Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Read more
Zpedia / Was ist Netzwerksegmentierung?

Was ist Netzwerksegmentierung?

Als Netzwerksegmentierung wird die Untergliederung eines Netzwerks in Subnetze bezeichnet, für die jeweils eigene Sicherheitsrichtlinien und -protokolle gelten. Dadurch soll die laterale Bewegungsfreiheit innerhalb des Netzwerks eingeschränkt werden. Netzwerksegmentierung zählt zu den am häufigsten eingesetzten Techniken zur Abwehr von Cyberangriffen durch Reduzieren der Angriffsfläche eines Netzwerks.

So funktioniert Segmentierung ohne VLANs und Firewalls

Netzwerksegmentierung und Mikrosegmentierung im Vergleich

Zunächst ist es sinnvoll, zwischen Netzwerksegmentierung und Mikrosegmentierung zu unterscheiden.

Netzwerksegmentierung eignet sich vor allem zur Absicherung ein- und ausgehender Verbindungen. Durch Mikrosegmentierung hingegen wird eine zusätzliche Schutzschicht zur Absicherung des lateralen Traffics innerhalb der Umgebung geschaffen (Server-zu-Server, Anwendung-zu-Server, Web-zu-Server usw.). Wenn man sich das am Modell einer mittelalterlichen Festung veranschaulicht, entspricht Netzwerksegmentierung quasi dem Schutz vor externen Feinden durch Außenmauern und Burggraben. Bei der Mikrosegmentierung werden Wachen an den Türen der einzelnen Gemächer im Inneren postiert.

Was bringt Netzwerksegmentierung?

Bei der Netzwerksegmentierung handelt es sich um eine proaktive und nicht um eine reaktive Verteidigung, die einige entscheidende Vorteile bietet. Reaktive Verteidigung – die Durchführung von Untersuchungen und Schadensbegrenzung erst nach einem Verstoß – ist in der Regel teuer und kann dennoch dazu führen, dass Sie mit Datenverlust, Compliance-Problemen und Reputationsschäden zu kämpfen haben.

Proaktive Verteidigung – also Prävention – zielt darauf ab, potenzielle Risiken und Schwachstellen zu adressieren, bevor sie ausgenutzt werden können. Netzwerksegmentierung zählt gegenwärtig zu den gängigsten Methoden, mit denen sich dies erreichen lässt.

Formen der Netzwerksegmentierung

Traditionell ist zwischen zwei verschiedenen Formen der Netzwerksegmentierung zu unterscheiden:

  • Bei der physischen Segmentierung werden einzelne Firewalls, Kabel, Switches und Internetverbindungen verwendet, um Teile eines Computernetzwerks zu trennen. Dieses Verfahren ist teurer und weniger skalierbar als die virtuelle Segmentierung.
  • Bei der virtuellen bzw. logischen Segmentierung werden Traffic-Ströme im Regelfall mithilfe von VLANs (Virtual Local Area Networks) segmentiert, wobei die einzelnen Segmente durch dieselbe Firewall geschützt werden können.

Anwendungsfälle für Netzwerksegmentierung

Was lässt sich also mit Netzwerksegmentierung konkret erreichen? Kurz gesagt, dient sie zur Unterstützung bei folgenden Maßnahmen:

  • Stoppen der lateralen Ausbreitung externer Bedrohungen: In einem segmentierten Netzwerk stellt eine Datenschutzverletzung in einem Segment keine unmittelbare Bedrohung für Daten in einem anderen Segment dar.
  • Stoppen der lateralen Ausbreitung interner Bedrohungen: Die Segmentierung des Zugriffs nach Geschäftsanforderungen (z. B. Finanzdaten sind für die Personalabteilung nicht zugänglich) verringert das Risiko von Insider-Angriffen.
  • Separierung von internen und Gastnetzwerken: Wenn Gäste lediglich Zugang zu einem separaten Segment erhalten, können Sie ihnen Konnektivität anbieten, ohne Ihre internen Geräte und Daten zu gefährden.
  • Schutz regulierter Daten und Einhaltung von Compliancevorgaben: Durch die Speicherung sensibler Daten in einem zugriffsbeschränkten Segment werden diese besser geschützt und Datenschutzvorschriften einhalten.

