Ressourcen > Sicherheit – Glossar > Was ist Netzwerksegmentierung

Was ist Netzwerksegmentierung?

Was ist Netzwerksegmentierung?

Organisationen sind ständigen Angriffen ausgesetzt und werden trotz umfangreicher Investitionen in eine Reihe von Cyber-Schutzmaßnahmen immer wieder Opfer von Sicherheitsverletzungen. Laut dem Jahresabschlussbericht Data Breach QuickView 2019 von Risk Based Security war das vergangene Jahr ein weiteres „schlimmstes Jahr in der Geschichte“ in Bezug auf Datenschutzverletzungen, mit 7.098 Verstößen, die zur Offenlegung von mehr als 15,1 Mrd. Datensätzen führten.

Viele Sicherheitsmaßnahmen fallen in die „reaktive“ Kategorie. Das bedeutet, dass IT- und Sicherheitsteams aktiv werden, wenn es bei einem Gerät oder Netzwerk zu einem Sicherheitsvorfall gekommen ist, um die Folgen eines Angriffs einzudämmen. Reaktive Sicherheitsmaßnahmen sind jedoch umständlich und kostspielig und erfordern eine kontinuierliche Schadenskontrolle durch die Teams. Sie können auch zu schwerwiegenden Konsequenzen führen – von Nichteinhaltung regulatorischer Vorschriften bis hin zu PR-Albträumen.

Anstatt auf Angriffe zu reagieren, wenden viele Organisationen proaktive Systeme an, um Angriffe zu verhindern. Diese sehen potenzielle Risiken oder Schwachstellen vorher und beheben sie, bevor sie ausgenutzt werden können. Zusätzlich zu den Sicherheitshardware-Stacks im Rechenzentrum oder dem Deployment von als Service bereitgestellter Sicherheit setzen Organisationen eine Vielzahl von Techniken zur Senkung des Risikos ein. Eine dieser Methoden, die häufig Anwendung findet, ist die Netzwerksegmentierung.

Wie funktioniert Netzwerksegmentierung?

Netzwerksegmentierung ist der Prozess der Aufteilung eines Netzwerks in mehrere Zonen und die Anwendung von Sicherheitsprotokollen auf jede Zone zur Handhabung von Sicherheit und Compliance. Normalerweise wird in diesem Rahmen der Traffic zwischen Netzwerksegmenten mit VLANs (virtuellen lokalen Netzwerken) getrennt. Danach werden Sicherheitsmaßnahmen zum Schutz von Anwendungen und Daten über Firewalls umgesetzt.

Die Netzwerksegmentierung (nicht mit der Mikrosegmentierung zu verwechseln) wurde in der Vergangenheit als Lösung beworben, die Sicherheit ohne Leistungseinbußen bietet, da sie die Erstellung und Wartung von Richtlinien für verschiedene Netzwerksegmente ermöglicht. Doch angesichts der komplizierten Netzwerke von heute, die über mehrere Clouds und Rechenzentren verteilt sind, ist dieser Ansatz möglicherweise nicht mehr sinnvoll.

Herausforderungen der Netzwerksegmentierung

Übermäßiges Vertrauen: Die Netzwerksegmentierung basiert auf der Annahme, dass alle User innerhalb des Netzwerks vertrauenswürdig ist. Da sie hauptsächlich darauf ausgelegt ist, Angriffe von außen zu verhindern, kann dieser Ansatz Unternehmen für Insider-Angriffe anfällig machen.

Komplexität: Bei der Netzwerksegmentierung ist es notwendig, dass ein Unternehmen alle Assets kennt und versteht, die in jedem seiner Netzwerke miteinander kommunizieren. Daraufhin müssen sie die Zonen definieren, die aufgrund von Geschäfts- und Compliance-Anforderungen sinnvoll sind. Als Nächstes ist mit der Implementierung von VLANs zu beginnen. Das Potenzial für eine Fehlkonfiguration eines VLANs während der Implementierung ist aufgrund der Komplexität der heutigen Netzwerkarchitekturen hoch. Dies ist insbesondere deshalb der Fall, da die meisten Organisationen Multicloud-Umgebungen nutzen, die ihnen nicht gehören, und die Infrastruktur, auf der das Netzwerk verwaltet wird, häufig nicht geändert werden kann.

