Problemfall Cloud Computing & Cloud Networking

Netzwerk-Segmentierung – in der Cloud hoffnungslos?

| Autor / Redakteur: Alexander Busshoff / Andreas Donner

Die Segmentierung von Netzwerken ist ein fortlaufender Prozess – insbesondere, wenn es sich um Ressourcen in der Cloud handelt.
Die Segmentierung von Netzwerken ist ein fortlaufender Prozess – insbesondere, wenn es sich um Ressourcen in der Cloud handelt. (Bild: © Sikov - stock.adobe.com)

Netzwerksegmentierung hat sich zu einer bewährten Strategie entwickelt, um Komplexität zu reduzieren und das Sicherheitsniveau zu heben. Durch strikte Regeln wird dabei festgelegt, welche Dienste zwischen Zonen erlaubt sind und welche Nutzer welche Zonen erreichen dürfen. Auf diese Weise wird im Falle eines Angriffs eine Bewegung im Netzwerk deutlich erschwert.

Oft herrscht die Annahme vor, dass eine Netzwerk-Segmentierung in der Cloud nicht funktioniere, da Cloud-Umgebungen in aller Regel zu dynamisch sind. Gerade im Bereich DevOps werden hier Ressourcen innerhalb kürzester Zeit gebunden und fast genauso schnell wieder aufgegeben. Diese dynamische Bereitstellung gepaart mit einer nahezu unbegrenzten Skalierbarkeit mache die Cloud für Unternehmen einerseits zwar attraktiv, aus Sicherheitssicht andererseits aber auch deutlich komplexer zu verwalten.

Auch hält sich der Irrglaube, dass eine Segmentierung zwingend starre, durch IPs definierte Richtlinien erfordere. Entsprechend könnten strukturierte Zonen in einer dynamischen Umgebung mit sich verändernden Zielpfaden nicht funktionieren.

Dynamische Umgebungen erfordern dynamische Lösungen

Fakt ist: Viele Unternehmen segmentieren heutzutage Cloud-Umgebungen, um die Sicherheit in der Cloud zu erhöhen und die Einhaltung von Vorschriften zu gewährleisten. Wenn es möglich ist, neue Server, Benutzer oder Sicherheitsgruppen dynamisch einer Zone in der Unternehmensumgebung zuzuordnen (oder eine neue Zone zu erstellen), kann man auch in der Cloud segmentieren.

Dabei erfordern diese dynamischen Herausforderungen Automation. Und schnelle Änderungen erfordern parallel laufende Sicherheitslösungen. Entscheidend dabei ist, dass der Änderungsmanagement-Prozess so agil ist wie die Änderungen der Cloud-Umgebung. Dies gelingt, wenn die Sicherheitsrichtlinien dabei in das Change-Management integriert werden, um die Verfolgung aller Objekte im Netzwerk zu automatisieren.

Dies gilt nicht nur für IP-Adressen, sondern auch für Benutzer- und Sicherheitsgruppen sowie Tags. Durch die Verwendung eines IPAM-Systems (IP Address Management) lässt sich beispielsweise jede Zone bei Änderungen im hybriden Netzwerk aktualisieren. Mit einem automatisierten Änderungsmanagement und einer automatisierten Verwaltung von IP-Adressen lassen sich die Änderungen in Echtzeit widerspiegeln.

Unternehmen, die einem Cloud-only-Ansatz folgen, können vom Tag-Einsatz zur Segmentierung profitieren. Hier werden Tags bestimmten Sicherheitsgruppen und Anwendungen zugewiesen, um konsistente Änderungen der Sicherheitsrichtlinien für Verbindungen zwischen allen Punkten mit demselben Tag einfach anzuwenden. Es ist eine ideale Lösung für Unternehmen, die ausschließlich die Cloud nutzen – aber eben nur für diese.

In hybriden Umgebungen müssen die Sicherheitskontrollen des physischen, lokalen Netzwerks mit denen der Cloud-Umgebung zur Automatisierung von Änderungen der Sicherheitsrichtlinien kombiniert werden, um eine ganzheitliche/umfassende Durchsetzung einer einheitlichen Sicherheitsrichtlinie in beiden Umgebungen zu erreichen. Mittlerweile stehen hierfür aber einige Lösungen zur Verfügung, die die erforderliche Transparenz, Verwaltung und Automatisierung über die gesamte Infrastruktur hinweg bieten, um Segmentierungsfunktionen in der Cloud bereitzustellen.

