![Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])](https://cdn1.vogel.de/k6CU6gRdiHmmSHNv8UGc_JwG92E=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4d/d0/4dd0399f9b8207477889a3c659d02379/0115475686.jpeg "Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])")
![Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])](https://cdn1.vogel.de/6T_kNbCyNoMIy3KHASP8djUjYWs=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/8e/4f/8e4f126da182949ecf3a6806652a8749/0115429527.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])")
:quality(80)/p7i.vogel.de/wcms/00/31/0031258a77a126edd0f53f14a72de57c/0115276744.jpeg "Switches, Router, Gateways, Server, USVs, Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © didiksaputra - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/95/71951b75b2321e282559e37149c73f85/0114835821.jpeg "„Neofetch“ und andere Tools zeigen Informationen zur Hardware in Linux an. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/39/4b/394bd80867bedcee436b6c4f59499517/0115220829.jpeg "EtherApe zeigt den Datenverkehr im Netzwerk grafisch an. (Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo))")
:quality(80)/p7i.vogel.de/wcms/b5/3d/b53dbab3e40fd2303e7dfca51f1f7939/0114877960.jpeg "Cyberangriffe treffen irgendwann jedes Unternehmen - Mit diesen Threat Hunting Tools lässt sich der Schutz verbessern. (Bild: ink drop - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/59/9e5931526af55d34cf212a6aa0593fd8/0115293144.jpeg "Opensignal hat die Erlebnisse von Nutzerinnen und Nutzern in den deutschen Mobilfunknetzen ausgewertet. (Bild: © – Bojan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/d1/b7d1f5b4af32a8a34cc9722702bfa8d3/0115309559.jpeg "Bei Planung, Konzeption und Aufbau eines 5G-Campusnetzes gibt es einiges zu beachten. Eine Checkliste hilft, alles Wichtige im Auge zu behalten. (Bild: © Manoj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/24/8d24b8fc44bfb1954a36e41d768d0721/0115043465.jpeg "KI- und ML-Algorithmen für die Kommunikation mit 6G lassen sich in SystemVue von Keysight importieren. Damit können die per Funk übertragenen Informationen minimiert werden, um eine genaue Kanalzustandsinformation zur Basisstation zu erhalten. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/79/6c/796cb17faeac882eac2c1b3037a41e3e/0109117150.jpeg "Private 5G wird zum "heiligen Gral" für Anwendungsfälle in der Industrie 4.0. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/56/73/5673c47f4cbb4ab27e3cc9de133c162f/0115266518.jpeg "Microsoft 365 Copilot ist ein KI-basierter Assistent für mehr Produktivität und Effizienz. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/56/2d/562dbcd5c2f1fa12bcae9f99df02c831/0115259643.jpeg "Mit der allgemeinen Verfügbarkeit umfasst Red Hat Device Edge nun auch die Ansible Automation Platform für ein konsistentes Management vieler Geräte an mehreren Standorten. (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/f5/17/f517caf18526189b0822560936718af0/0115035048.jpeg "Trendnet hat den TI-PG262 für den extremen Industrieeinsatz konzipiert. (Bild: Trendnet)")
![Beim "Endpoint Management im Jahr 2023" geht es grob immer darum, die Funktionalität an allen Endpunkten des Netzwerks aufrechtzuerhalten und Geräte, Daten und andere Assets an diesen Edge-Points vor Cyber-Bedrohungen zu schützen. Die Feinheiten beleuchtet nunser eBook. (Bild: © EricPictures - stock.adobe.com - VIT [M])](https://cdn1.vogel.de/NDW7bMSL-DF6fVVvzkE2EtjLmZk=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/ca/74/ca74fe6b45462e00ab74722166888301/0115412116.jpeg "Beim "Endpoint Management im Jahr 2023" geht es grob immer darum, die Funktionalität an allen Endpunkten des Netzwerks aufrechtzuerhalten und Geräte, Daten und andere Assets an diesen Edge-Points vor Cyber-Bedrohungen zu schützen. Die Feinheiten beleuchtet nunser eBook. (Bild: © EricPictures - stock.adobe.com - VIT [M])")
:quality(80)/p7i.vogel.de/wcms/09/a8/09a82c0734a4b082af0fb3a99a3fc68e/0115036412.jpeg "Mit dem Argus F300 sei es möglich, gleichzeitig die optischen Pegel auf den unterschiedlichen Downstream- und Upstream-Wellenlängen für GPON, XGS-PON und ein Video-Overlay über fünf separate Filter exakt zu bestimmen. (Bild: Intec)")
:quality(80)/p7i.vogel.de/wcms/d7/b6/d7b6b471d066cdd319561d7d2dbf2ab0/0115260548.jpeg "Professionelle Endpoint-Management-Systeme wie Aagon ACMP erlauben die Verknüpfung mit einem Software-Katalog und vereinfachen damit das Lizenzmanagement. (Bild: Thomas Bär - Aagon)")
:quality(80)/p7i.vogel.de/wcms/bf/64/bf64e78ac26cbe0e1daed5dfa4522b3b/0115165562.jpeg "LoadMaster 360 biete Nutzern eine konsolidierte Ansicht sämtlicher Daten aller Anwendungen und Prozesse. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/72/a1/72a148974e7a56fcc18b38db037e81ff/0115187980.jpeg "Übersicht über Bedrohungen in einer Mobile Threat Defence. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd36ba51ec18c8326eb74195506c084/0115029324.jpeg "Zyxel zufolge ist der WBE660S ein Gamechanger für alle, die WLAN-Staus an den schwierigsten Orten lösen wollen. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/40/1f/401f3b163d16dd22079e81981e1210c2/0115028607.jpeg "Versa Secure SD-LAN implementiert die Versa-Software auf Ethernet-Switches und Access Points, um integrierte Switching-, Routing-, Sicherheits- und Netzwerkdienste bereitzustellen.
