Weitere Informationen zu Zscaler Private Access finden Sie auf der Produktseite.
Zunächst ist es sinnvoll, den Unterschied zwischen Netzwerksegmentierung und Mikrosegmentierung zu klären.
Netzwerksegmentierung eignet sich vor allem zur Absicherung ein- und ausgehender Verbindungen. Durch Mikrosegmentierung hingegen wird eine zusätzliche Schutzschicht zur Absicherung des lateralen Traffics innerhalb der Umgebung geschaffen (Server-zu-Server, Anwendung-zu-Server, Web-zu-Server usw.). Wenn man sich das am Modell einer mittelalterlichen Festung veranschaulicht, entspricht Netzwerksegmentierung quasi dem Schutz vor externen Feinden durch Außenmauern und Burggraben. Bei der Mikrosegmentierung werden Wachen an den Türen der einzelnen Gemächer im Inneren postiert.
Segmentierung ist ein proaktiver Ansatz zur Bedrohungsabwehr, der entscheidende Vorteile gegenüber reaktiver Sicherheit bietet.
Reaktive Sicherheit umfasst die nachträgliche Untersuchung erfolgreicher Angriffe sowie entsprechende Maßnahmen zur Schadensbegrenzung. Dieses Verfahren ist umständlich und teuer, zumal die betroffenen Organisationen auch noch die Angriffsfolgen wie Datenverluste, Verstöße gegen einschlägige Vorschriften und Rufschädigung zu bewältigen haben.
Die Zahlen sprechen für sich: Angaben von Risk Based Security zufolge wurden allein im Jahr 2021 weltweit 4.145 Sicherheitsverletzungen öffentlich gemeldet; die Zahl der kompromittierten Datensätze belief sich auf über 22 Milliarden.
Jede Organisation ist also gut beraten, ihre Ressourcen verstärkt auf Prävention statt auf Reaktion zu fokussieren, damit potenzielle Risiken und Sicherheitslücken rechtzeitig erkannt und behoben werden können, bevor sie für Cyberangriffe ausgenutzt werden. Netzwerksegmentierung zählt gegenwärtig zu den gängigsten Methoden, mit denen sich dies erreichen lässt.
Traditionell ist zwischen zwei verschiedenen Formen der Netzwerksegmentierung zu unterscheiden:
Was lässt sich also mit Netzwerksegmentierung konkret erreichen? Durch Netzwerksegmentierung profitiert Ihre Organisation gleich von mehreren Vorteilen:
Unabhängig vom jeweils angewandten Schema bietet die Netzwerksegmentierung deutliche Vorteile im Vergleich zu flachen Netzwerken ohne Hierarchie oder Subnetze. Insbesondere profitieren Organisationen von folgenden Eigenschaften segmentierter Netzwerke:
Bei der Implementierung und Wartung eines effektiven Modells zur Netzwerksegmentierung sind vor allem fünf Handlungsempfehlungen zu beachten:
Viele Organisationen übertreiben es anfangs mit der Segmentierung und gliedern ihre Netzwerke in zu viele einzelne Teile auf. Dadurch wird die Transparenz des Netzwerks insgesamt beeinträchtigt, sodass der Verwaltungsaufwand eher noch größer wird als vor der Segmentierung. Umgekehrt dürfen die Segmente aber auch nicht zu groß sein – sonst ist die Angriffsfläche zu breit, was wiederum dem Sicherheitsstatus der Organisation schadet.
Netzwerksegmentierung ist eine hervorragende Möglichkeit zur Stärkung der Netzwerksicherheit. Damit sie wirklich effektiv ist, muss jedoch laufend überprüft werden, ob Sicherheitslücken tatsächlich geschlossen, Zugriffsberechtigungen streng durchgesetzt und anfallende Updates umgehend installiert werden. Insbesondere lässt sich durch regelmäßige Revisionen sicherstellen, dass ein lückenloser Schutz gewährleistet und potenzielle Risiken behoben werden, noch bevor kriminelle Akteure sie ausnutzen können.
Wie effektiv eine Strategie zur Zugriffsverwaltung ist, hängt vor allem davon ab, inwieweit das Prinzip der minimalen Rechtevergabe berücksichtigt und durchgesetzt wird. Auch bei der Netzwerksegmentierung ist dieser Gesichtspunkt von maßgeblicher Bedeutung. Durch konsequente Umsetzung einer minimalen Rechtevergabe lässt sich gewährleisten, dass ausschließlich befugte User auf Ressourcen zugreifen können, die sie für ihre Arbeit tatsächlich benötigen. Dieser Punkt ist eine entscheidende Grundvoraussetzung für Zero Trust Network Access.