 

Vorteile der Netzwerksegmentierung

Unabhängig vom jeweils angewandten Schema bietet die Netzwerksegmentierung deutliche Vorteile im Vergleich zu flachen Netzwerken ohne Hierarchie oder Subnetze. Konkret stehen folgende Mechanismen zur Verfügung:

  • Stärkere Cybersicherheit für vertrauliche Daten: Dies wird durch Prävention von Sicherheitsverletzungen durch ein- und ausgehenden Traffic, schärfere Zugriffskontrollen sowie spezifische Sicherheitskontrollen für jedes einzelne Segment gewährleistet.
  • Einfachere Einhaltung gesetzlicher Vorschriften: Die Beschränkung des Zugriffs auf bestimmte Daten und ihrer Bewegung vereinfacht die Einhaltung und Prüfung von Vorschriften wie PCI DSS und DSGVO.
  • Einfachere Risikoanalyse und Schadensbegrenzung: Wenn sich Cyberkriminelle nicht frei im gesamten Netzwerk bewegen können, lassen sich Angriffstechniken leichter erkennen und Schwachstellen im Sicherheitsstatus der Organisation aufdecken.
  • Absicherung von Endgeräten und Usern: Dies gilt in beide Richtungen: Enduser und Endgeräte sind sicherer, wenn sich Bedrohungen nicht leicht über Segmente verbreiten können, und die Segmente selbst sind sicherer vor Bedrohungen, die von Endgeräten ausgehen.
  • Reduzierung von Netzwerküberlastung: Aktivitäten in einem Segment wirken sich nicht auf die Geschwindigkeit anderer Netzwerkbereiche aus. Wenn z. B. Kunden das Gast-WLAN nutzen, wird die Abwicklung von Kreditkartentransaktionen dadurch nicht beeinträchtigt.

Handlungsempfehlungen für Netzwerksegmentierung

Bei der Implementierung und Wartung einer effektiven Netzwerksegmentierung sind vor allem fünf Handlungsempfehlungen zu beachten:

1. Nicht zu stark segmentieren

Eine Übersegmentierung kann die Sichtbarkeit Ihres gesamten Netzwerks beeinträchtigen und die Verwaltung erschweren. Eine Untersegmentierung behält jedoch eine große Angriffsfläche bei und beeinträchtigt die Sicherheit.

2. Regelmäßige Revisionen durchführen

Die Netzwerksegmentierung wird Ihre Netzwerksicherheit nur dann verbessern, wenn Sie Ihre Segmente kontinuierlich auf Schwachstellen, möglichst minimale Berechtigungen und Updates überprüfen. Wenn Sie wissen, dass Ihre Absicherung keine ausnutzbaren Lücken aufweist, sind Sie Hackern einen Schritt voraus.

3. Prinzip der minimalen Rechtevergabe beachten

Durch konsequente Umsetzung einer minimalen Rechtevergabe lässt sich gewährleisten, dass Ihre User, Netzwerk-Administratoren und Mitarbeiter Ihres Sicherheitsteams ausschließlich auf Ressourcen zugreifen können, die sie für ihre Arbeit tatsächlich benötigen. Zugriff mit minimaler Rechtevergabe ist eine entscheidende Grundvoraussetzung für Zero Trust Network Access.

4. Zugriff für externe Dritte einschränken

Die Gewährung von Zugriff für externe Dritte ist grundsätzlich riskant und sollte grundsätzlich nur bei Bedarf erfolgen –insbesondere, wenn es für mehrere Segmente erforderlich ist. Die sorgfältige Prüfung bei Vergabe neuer Berechtigungen ist der Schlüssel zur Aufrechterhaltung einer guten Netzwerksicherheit.

5. Alles automatisieren, was sich automatisieren lässt

Neben den allgemeinen Vorteilen der Automatisierung – verbesserte Transparenz, kürzere Reaktionszeiten, Stärkung der Sicherheit usw. – unterstützt automatische Netzwerksegmentierung die schnelle Erkennung und Klassifizierung neuer Assets und Daten. Auch dieser Punkt zählt zu den Best Practices für eine effektive Segmentierung.

 

Nachteile der Netzwerksegmentierung

Heutige Netzwerkarchitekturen verteilen sich über mehrere Clouds und Rechenzentren. Es führt kein Weg an der Einsicht vorbei, dass herkömmliche Segmentierungskonzepte mit Firewalls und VLAN angesichts dieser Komplexität keinen zuverlässigen Schutz gewährleisten.