Agilität vs. Sicherheit?

Aber die Cloud-Segmentierung braucht mehr als effektive Technologien. Sie erfordert eine Änderung der Denkweise. Sicherheitsteams wissen, wie Sicherheit und Compliance aussehen und welche Services, Ressourcen und Konnektivität sicher sind und welche nicht.

Das Problem ist jedoch, dass sich Anwendungsentwicklungsteams im Allgemeinen auf die Anwendungsentwicklung und Konnektivität konzentrieren, und eben nicht auf die Sicherheit. Der traditionelle Ansatz, eine Anwendung zu erstellen und zur Überprüfung an das Security-Team zu schicken, ist zeitaufwändig und untergräbt die geschäftliche Agilität, die die Cloud bietet. Wenn nun Entwicklungsteams und nicht die Security-Teams für die Cloud-Sicherheit zuständig sind, können Produkte zwar schneller auf den Markt gebracht werden, aber Cloud-Sicherheit und Cloud-Compliance bleiben oft auf der Strecke.

Wie kann hier ein Ausweg aussehen? Unternehmen sollten sich nicht zwischen Agilität und Sicherheit entscheiden müssen. Die Lösung besteht darin, Sicherheit in die Entwicklung und Bereitstellung von Anwendungen zu integrieren und die Entwickler darüber aufzuklären, wie Sicherheit aussehen sollte.

Wenn alle Beteiligten verstehen, was zulässig ist und was nicht, können alle Beteiligten Sicherheitsrichtlinien in der Cloud anwenden. Wenn beispielsweise ein PCI-geschützter Server gestartet werden muss, sollten Entwickler wissen, dass er nur mit PCI-getaggten Anwendungen über bestimmte Dienste kommunizieren darf.

Wenn man diesen Prozess automatisiert, wird man den schnellen Änderungsanforderungen der Anwendungsentwickler gerecht. Diese nutzen je nach bei Bedarf Ressourcen, und wenn sie gegen die Compliance verstoßen, wird das Sicherheitsteam umgehend hierüber informiert und kann die entsprechenden weiteren Schritte einleiten, etwa notwendige Zugriffe als Ausnahme vermerken.

Richtig segmentieren

Zusätzlich sollte die Cloud-Segmentierung gleichzeitig mit der Erstellung von Zonen im lokalen Netzwerk durchgeführt werden. Das parallele Festlegen von Zonen im On-Premises- und Cloud-Netzwerk bietet die Möglichkeit, Zonen gegebenenfalls zu konsolidieren, wenn sie dem gleichen Zweck dienen.

Auch sollte zunächst auf eine Mikrosegmentierung verzichtet werden. Bei allen Vorteilen, die graduelle Zonen (insbesondere für die Sicherheit) bieten, kann dies die Mitarbeiter schnell überfordern – vor allem angesichts Hunderter von aktiven und ständig neu auftauchenden Anwendungen. Man sollte den Anwendern die nötige Zeit geben, sich an die Prozesse zu gewöhnen und eine Mikrosegmentierung erst dann ins Auge fassen, wenn die Lernkurve der Anwender erfolgreich absolviert ist.

Fazit

Die Segmentierung von Netzwerken ist ein fortlaufender Prozess, der sich mit der Entwicklung des Unternehmens ständig weiterentwickelt und von neuen Anforderungen und Möglichkeiten angetrieben wird. Folglich müssen auch die Sicherheitsrichtlinien immer weiterentwickelt werden. Geht man hier überlegt und strukturiert vor, sammelt man wertvolle Erfahrungen und sorgt so sukzessive für eine immer höhere Cloud-Sicherheit und bessere Compliance. Die Cloud-Segmentierung spielt dabei eine Schlüsselrolle und ist selbst in den dynamischsten und agilsten Umgebungen möglich, solange man mittels Automatisierung die betriebliche Agilität erhält und entwickelt.

Alexander Busshoff.
Alexander Busshoff. (Bild: Tufin)

Hierzu müssen das Änderungsmanagement automatisiert und die Sicherheit in die Entwicklung und Bereitstellung von Anwendungen und Services integriert werden. Auf diese Weise halten Sicherheitsrichtlinien immer mit den Änderungen in der Cloud Schritt und Sicherheit und Agilität sind keine Gegenspieler mehr, sondern ergänzen sich zum Unternehmenserfolg.

Über den Autor

Alexander Busshoff ist Solution Architect bei Tufin.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46402165 / Architektur)