Anwendungen und Infrastruktur in Segmente unterteilen

Wie Netzwerksegmen­tierung für mehr Sicherheit sorgt

| Autor / Redakteur: Pierre Visel / Andreas Donner

Netzwerksegmentierung hilft dabei, große und komplexe Netze administrierbar zu halten und gleichzeitig sicherer zu machen.
Netzwerksegmentierung hilft dabei, große und komplexe Netze administrierbar zu halten und gleichzeitig sicherer zu machen. (Bild: © vegefox.com - stock.adobe.com)

Die Policy-Konfiguration im Netzwerk wird umso schwieriger und zeitaufwändiger, je größer und komplexer das Netzwerk ist. Ständige Veränderungen in der Netzwerk- und Applikationslandschaft verschärfen die Situation weiter. Netzwerksegmentierung bis hin zur Mikrosegmentierung kann hier helfen, die Sicherheit hoch und den Aufwand klein zu halten.

Unternehmensnetzwerke sind über die Jahre hinweg immer komplexer geworden. Hunderte von Änderungsanforderungen werden wöchentlich von IT-Teams bearbeitet, die dann auf die jeweiligen Geräte innerhalb des Netzwerkes übertragen werden. Die Konsequenz: Die Komplexität und Größe der zugrunde liegenden Policy-Konfigurationen wächst und wächst – und damit werden Ressourcen verbraucht, die eigentlich zur Verwaltung der entsprechenden Änderungen benötigt werden.

Die Änderungen betreffen dabei alle Umgebungen – von Firewalls und Routern verschiedener Hersteller bis hin zu SDN- und Hybrid-Cloud-Plattformen. Die Größe eines modernen Netzwerks macht es für Unternehmen heute immer schwieriger, die damit verbundene Komplexität zu bewältigen. Cyberkriminelle können diesen Zustand und deshalb nicht korrekt gesetzte Zugriffsrechte ausnutzen.

Ein geeigneter Ansatz zur Bewältigung der Herausforderungen in puncto Netzwerksicherheit ist die Netzwerksegmentierung. Dazu werden Anwendungen und Infrastruktur in Segmente unterteilt, so dass Bedrohungen eingedämmt und deren Ausbreitung auf andere Bereiche verhindert werden können. Im Falle eines erfolgreichen Angriffs auf eines dieser Segmente kann die Überwachung verstärkt werden. Die entsprechenden Zugriffsregeln verhindern aber auf jeden Fall einen Übergriff auf nicht betroffene Bereiche im Unternehmensnetzwerk.

Netzwerksegmentierung – nicht neu aber auch nicht alt

Netzwerksegmentierung ist zwar kein neuer Ansatz, aber keineswegs veraltet. Die Definition einer effektiven Netzwerksegmentierung, deren Implementierung und langfristige Wartung ist aber dennoch eine große Herausforderung für viele Unternehmen – insbesondere angesichts neuer strenger Datenschutzbestimmungen wie der DSGVO und häufiger Änderungen der Infrastruktur durch die Einführung von Cloud-Technologien.

Aber wie können Unternehmen die effektive Implementierung von Netzwerksegmentierungspraktiken ermöglichen und dabei alle Komplexitäten eines Unternehmensnetzwerks berücksichtigen? Und wie können sie ihr Ziel eines minimal erforderlichen Zugriffs zwischen unterschiedlichen Zonen im Detail erreichen?

Angefangen bei den Basics

Der erste Schritt besteht darin, die tatsächliche Situation zu bewerten: Welche Anforderungen haben Unternehmen an ihr Netzwerk und wie sollten sie dieses unterteilen? Einzelne Abteilungen sind oft bestrebt, ihre Anwendungen in ihren eigenen Teilbereichen oder Einheiten zu behalten. Dies ist völlig logisch und ein notwendiger Schritt, um sicherzustellen, dass sensible Daten nicht in falsche Hände geraten.

Darüber hinaus ist die Segmentierung für die Unternehmen von entscheidender Bedeutung in Bezug auf die Datenschutz-Grundverordnung. Denn gemäß der neuen Verordnung müssen Organisationen den Zugriff auf Daten von Bürgern der EU nachverfolgen. Nach der Unterteilung des Unternehmensnetzwerks in einzelne Segmente beziehungsweise Sicherheitszonen müssen IT-Manager die Bereitstellung von minimal erforderlichem Zugriff auf diese Zonen oder Anwendungen sicherstellen. Vor allem hochsensible Bereiche sollten proaktiv überwacht werden, um zu erkennen, ob ein nicht benötigter Zugriff entfernt werden kann.

