Die Mikrosegmentierung ist eine Methode, um Netzwerke sicherer zu machen. Dafür wird ein Netzwerk in unterschiedliche Segmente unterteilt, die jeweils ihre eigenen Sicherheitsmaßnahmen erhalten.
Was ist Mikrosegmentierung?
Mikrosegmentierung zielt darauf ab, zu verhindern, dass Daten innerhalb eines Netzwerks seitwärts wandern. Das bedeutet, dass sich Daten im Netzwerk zwischen verschiedenen Bereichen bewegen. Das birgt die Gefahr, dass alle Bereiche eines Netzwerks direkt von einem Angriff in Mitleidenschaft gezogen werden.
Mikrosegmentierung verhindert das, indem das Netzwerk in kleinere Segmente unterteilt wird. Jedes Segment wird mit eigenen Schutzmechanismen vor Eindringlingen gesichert. Das sind zum Beispiel Firewalls oder separate Zugangskontrollen.
Die Basis der Mikrosegmentierung sind der Least-Privilege-Access und das Zero-Trust-Prinzip. Im Kern bedeutet das: Nur Personen, die Zugang zu einem Segment benötigen, bekommen diesen. Zudem gibt es eine zuverlässige Zugangskontrolle, die verhindert, dass sich Unbefugte einfach Zugang verschaffen können.
Umsetzung
Für die Mikrosegmentierung muss ein Netzwerk nicht umstrukturiert werden. Stattdessen werden innerhalb des Netzwerks die Workloads voneinander getrennt und dadurch die Ausbreitung von Bedrohungen eingedämmt.
Für die Umsetzung der Mikrosegmentierung gibt es unterschiedliche Technologien. Bewährt sind vor allem diese:
- Lösungen durch Agenten: Ein Softwareagent wird direkt im Workload platziert und sorgt dafür, dass Hosts und Container voneinander abgeschottet bleiben. So dämmt er die Verbreitung von Daten zwischen Hosts und Containern ein.
- Netzwerkbasierte Lösungen: Für diese Methoden brauchen Sie physische und virtuelle Geräte. Dazu gehören beispielsweise Load Balancer, Overlay-Netzwerke, Switches und SDNs. Mit Hilfe dieser Geräte wird die Netzwerkinfrastruktur in Segmente unterteilt.
- Lösungen in der Cloud: Die bekannten Cloud-Betreiber wie Amazon bieten eigene Methoden für die Mikrosegmentierung an.
Die Methoden der Mikrosegmentierung liefern einen Einblick in den gesamten Datenverkehr innerhalb des Netzwerks. Gleichzeitig wird der gesamte Datenverkehr überwacht.
Netzwerkadministratoren können eigenhändig Richtlinien für die Anwendungen erstellen. Das sorgt für mehr Sicherheit bei der seitlichen Ausbreitung von Bedrohungen.
Stellen Sie sich es vor wie eine Kreuzung. Der Verkehr läuft in vier Richtungen. In jeder Richtung liegt ein Ziel. Aber Sie wollen verhindern, dass der Verkehr von Osten nach Westen läuft. Mit Mikrosegmentierung verschließen Sie diese Straße. Wenn jetzt im Osten ein Angriff stattfindet, breitet sich dieser nicht nach Westen aus, weil der Datenverkehr in diese Richtung gesperrt ist. Die Bedrohung bleibt also an einer Stelle. Dadurch kann sie leichter aufgespürt und bekämpft werden.
Arten der Mikrosegmentierung
Es gibt verschiedene Arten der Mikrosegmentierung. Das hier sind die bekanntesten:
- Containersegmentierung: Bei dieser gängigen Methode wird sichergestellt, dass Container und Hosts voneinander getrennt bleiben (wie bereits angesprochen). Das Ziel ist es, zu verhindern, dass sich Daten nicht zwischen den Containern ausbreiten können.
- Benutzersegmentierung: Hier werden Rollen und Verantwortlichkeit zugeordnet und an verschiedene Zugriffsberechtigungen geknüpft. Dazu gehören unter anderem die Aufgabentrennung, um die Kontrolle innerhalb eines Systems einzuschränken, und die Multi-Faktor-Authentifizierung.
- Monitoring: Durch Protokolldaten und Analysen werden Aktivitäten beobachtet und ausgewertet, um Sicherheitsvorfälle in Echtzeit erkennen zu können. Das beinhaltet auch die regelmäßige Überprüfung von Zugriffen, um Verstöße und Sicherheitslücken zu erkennen.
Mit den Maßnahmen der Segmentierung von Netzwerken verringern Sie die Angriffsfläche in Ihren Systemen. Bedrohungen werden separiert und verbreiten sich nicht über das gesamte System. Selbst bei Attacken bleibt der Schaden so gering wie möglich.
