Die Netzwerksegmentierung ist ein Architekturansatz, mit dem ein Netzwerk in mehrere Segmente oder Subnetze unterteilt wird, die jeweils als ein eigenes kleines Netzwerk fungieren. Dadurch können Netzwerkadministratoren den Datenverkehr zwischen Subnetzen mit detaillierten Richtlinien steuern. Unternehmen nutzen die Segmentierung, um die Überwachung zu verbessern, die Leistung zu steigern, technische Probleme zu lokalisieren und vor allem die Sicherheit zu erhöhen.
Mit der Netzwerksegmentierung verfügt das Netzwerksicherheitsteam über ein leistungsstarkes Werkzeug, mit dem es verhindern kann, dass unbefugte Benutzer – ob neugierige Insider oder böswillige Angreifer – Zugang zu wertvollen Assets erhalten, wie persönlichen Kundendaten, Finanzunterlagen des Unternehmens und streng vertraulichem geistigen Eigentum. Heute sind diese Assets häufig über Hybrid- und Multi-Cloud-Umgebungen verteilt – öffentliche Clouds, private Clouds und softwaredefinierte Netzwerke (SDNs) –, die alle vor Angriffen geschützt werden müssen. Um die Sicherheitsvorteile der Netzwerksegmentierung zu verstehen, ist es zunächst notwendig, das Konzept des Vertrauens in der Netzwerksicherheit zu betrachten.
Angenommenes Vertrauen
In der Vergangenheit haben Netzwerkarchitekten ihre Sicherheitsstrategien auf den Perimeter des Netzwerks ausgerichtet, die unsichtbare Grenze zwischen der Außenwelt und den geschäftskritischen Daten eines Unternehmens. Es wurde angenommen, dass Personen innerhalb des Perimeters vertrauenswürdig waren und daher keine Bedrohung darstellten. Dadurch war ihr Zugang zu Informationen kaum eingeschränkt.
In letzter Zeit haben folgenschwere Sicherheitsvorfälle diese Annahme in Frage gestellt. Zum einen können auch Insider Sicherheitsverletzungen verursachen, oft versehentlich, manchmal aber auch absichtlich. Zum anderen können Bedrohungen, die den Perimeter überwunden haben, sich im Netzwerk ausbreiten und so auf praktisch alle Daten, Anwendungen, Assets oder Services (DAAS) zugreifen. Mit nahezu ungehindertem Zugriff können Angreifer ganz einfach wertvolle Assets ausschleusen, oft bevor ihr Eindringen überhaupt entdeckt wird (siehe Abbildung 1).
Abbildung 1: Ausbreitung innerhalb des Perimeters als Folge angenommenen Vertrauens
Die Lösung: Zero Trust
Aufgrund der inhärenten Schwächen des angenommenem Vertrauens haben viele Unternehmen begonnen, eine Zero-Trust-Strategie einzuführen. Zero Trust ist die Annahme, dass niemand automatisch vertrauenswürdig ist, auch nicht diejenigen, die sich bereits innerhalb des Netzwerkperimeters befinden. Zero Trust arbeitet nach dem Prinzip einer „Schutzfläche“, die um die geschäftskritischsten und wertvollsten DAAS des Unternehmens herum aufgebaut wird. Da sie nur das enthält, was für den Betrieb des Unternehmens am wichtigsten ist, ist sie um mehrere Größenordnungen kleiner als die Angriffsfläche des gesamten Netzwerkperimeters.
Hier kommt die Netzwerksegmentierung ins Spiel. Damit können Netzwerkarchitekten einen Mikroperimeter um die Schutzfläche herum aufbauen, der im Wesentlichen eine zweite Verteidigungslinie bildet. In einigen Fällen können virtuelle Firewalls die Bereitstellung von Sicherheitsfunktionen automatisieren, um Segmentierungsaufgaben zu vereinfachen. Das Ergebnis: Autorisierte Benutzer können auf Assets innerhalb der Schutzfläche zugreifen, während alle anderen standardmäßig für sie unzugänglich sind.
Die Segmentierung legt Angreifern Steine in den Weg, denn anders als beim angenommenen Vertrauen reicht es mit Zero Trust nicht mehr aus, den Perimeter zu überwinden, um Zugang zu sensiblen Informationen zu erhalten. Mikroperimeter, ob physisch oder virtuell, verhindern, dass Bedrohungen sich im Netzwerk ausbreiten. Damit wird ein Großteil der Arbeit zunichte gemacht, die für das ursprüngliche Eindringen erforderlich war (siehe Abbildung 2).
Abbildung 2: Eingeschränkte Bewegung innerhalb des Perimeters mit Zero Trust und Netzwerksegmentierung
Anwendungsszenarien
Unternehmen können die Netzwerksegmentierung für zahlreiche Anwendungen nutzen, zum Beispiel:
Technische Details
Die Netzwerksegmentierung kann als physische oder als logische Segmentierung implementiert werden.
Wie der Name schon verrät, geht es bei der physischen Segmentierung darum, ein größeres Netzwerk in kleinere Subnetze aufzuteilen. Eine physische oder virtuelle Firewall fungiert als Subnetzgateway und kontrolliert den ein- und ausgehenden Datenverkehr. Die physische Segmentierung ist relativ einfach zu verwalten, da die Topologie in der Architektur festgelegt ist.
Bei der logischen Segmentierung werden Subnetze im Wesentlichen mit einer von zwei Methoden erstellt: Virtual Local Area Networks (VLANs) oder Netzwerkadressierungsschemas. VLAN-basierte Ansätze sind relativ einfach zu implementieren, da die VLAN-Markierungen den Datenverkehr automatisch an das entsprechende Subnetz weiterleiten. Netzwerkadressierungsschemas sind ebenso effektiv, erfordern jedoch ein detaillierteres Verständnis der Netzwerktheorie. Die logische Segmentierung ist flexibler als die physische, da sie keine Verkabelung oder physische Bewegung von Komponenten erfordert. Die automatisierte Bereitstellung kann die Konfiguration von Subnetzen erheblich vereinfachen.
Der Wechsel zu einer segmentierten Architektur vereinfacht die Verwaltung von Firewallrichtlinien. Eine neue Best Practice besteht darin, eine einzige konsolidierte Richtlinie für die Subnetzzugriffskontrolle sowie für die Erkennung und Eindämmung von Bedrohungen zu verwenden, statt diese Funktionen in verschiedenen Teilen des Netzwerks auszuführen. Dieser Ansatz minimiert die Angriffsfläche und erhöht das Sicherheitsniveau des Unternehmens.
Weitere Informationen zur Netzwerksegmentierung finden Sie hier.