Ressourcen > Sicherheit – Glossar > Was ist Mikrosegmentierung

Was ist Mikrosegmentierung?

Was ist Mikrosegmentierung?

Ursprünglich wurde Mikrosegmentierung eingesetzt, um den Traffic zwischen Servern (Server-zu-Server) innerhalb eines Netzwerksegments zu moderieren. Mittlerweile umfasst sie auch den Traffic zwischen Segmenten, ermöglicht also die Kommunikation zwischen Server A und Server B bzw. Anwendung A und Host B. Voraussetzung ist, dass die Identität der Ressource, von der die Anfrage ausgeht (Server/Anwendung/Host/User), den jeweils konfigurierten Berechtigungskriterien entspricht. 

Richtlinien und Berechtigungen für die Mikrosegmentierung können basierend auf der Ressourcen-Identität erstellt werden. Dadurch sind sie unabhängig von der zugrunde liegenden Infrastruktur – anders als bei der Netzwerksegmentierung, die auf Netzwerk-IP-Adressen basiert. Daher eignet sich Mikrosegmentierung ideal zur Erstellung intelligenter Gruppierungen von Workloads anhand der Merkmale der einzelnen Workloads, die innerhalb des Rechenzentrums kommunizieren. Als unverzichtbarer Bestandteil des ZTNA-Frameworks (Zero Trust Network Access) ist die Mikrosegmentierung unabhängig von den dynamischen Veränderungen bzw. den betriebswirtschaftlichen und technischen Anforderungen, denen Netzwerke unterliegen. Deswegen empfiehlt sie sich als robustere und zuverlässigere Alternative zu herkömmlichen Netzwerksicherheitslösungen. Außerdem vereinfacht Mikrosegmentierung die Verwaltung erheblich. Zum Schutz eines Segments sind nur noch wenige identitätsbasierte Richtlinien erforderlich – statt Hunderter adressbasierter Firewall-Regeln wie bei herkömmlichen Lösungen .
 

Warum Mikrosegmentierung?

Herkömmliche netzwerkbasierte Lösungen für die Mikrosegmentierung basieren auf Firewalls, die Netzwerkadressen zur Durchsetzung von Regeln verwenden. Diese Abhängigkeit von Netzwerkadressen ist insofern problematisch, als Netzwerke ständigen Änderungen unterliegen. Entsprechend müssen auch die Richtlinien ständig aktualisiert werden, wenn sich Anwendungen und Geräte verändern. Die ständigen Aktualisierungen stellen schon bei lokaler Bereitstellung im Rechenzentrum eine Herausforderung dar. Noch komplizierter wird es in Multicloud-Umgebungen und Infrastrukturen ohne statische IP-Adressen.

Mit netzwerkadressbasierten Segmentierungsansätzen lässt sich nicht feststellen, welche Entitäten im Einzelnen miteinander kommunizieren (z. B. die Identität der kommunizierenden Software). Stattdessen geben sie nur Auskunft über die Kommunikationswege, also z. B. darüber, von welcher IP-Adresse bzw. welchem Port oder Protokoll die Anfrage ausging. Kommunikationen über als „sicher“ eingestufte Verbindungen werden zugelassen, ohne dass die IT- und Sicherheitsteams genau wissen, von welcher Entität die Kommunikation ausgeht. Sobald sich eine Entität innerhalb einer „sicheren Zone“ im Netzwerk befindet, gilt sie als vertrauenswürdig. Dieses vertrauensbasierte Modell kann jedoch zu Sicherheitsverletzungen und in flachen Netzwerken zu einem erhöhten Risiko lateraler Bewegungen führen. Um diese Gefahren in den Griff zu bekommen, wurde der Ansatz der Mikrosegmentierung entwickelt.

Zu den Vorteilen der Mikrosegmentierung zählt die Möglichkeit, sichere Zonen zu schaffen, die zur Isolierung und individuellen Absicherung von Workloads dienen. So werden Unternehmen durch eine granulare Partitionierung des Traffics besser vor Angriffen geschützt.

Mithilfe der Mikrosegmentierung können IT- und Sicherheitsbeauftragte differenzierte Cybersicherheitseinstellungen für verschiedene Traffic-Typen einrichten. Durch Erstellen entsprechender Richtlinien lässt sich die Kommunikation mit Netzwerken und Anwendungen ausschließlich auf ausdrücklich berechtigte Workloads beschränken. So könnte ein Unternehmen, das dieses Zero-Trust-Modell anwendet, beispielsweise in einer Richtlinie festlegen, dass medizinische Geräte nur mit anderen medizinischen Geräten kommunizieren dürfen. Bei Verlagerung von Endgeräten oder Workloads werden die Sicherheitsrichtlinien und -attribute ebenfalls entsprechend verlagert.

Die Durchsetzung von Segmentierungsregeln bis hinunter zur Workload- oder Anwendungsebene ermöglicht es der IT, die Angriffsfläche zu verkleinern und damit das Risiko der lateralen Verbreitung von Bedrohungen von einer infizierten Workload oder Anwendung zu einer anderen zu verringern.