Verwaltung: In einer modernen Netzwerkumgebung ändern sich die Adressen ständig, die User verbinden sich mit mehreren Geräten über eine Vielzahl von Netzwerken und es werden ständig neue Anwendungen eingeführt. Solche dynamischen Umgebungen sind schwierig zu verwalten, da die Richtlinien ständig manuell definiert, überprüft, geändert und Ausnahmen behandelt werden müssen. Darüber hinaus erfordert jede Änderung der Richtlinien eine Aktualisierung aller Firewall-Regeln und das Wesen der Netzwerksegmentierung macht es notwendig, dass selbst für einfache Sicherheitsaktivitäten, wie das Scannen auf Schwachstellen, zusätzliche Ressourcen bereitgestellt werden.

Kontrolle: Bei der Netzwerksegmentierung fehlt es an fein abgestuften Kontrollen, sodass es kompliziert ist, den Zugang für verschiedene Ebenen zu segmentieren, z. B. für Remote-Mitarbeiter, externe Mitarbeiter, Partner und so weiter.

Skalierbarkeit: Zur Bewältigung des Netzwerkwachstums müssen Organisationen die Netzwerksegmentierung in kleinere Segmente aufteilen oder ihre bestehenden Segmente aktualisieren, was zu höheren Kosten für Skalierung und Wartung führt.

Leistung: Das Hinzufügen von Ressourcen, einschließlich mehrerer Firewalls, zu einem Netzwerk beeinträchtigt die Gesamtleistung.

Multiple Network Security Perimeters

Eine bessere Möglichkeit zur Segmentierung

Zero Trust Network Access (ZTNA) wurde von Gartner als Framework definiert, das auf dem Zero-Trust-Prinzip basiert: Kein Gerät wird per se als vertrauenswürdig eingestuft, stattdessen werden Zugangsberechtigungen auf Einzelfallbasis anhand von Richtlinien gewährt.

Anstelle eines netzwerkzentrierten Sicherheitsansatzes, der in der Welt der Cloud immer weniger praktikabel wird, verfolgt ZTNA einen Ansatz mit Fokus auf der Verbindung zwischen User und Anwendung. Dieser ermöglicht durch eine native Applikationssegmentierung den Anwendungszugriff ohne Zugriff auf das Netzwerk. Dadurch wird sichergestellt, dass der Anwendungszugang nach der Authentifizierung der User auf einer Eins-zu-eins-Basis gewährt wird. Autorisierte User können nur auf bestimmte Anwendungen und nicht auf das gesamte Netzwerk zugreifen. Daraus ergibt sich eine sehr viel granularere Kontrolle und kein Risiko für eine laterale Ausbreitung.

Vorteile von ZTNA gegenüber einer Netzwerksegmentierung

  • ZTNA bietet einen adaptiven, identitätsorientierten, präzisen Zugriff ohne Netzwerkzugang. Dabei wird der Netzwerkstandort nicht mehr als Vorteilsposition gewertet und übermäßiges implizites Vertrauen wird durch explizites identitätsbasiertes Vertrauen ersetzt.

     

  • ZTNA erfordert keine Netzwerkverbindung, sodass keine internen Anwendungen (IP-Adressen) im Internet offengelegt werden. Dadurch wird das Risiko von Angriffen verringert.

     

  • Anstelle der Konfiguration von Zugriffs- und Firewall-Regeln bieten granulare Zugriffsrichtlinien, die in der Cloud durchgesetzt werden, eine User-to-App-Segmentierung.

     

  • ZTNA kann als Cloud-Service bereitgestellt und in einigen Fällen als On-Premise-Software erweitert werden (Verwaltung durch den Service). Durch die Cloud-Bereitstellung werden Flexibilität, Agilität und Skalierbarkeit verbessert und der Bedarf an internen Firewall-Appliances reduziert.

     

  • Organisationen verwenden ZTNA, um nicht verwalteten Geräten und externen Partnern einen sicheren Zugriff auf Anwendungen zu ermöglichen und gleichzeitig die Gefahr der Verbreitung von Malware zu minimieren, indem User vom Netzwerk ferngehalten werden.

Gartner: Market Guide for Zero Trust Network Access 2020

Guide lesen

Der Leitfaden für Netzwerkarchitekten zum Zero Trust Network Access

Whitepaper lesen

On-Premise-ZTNA

Weitere Informationen

Netzwerksegmentierung – Probleme und Chancen

Zum Blog

ZTNA-Technologien: Was ist das und wie wählt man die richtige Lösung?

Zum Blog