Herkömmliche Firewalls haben ein entscheidendes Manko, das der Segmentierung unmittelbar entgegensteht: Sie lassen flache Netzwerke entstehen, in deren Innern uneingeschränkte laterale Bewegungsfreiheit herrscht. Der Versuch, dies zu kompensieren, ist betrieblich äußerst aufwendig und komplex. Trotz ihres erweiterten Funktionsumfangs weisen Firewalls der nächsten Generation nach wie vor einen gravierenden Nachteil auf: Um auf Anwendungen zugreifen zu können, müssen User Zugang zum Netzwerk erhalten – und das gilt für VLANS gleichermaßen.

Herkömmliche Ansätze bringen eine ganze Reihe von Herausforderungen für die Organisation mit sich:

  • Unnötige Zugriffsberechtigungen: Herkömmliche Firewall-basierte Segmentierung dient zur Abwehr externer Angriffe, bietet aber keinen Schutz vor Insider-Bedrohungen.
  • Fehlkonfigurationen: VLANs werden in heutigen Architekturen häufig falsch konfiguriert – insbesondere, wenn die Infrastruktur von einem externen Cloud-Anbieter verwaltet wird und die Organisation keine Möglichkeit hat, Änderungen vorzunehmen.
  • Hoher Verwaltungsaufwand: Bei neuen Anwendungen oder Geräten bzw. sonstigen Änderungen an der Infrastruktur müssen jedes Mal die Firewall-Regeln neu konfiguriert werden, und selbst alltägliche Aufgaben wie Schwachstellen-Scans sind mit einem höheren Ressourcenaufwand verbunden.
  • Komplizierte Kontrollmechanismen: Aufgrund der mangelnden Granularität herkömmlicher Methoden ist die Festlegung von Segmentierungsrichtlinien für Remote-Mitarbeiter, Geschäftspartner, Kunden usw. unnötig kompliziert.
  • Mangelnde Skalierbarkeit: Wachsende Netzwerke lassen sich nur durch Neugliederung in kleinere Segmente bzw. Aktualisierung vorhandener Segmente bewältigen, was zu höheren Kosten für Skalierung und Wartung führt.
  • Unbefriedigende Performance: Je mehr Netzwerkgeräte (Firewalls, Router usw.) eingesetzt werden, desto stärker ist die Beeinträchtigung der Netzwerkleistung insgesamt.

ZTNA: eine bessere Alternative

Je besser sich eine Organisation die Skalierbarkeit, Flexibilität und Reichweite der Cloud zunutze macht, desto mehr verlieren netzwerkzentrierte Sicherheitsstrategien wie die herkömmliche Segmentierung an Relevanz. Stattdessen sind neue Ansätze erforderlich, die das interne Netzwerk mit allen damit verbundenen Risiken und Komplexitäten sozusagen ausklammern.

Zero Trust Network Access (ZTNA) ist ein Framework, das auf der Vorstellung basiert, dass kein User oder Gerät von Natur aus vertrauenswürdig ist. Stattdessen basieren Zugriffsrichtlinien auf dem Prinzip der minimalen Rechtevergabe unter Berücksichtigung von Identität und Kontextdaten (Gerät, Standort, Anwendung, Inhalte usw.).

ZTNA verbindet einzelne User direkt mit einzelnen Anwendungen, ohne ihnen Zugang zum Netzwerk zu gewähren, sodass laterale Bewegungen verhindert werden. Dadurch wird eine grundsätzlich andere, weitaus effektivere Methode der Segmentierung ermöglicht, die mit Legacy-VPNs und Firewalls schlichtweg nicht machbar ist.

Erfahren Sie mehr über den Zustand des ZTNA-Marktes, Empfehlungen und Trends imGartner® Market Guide für Zero Trust Network Access.