Netzwerksegmentierung ist kein einmaliger Job

Auch bei der Netzwerksegmentierung gilt die Devise: „Sicherheit ist ein fortlaufender Prozess, kein Zustand“. Die Netzwerksegmentierung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der eine kontinuierliche Wartung erfordert. Netzwerksysteme müssen ständig aktualisiert werden, sei es aufgrund neuer Geschäftsanforderungen, Geräte oder Software. Um Netzwerke effektiv zu segmentieren, sollten Unternehmen Folgendes berücksichtigen:

  • Überwachung des Netzwerkverkehrs innerhalb jedes Segments, um normale Aktivitäten zu messen.
  • Reduzierung des Zugriffs auf bestimmte Segmente über Firewalls, um Bedrohungen zu minimieren.
  • Trennung von Datenbeständen nach Regulierungsmandaten für mehr Transparenz darüber, was die geschützten Vermögenswerte enthalten und welche Maßnahmen zur Risikominderung ergriffen werden müssen.
  • Kontinuierliche Überwachung auf Verstöße und Bedrohungen für das Netzwerk, sodass Änderungen in Echtzeit vorgenommen werden können und die Risikoanalyse in den Änderungsmanagementprozess integriert werden kann.
  • Durchführung regelmäßiger interner Audits, um sicherzustellen, dass vorherige Änderungen der Firewall-Richtlinien kein Risiko darstellen.

Einen Schritt weiter: Mikrosegmentierung

Je nach Reifegrad und Komplexität des Unternehmens sowie der geschäftlichen Anforderungen dient die Mikrosegmentierung als Lösung für die Verwaltung des Netzwerkzugriffs durch einen dynamischeren und anwendungsspezifischen Ansatz. Durch Mikrosegmentierung werden die einzelnen Segmente noch weiter heruntergebrochen – bis hin zur Anwendungs- und Benutzerebene.

In diesen Fällen wird der Zugriff auf Daten nur einer vordefinierten Sicherheitsgruppe von Benutzern gewährt, die vom Sicherheitsteam sorgfältig verwaltet wird. Solche Gruppen können leicht geändert werden, um Änderungen im Personal zu berücksichtigen; der Zugriff erfolgt zwischen der spezifischen Sicherheitsgruppe und der spezifischen Anwendung. Anstatt Netzwerke als breitere Benutzersegmente zu behandeln, ermöglicht die Mikrosegmentierung eine überblickbare Sicherheit von Anfang an.

Mikrosegmentierung kann mit physischen Netzwerken sowie privaten und öffentlichen Cloud-Netzwerken unter Verwendung von Software-definierten Netzwerktechnologien zur Verwaltung erweiterter Cloud-Infrastrukturen erreicht werden. Dies erfordert umfassende Segmentierungslösungen, die hybride Clouds und heterogene Netzwerke adressieren und es den IT-Sicherheitsteams ermöglichen, eine Mikrosegmentierungsrichtlinie für ihr Unternehmen effektiv zu verwalten und visuell darzustellen.

In einem sich ständig ändernden Geschäftsumfeld muss unbedingt sichergestellt werden, dass diese Volatilität die Angriffsfläche nicht vergrößert und das Unternehmen damit einem Netzwerkausfall aussetzt. Entsprechende Automatisierungstools können die Lösung zur Minimierung signifikanter Sicherheitsrisiken sein, indem sie die Sicherheit an erste Stelle setzen, wenn es darum geht, die Anforderungen zu erfüllen und die Komplexität sowie den Zeitaufwand für die kontinuierliche Verwaltung von Netzwerkänderungen zu reduzieren. Unternehmen müssen sich bewusst sein, dass sie die Verwaltung der verschiedenen Gruppen überkompensieren und sich zu sehr mit der Kontrolle auseinandersetzen müssen.

Fazit

Pierre Visel.
Pierre Visel. (Bild: Tufin)

Die Aufrechterhaltung der gewünschten Netzwerksegmentierung kann angesichts der Komplexität von Sicherheitsrichtlinien und der Tatsache, dass ständige Änderungsanfragen in den meisten Unternehmen die Norm sind, eine schwierige Aufgabe sein. Wenn das Netzwerk jedoch in kleinere Einheiten unterteilt ist, kann sich ein Angriff auf einen segmentierten Bereich nicht auf einen anderen Bereich ausbreiten, wodurch insgesamt eine viel sicherere Infrastruktur entsteht und die Netzwerksicherheit erheblich verbessert wird. Letztendlich müssen Unternehmen eine Überdimensionierung des Netzwerks vermeiden und eine zentrale Konsole zur effektiven Verwaltung eines mikrosegmentierten Netzwerks über mehrere Anbieter sowie physische und Cloud-Plattformen hinweg verwalten.

Über den Autor

Pierre Visel ist Regional Director DACH bei Tufin.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45714160 / LAN- und VLAN-Administration)