Mikrosegmentierung ist nicht gleich Netzwerksegmentierung

Die Begriffe Netzwerksegmentierung und Mikrosegmentierung werden häufig als Synonyme verwendet. Tatsächlich beschreiben sie zwei grundlegend verschiedene Ansätze.Netzwerksegmentierung ist eine effektive Maßnahme zur Kontrolle des ein- und ausgehenden Traffics. Dabei wird eine Entität, also z. B. ein User, im Allgemeinen als vertrauenswürdig eingestuft, sobald er sich in einer bestimmten Zone des Netzwerks befindet.Mikrosegmentierung hingegen dient zur Kontrolle des lateralen Traffics innerhalb des Rechenzentrums bzw. Cloud-Netzwerks, der sich von Server zu Server, Anwendung zu Server usw. bewegt. Einfach ausgedrückt: Die Netzwerksegmentierung bildet die Außenmauern der Festung. Mikrosegmentierung entspricht den Wachen, die an den Türen im Inneren postiert sind.
 

Vorteile der Mikrosegmentierung

  • Geringerer Verwaltungsaufwand durch weniger Richtlinien
  • Zentrale Überwachung und Verwaltung der Richtlinien für sämtliche Netzwerke
  • Automatische Anpassung von Segmentierungsrichtlinien unabhängig von Änderungen der Infrastruktur
  • Lückenloser Schutz für alle Ressourcen in der Cloud, Containern, lokalen Rechenzentren und hybriden Cloud-Umgebungen
Einige Anbieter haben sich ausschließlich auf Mikrosegmentierung spezialisiert. In allen Fällen sollte die Lösung die wachsende Nachfrage nach identitätsbasierter Mikrosegmentierung (präzisere, softwaredefinierte Segmentierung, auch als Zero-Trust-Netzwerksegmentierung bezeichnet) des lateralen Traffics in Rechenzentren unterstützen.
Neil MacDonald und Tom Croll, Gartner Market Guide Cloud Workload Protection, April 2020

Mikrosegmentierung als wirtschaftlicher Erfolgsfaktor

So werden wichtige Geschäftsinitiativen unterstützt:

  • Durch Mikrosegmentierung lassen sich die Sicherheitsrisiken erheblich reduzieren, die mit herkömmlichen – sogenannten Legacy-Ansätzen – verbunden sind. Jede Bedrohung der Vertraulichkeit, Integrität oder Verfügbarkeit von Daten oder Systemen stellt ein Geschäftsrisiko dar, das weitestmöglich abgeschwächt werden muss.Bei der Mikrosegmentierung werden anwendungsspezifische Richtlinien erstellt, die auf der Identität der jeweiligen Anwendungen und Services basieren. Potenzielle Sicherheitsvorfälle bleiben dadurch auf das betroffene Asset beschränkt und infizieren nicht das gesamte Netzwerk. Einige Services haben darüber hinaus die Kapazität zur automatischen Erkennung aller kommunizierenden Anwendungen und können entsprechende Zero-Trust-Richtlinien empfehlen und mit einem Klick anwenden.

Lückenloser Schutz

  • Firewalls und andere Cybersicherheitstools, die auf IP-Adressen, Ports und Protokollen basieren, sind für den Schutz von Cloud-Umgebungen ungeeignet. Die dynamische Natur der Cloud macht diese statischen Sicherheits- und Zugriffskontrollen unzuverlässig, da sich die zugrunde liegende Infrastruktur jederzeit – in manchen Fällen mehrmals am Tag – ändern kann. Selbst in einer lokal im Rechenzentrum bereitgestellten Umgebung bieten herkömmliche Netzwerk-Sicherheitskontrollen weniger effektiven Schutz, da Angreifer sie relativ einfach spoofen können. 
     
  • Anstelle statischer Kontrollen können kryptografische Fingerabdrücke für alle Workloads erstellt werden. So lässt sich ein konsistenter Schutz für Workloads gewährleisten, die im internen Rechenzentrum oder auch in der Cloud betrieben werden. Durch Fingerprinting wird die Sicherung der Workloads von IP-Adresskonstrukten entkoppelt, um die mit IP-basierten Kontrollen verbundenen Probleme zu vermeiden.Sicherheitsbeauftragte können sich darauf verlassen, dass nur Software kommunizieren darf, die durch Fingerprinting verifiziert wurde – unabhängig von der Netzwerkadresse.

Kontinuierliche Risikobewertung

  • Mikrosegmentierung ermöglicht die automatische Messung der sichtbaren Angriffsfläche im Netzwerk. Dadurch erhält das Unternehmen einen exakten Überblick darüber, wie viele potenzielle Kommunikationspfade zwischen Anwendungen genutzt werden, und kann entsprechend das Risiko quantifizieren. Anhand maschineller Lernalgorithmen werden Empfehlungen für Zero-Trust-Richtlinien erstellt, die die laterale Bewegungsfreiheit einschränken und die Wahrscheinlichkeit von Datenexpositionen reduzieren.

     

  • Durch Mikrosegmentierung kann der Zugriff für Anwendungen, Hosts und Prozesse innerhalb des Netzwerks nach dem Prinzip der minimalen Rechtevergabe eingeschränkt werden. Einige Services überprüfen auch bei jeder Kommunikationsanfrage die Identität der kommunizierenden Software. Dieser softwarezentrierte Ansatz mindert Risiken, unterstützt die Einhaltung gesetzlicher Vorschriften und liefert visualisierte Risikoberichte, die die Bewertung von Risiken vereinfachen und eine unkomplizierte Filterung nach Anwendung bzw. Host ermöglichen.

Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?

Blog lesen
Blog lesen

Passgenaue Zero-Trust-Segmentierung

Blog lesen
Blog zur Mikrosegmentierung

Anwendungsidentität: Was ist das und welche Rolle spielt sie?

Blog lesen

Zero-Trust-Segmentierung in der Cloud und im Rechenzentrum

Datenblatt lesen
Zero-Trust-Segmentierung in der Cloud und im Rechenzentrum