Vorteile von ZTNA gegenüber herkömmlicher Segmentierung

ZTNA zeichnet sich durch eine Reihe von Vorteilen gegenüber herkömmlicher Segmentierung aus:

  • Ermöglicht einen adaptiven, identitätsorientierten, präzisen Zugriff ohne Netzwerkzugang. Keine Verbindung wird automatisch als vertrauenswürdig eingestuft; stattdessen erfolgt die Beurteilung der Vertrauenswürdigkeit anhand authentifizierter Identitäten.
  • Erfordert keine Netzwerkverbindung, sodass keine internen Anwendungen (und IP-Adressen) dem Internet ausgesetzt sind, was die Angriffsfläche und damit das Risiko von Angriffen verringert.
  • Ermöglicht Segmentierung einzelner User-zu-App-Verbindungen durch granulare Zugriffsrichtlinien, die in der Cloud durchgesetzt werden, und erspart Organisationen die Konfiguration von Zugriffsrichtlinien und Firewall-Regeln.
  • Verbessert Flexibilität, Agilität und Skalierbarkeit bei reduziertem Bedarf an internen Firewall-Appliances. ZTNA kann als Cloud-Service oder als verwaltete, lokal installierte Software bereitgestellt werden.
  • Unterstützt sicheren Anwendungszugriff für nicht verwaltete Geräte und externe Partner und minimiert das Risiko der Ausbreitung von Malware, indem User niemals ins Netzwerk gelangen.

Die Zscaler-Lösung zur effektiveren Segmentierung

Zscaler Private Access™ ist die weltweit am häufigsten eingesetzte ZTNA-Plattform. Usern wird sicherer Direktzugriff auf firmeninterne Anwendungen gemäß dem Prinzip der minimalen Rechtevergabe gewährt, ohne dass sie Zugang zum Netzwerk erhalten.

Der Einsatz von Zscaler Private Access empfiehlt sich für Organisationen, die entweder erstmals eine Netzwerksegmentierung planen oder den Umstieg von einem veralteten Modell in Angriff nehmen wollen. In beiden Fällen kann Zscaler die erfolgreiche Umsetzung einer ausgereiften Segmentierungsstrategie mit ZTNA unterstützen. Konkret sieht das Vorgehen wie folgt aus:

  1. Im ersten Schritt erfolgt die Umstellung von Legacy-VPNs und Firewalls auf Zscaler Private Access. Durch Segmentierung einzelner User-zu-App-Verbindungen verkleinert die Organisation ihre Angriffsfläche und verhindert laterale Bewegungen innerhalb des Netzwerks.
  2. Durch Segmentierung von App-zu-App-Verbindungen wird ZTNA auch auf Cloud-Workloads und Anwendungen angewandt, die in hybriden und Multicloud-Umgebungen gehostet werden.
  3. Abschließend sollte noch eine identitätsbasierte Mikrosegmentierung von Prozess-zu-Prozess-Verbindungen für die laterale Kommunikation innerhalb einer einzelnen Cloud implementiert werden.

Weitere Informationen zu Zscaler Private Access finden Sie auf der Produktseite.

Empfohlene Ressourcen

  • Gartner: Market Guide for Zero Trust Network Access

    Guide lesen

  • Was ist Zero Trust Network Access?

    Zum Artikel

  • Leitfaden für Netzwerkarchitekten zur Umstellung auf ZTNA

    Whitepaper lesen

  • Bringen Sie die Leistungsstärke von ZTNA On-Premise

    Mehr erfahren

Häufig gestellte Fragen

Was ist ein Netzwerksegment?

Ein Netzwerksegment (seltener auch als Sicherheitszone bezeichnet) ist ein isolierter oder getrennter Teil eines Netzwerks. Segmente können über eigene Sicherheitsrichtlinien, Zugriffskontrolllisten (ACLs) und Protokolle verfügen, was eine detailliertere Kontrolle und einen detaillierteren Schutz ermöglicht.

Was ist ein guter Grund, ein Netzwerk zu segmentieren?

Einer der Hauptgründe für die Segmentierung eines Netzwerks besteht darin, das potenzielle Ausmaß einer Sicherheitsverletzung zu begrenzen. Netzwerksegmente halten Bedrohungen isoliert, verhindern laterale Bewegungen und minimieren die Angriffsfläche.

Was ist eine Kollisionsdomäne?

Eine Kollisionsdomäne ist ein Netzwerksegment, in dem mehrere Geräte einen Datenpfad gemeinsam nutzen. Wenn zwei oder mehr Geräte gleichzeitig versuchen, den Pfad zu nutzen, können die daraus resultierenden „Kollisionen“ das Netzwerk verlangsamen. In der Regel ist eine spezielle Verwaltung notwendig, um dies zu vermeiden.