Zugriffsrechte für externe Dritte sind immer mit hohem Risiko verbunden und sollten daher nur unter strikter Berücksichtigung des Erforderlichkeitsprinzips gewährt werden. Das gilt erst recht, wenn es sich um Zugriffsrechte für mehrere Netzwerksegmente handelt. Durch Segmentierung wird zwar das Gesamtrisiko eines erfolgreichen Angriffs auf das Netzwerk reduziert. Das heißt jedoch noch lange nicht, dass Zugriffsberechtigungen wahllos und ohne Rücksicht auf die Konsequenzen für den Sicherheitsstatus des Netzwerks an externe User vergeben werden dürfen.
Bei der Segmentierung des Netzwerks bietet sich eine Vielzahl von Chancen zur Automatisierung. Neben den allgemeinen Vorteilen der Automatisierung – verbesserte Transparenz, kürzere Reaktionszeiten, Stärkung der Sicherheit usw. – unterstützt automatische Netzwerksegmentierung die schnelle Erkennung und Klassifizierung neuer Assets und Daten. Auch dieser Punkt zählt zu den Best Practices für eine effektive Segmentierung.
Heutige Netzwerkarchitekturen verteilen sich über mehrere Cloud und Rechenzentren. Es führt kein Weg an der Einsicht vorbei, dass herkömmliche Segmentierungskonzepte mit Firewalls und VLAN angesichts dieser Komplexität keinen zuverlässigen Schutz gewährleisten.
Herkömmliche Firewalls haben ein entscheidendes Manko, das der Segmentierung unmittelbar entgegensteht: Sie lassen flache Netzwerke entstehen, in deren Innern uneingeschränkte laterale Bewegungsfreiheit herrscht. Diesen Mangel auszugleichen, ist so umständlich und aufwendig, dass es die Kapazitäten der meisten Organisationen übersteigt. Trotz ihres erweiterten Funktionsumfangs weisen Firewalls der nächsten Generation weiterhin einen gravierenden Nachteil auf: Um auf Anwendungen zugreifen zu können, müssen User Zugang zum Netzwerk erhalten. Das gleiche gilt für VLANs.
Herkömmliche Ansätze bringen eine ganze Reihe von Herausforderungen für die Organisation mit sich:
Je besser sich eine Organisation die Skalierbarkeit, Flexibilität und Reichweite der Cloud zunutze zu machen versteht, desto mehr verlieren netzwerkzentrierte Sicherheitsstrategien wie die herkömmliche Segmentierung an Relevanz. Stattdessen sind neue Ansätze erforderlich, die das interne Netzwerk mit allen damit verbundenen Risiken und Komplexitäten sozusagen ausklammern.
Als besonders vielversprechend erweisen sich hier Ansätze, die auf Zero Trust Network Access (ZTNA) beruhen, einem Framework, bei dem kein User oder Gerät automatisch als vertrauenswürdig eingestuft wird. Stattdessen basieren Zugriffsrichtlinien auf dem Prinzip der minimalen Rechtevergabe unter Berücksichtigung von Identität und Kontextdaten (Gerät, Standort, Anwendung, Inhalte usw.).
ZTNA verbindet einzelne User direkt mit einzelnen Anwendungen, ohne ihnen Zugang zum Netzwerk zu gewähren, sodass laterale Bewegungen verhindert werden. Dadurch wird eine grundsätzlich andere, weitaus effektivere Methode der Segmentierung ermöglicht, die mit Legacy-VPNs und Firewalls schlichtweg nicht machbar ist.
ZTNA zeichnet sich durch eine Reihe von Vorteilen gegenüber herkömmlicher Segmentierung aus:
Zscaler Private Access™ ist die weltweit am häufigsten eingesetzte ZTNA-Plattform. Usern wird sicherer Direktzugriff auf firmeninterne Anwendungen gemäß dem Prinzip der minimalen Rechtevergabe gewährt, ohne dass sie Zugang zum Netzwerk erhalten.
Der Einsatz von Zscaler Private Access empfiehlt sich für Organisationen, die entweder erstmals eine Netzwerksegmentierung planen oder den Umstieg von einem veralteten Modell in Angriff nehmen wollen. In beiden Fällen kann Zscaler die erfolgreiche Umsetzung einer ausgereiften Segmentierungsstrategie mit ZTNA unterstützen. Konkret sieht das Vorgehen wie folgt aus:
Weitere Informationen zu Zscaler Private Access finden Sie auf der Produktseite.
Gartner: Market Guide for Zero Trust Network Access 2022
Guide lesenLeitfaden für Netzwerkarchitekten zur Umstellung auf ZTNA
Whitepaper lesenBringen Sie die Leistungsstärke von ZTNA On-Premise
Mehr erfahrenZTNA-Technologien: Was ist das und wie wählt man die richtige Lösung?
Zum Blogbeitrag