Definition Was ist Mikrosegmentierung (Micro Segmentation)?

Mikrosegmentierung ist eine Unterkategorie und spezielle Form der Netzwerksegmentierung. Sie unterteilt Netzwerke in kleinste Abschnitte und ermöglicht die Kontrolle und Steuerung des Datenverkehrs auf Workload-Ebene. Micro Segmentation ist eine der technischen Grundlagen zur Umsetzung des Zero-Trust-Prinzips.

Bei der Mikrosegmentierung (im Englischen: Micro Segmentation) handelt es sich um eine Unterkategorie und eine spezielle Form der Netzwerksegmentierung. Teilweise wird sie auch als identitätsbasierte Segmentierung oder als Zero-Trust-Segmentierung bezeichnet. Das ist darauf zurückzuführen, dass die Mikrosegmentierung eine wichtige technische Grundlage zur Umsetzung des Zero-Trust-Prinzips in einem Netzwerk darstellt und ein umfassendes Identitätsmanagement erfordert.

Die Mikrosegmentierung unterteilt größere Netzwerkbereiche in sehr kleine, diskrete Segmente und ermöglicht eine fein-granulare, exakte und ressourcenbezogene Steuerung und Kontrolle des Netzwerkverkehrs und der Zugriffe auf Workload-Ebene. Mikrosegmentierung kann sowohl in On-Premises-Netzwerken und -Rechenzentren als auch in Cloud-Umgebungen eingerichtet werden. Ziel der Mikrosegmentierung ist es, die Angriffsfläche zu verkleinern, unerwünschte laterale Bewegungen zu verhindern und die Netzwerksicherheit zu verbessern. Die Mikrosegmentierung unterstützt zudem bei der Einhaltung von rechtlichen Vorgaben.

Abgrenzung zwischen Mikrosegmentierung und Netzwerksegmentierung

Mikrosegmentierung ist zwar eine Unterkategorie und Form der Netzwerksegmentierung, lässt sich aber deutlich von ihr abgrenzen. Die Netzwerksegmentierung unterteilt größere Netzwerke in kleinere Netzwerkbereiche. Bei diesen Bereichen handelt es sich um Netzwerksegmente oder Subnetze, die einen Bezug zu den OSI-Schichten eins bis drei haben. Segmente sind beispielsweise Kollisionsdomänen, Broadcastdomänen oder IP-Subnetze. Ziel dieser Segmentierung auf Netzwerkebene ist es, den Datenverkehr in und aus diesen Segmenten (so genannten Nord-Süd-Verkehr) über individuelle, segmentbezogen konfigurierbare Richtlinien zu steuern und zu kontrollieren.

Die Mikrosegmentierung hingegen ermöglicht eine Segmentierung bis auf Workload-Ebene. So lässt sich auch der so genannte Ost-West-Verkehr, zum Beispiel der Server-zu-Server-Verkehr zwischen Anwendungen, innerhalb eines abgegrenzten Netzwerkbereichs genauestens steuern und kontrollieren. Ein weiterer Unterschied zwischen Netzwerksegmentierung und Mikrosegmentierung ist, dass die Netzwerksegmentierung auch physisch mithilfe von Hardwaregeräten wie Switches, Routern oder Firewalls realisierbar ist, die Mikrosegmentierung aber in der Regel softwarebasiert und virtuell implementiert wird.

Grundsätzliche Funktionsweise der Mikrosegmentierung

Prinzipiell wird Micro Segmentation softwarebasiert, beispielsweise per Software-Defined Networking (SDN), implementiert. Die Netzwerkinfrastruktur wird virtualisiert und jede Anwendung, jedes Gerät oder jede Ressource lässt sich einem eigenen Segment zuweisen.

Die Mikrosegmentierung kann nach verschiedenen Kriterien erfolgen und unterschiedliche Ressourcen wie physische oder virtuelle Server, Anwendungen, Hosts, User, Prozesse, Services, Rechenressourcen oder Speicherressourcen und andere berücksichtigen. Dadurch wird eine Segmentierung bis auf Workload-Ebene realisierbar, die die jeweiligen zur Ausführung einer Aufgabe benötigten Ressourcen und Prozesse beinhaltet. Für jedes Segment werden individuelle Richtlinien definiert und über Inspektionspunkte durchgesetzt.

Die Richtlinien regeln, welche Endpunkte auf welche Ressourcen zugreifen dürfen und welche Daten sie austauschen dürfen. Dazu muss die Identität jedes Endpunkts authentifiziert werden. Gemäß dem Zero-Trust-Prinzip wird zunächst grundsätzlich jedem User, Gerät oder Service misstraut. Nur durch eine Authentifizierung und das Vorliegen entsprechender Berechtigungen können Zugriffe auf Ressourcen erfolgen.

Vorteile der Mikrosegmentierung kurz zusammengefasst

Die Vorteile der Mikrosegmentierung sind kurz zusammengefasst folgende:

• sehr exakte und fein-granulare Steuerung und Kontrolle der Ressourcenzugriffe bis auf Workload-Ebene

• Kontrolle und Steuerung auch des Ost-West-Verkehrs (nicht nur des Nord-Süd-Verkehr)

• Beschränkung des Datenverkehrs und der Datenzugriffe gemäß Least-Privilege- und Zero-Trust-Prinzipien

• Reduzierung der Angriffsfläche

• bessere Eindämmung von Sicherheitsvorfällen

• Verhinderung lateraler Bewegungen innerhalb eines Netzwerkbereichs

• schnellere und wirksamere Reaktion auf Sicherheitslücken oder Datenschutzverletzungen

• Verbesserung der Netzwerk-, Daten- und Anwendungssicherheit

• einfachere Umsetzung gesetzlicher Vorgaben

• weniger Aufwand bei der Definition und Verwaltung der Richtlinien durch softwarebasierte, zentralisierte Administration

• hohe Flexibilität bei der Absicherung von Workloads und der Anpassung und Durchsetzung der Richtlinien

(ID:50312220)