies die Netzwerkverwaltung optimieren, den Bedarf an umfangreichen Hardware-Investitionen verringern und den Verwaltungsaufwand senken, was zu Einsparungen bei den Betriebskosten führt.

Warum ist die richtige Mikrosegmentierung ein wesentlicher Bestandteil von Zero Trust?

Mit einer effektiven Mikrosegmentierung können Sie granularen Zugriff mit minimaler Rechtevergabe durchsetzen — die Schlüsselkomponente eines Zero-Trust-Ansatzes — und so das Risiko lateraler Bedrohungsbewegungen einschränken und die gesamte Angriffsfläche reduzieren. Da jede Verbindung überprüft werden muss, bevor sie zugelassen wird, ist es für Angreifer weitaus schwieriger, ihre Berechtigungen auszuweiten. Diese Vorgehensweise steht im Einklang mit Zero Trust und stärkt die Sicherheit auf eine Weise, für die herkömmliche perimeterbasierte Sicherheitsansätze mit „implizitem Vertrauen“ einfach nicht konzipiert sind.

Was ist der Unterschied zwischen Firewalls und Mikrosegmentierung?

Auf höchster Ebene sind Firewalls eine Technologie zur Absicherung des Perimeters, während Mikrosegmentierung eine interne Sicherheitsstrategie darstellt. Firewalls sind für die Kontrolle des ein- und ausgehenden Traffics eines Netzwerks verantwortlich. Mikrosegmentierung unterteilt das Netzwerk in isolierte Segmente und erzwingt granulare Sicherheitsrichtlinien, häufig auf Ebene einzelner Workloads oder Geräte. Mikrosegmentierung kontrolliert den Traffic zwischen diesen Segmenten, schränkt laterale Bewegungen ein und bietet eine präzise Überprüfung des Zugriffs auf Ressourcen, insbesondere in komplexen, cloudbasierten Umgebungen.