(Bild: Versa Networks)")
:quality(80)/p7i.vogel.de/wcms/6d/0e/6d0e6a223166639fcc9954914388a8f8/0115048132.jpeg "Mit Windows 365 lassen sich auch Cloud-PCs zur Verfügung stellen, auf die Anwender über den Browser oder die Remotedesktop-App in Windows 10/11 Zugriff haben. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0d/d4/0dd416bd5ede8e030098411e28a47980/0115014065.jpeg "Das Forschungsprojekt QuaSiModO zeigt mehrere praktikable Ansätze und Verfahren, mit denen der IPsec/IKEv2-Datenaustausch quantensicher gemacht werden kann. (Bild: Dar1930 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/be/5cbe24f01d4a3e7f709886c90b78b562/0115266150.jpeg "Mit Universal ZTNA sei es möglich, eine Zero-Trust-Policy auf Identitätsebene für alle Benutzer zu managen und umzusetzen. (Bild: © – RareStock – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/5d/805d47f5c82e77149c48c968717a7bec/0115028174.jpeg "Mit GoTo Rescue ist es möglich, in wenigen Sekunden eine Remotesupportsitzung auf einem beliebigen Mobilgerät, Tablet oder Computer zu initialisieren – und das auch im unattended Modus. (Bild: GoTo)")
:quality(80)/p7i.vogel.de/wcms/a0/67/a0676c15c39f3d545491e641f5471cd0/0115165459.jpeg "Die Yamaha CS-800 ist eine Video Sound Bar für kleine Besprechungsräume. (Bild: Yamaha)")
:quality(80)/p7i.vogel.de/wcms/ef/82/ef82510c2a772ae53fc6556827f3e05c/0115140985.jpeg "Das Dashboard der Wildix-Lösung visualisiert transparent das Anrufaufkommen. (Bild: Wildix)")
:quality(80)/p7i.vogel.de/wcms/9a/a9/9aa9f619b9cccaa303c7d625c2a79207/0115039586.jpeg "Die Lösungen und Services, rund um SASE variieren sehr stark, was Funktionalität und Qualität angeht. Eine sorgfältige Prüfung vor der Anschaffung einer SASE-Lösung ist daher wichtig. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f0d56ca4a1a8696bca9e2dc940292/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/b2/77/b277e4f71c0fd0234e605443300c7c6d/0114803890.jpeg "Die NC4000-Optical-Node-Plattformen sind eine Entwicklung der CommScope-Tochter Arris.
(Bild: CommScope)")
:quality(80)/p7i.vogel.de/wcms/5d/15/5d15351840a95644c2174e6c2cea50b8/0114801126.jpeg "Iwis ist Hersteller moderner Kettentriebsysteme und hat sein teures und langsames MPLS-Netz durch eine SD-WAN-Lösung von Fortinet ersetzt. (Bild: © Photocreo Bednarek - stock.adobe.com)")
Anwendungen und Infrastruktur in Segmente unterteilen Wie Netzwerksegmentierung für mehr Sicherheit sorgt
Die Policy-Konfiguration im Netzwerk wird umso schwieriger und zeitaufwändiger, je größer und komplexer das Netzwerk ist. Ständige Veränderungen in der Netzwerk- und Applikationslandschaft verschärfen die Situation weiter. Netzwerksegmentierung bis hin zur Mikrosegmentierung kann hier helfen, die Sicherheit hoch und den Aufwand klein zu halten.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Unternehmensnetzwerke sind über die Jahre hinweg immer komplexer geworden. Hunderte von Änderungsanforderungen werden wöchentlich von IT-Teams bearbeitet, die dann auf die jeweiligen Geräte innerhalb des Netzwerkes übertragen werden. Die Konsequenz: Die Komplexität und Größe der zugrunde liegenden Policy-Konfigurationen wächst und wächst – und damit werden Ressourcen verbraucht, die eigentlich zur Verwaltung der entsprechenden Änderungen benötigt werden.
Die Änderungen betreffen dabei alle Umgebungen – von Firewalls und Routern verschiedener Hersteller bis hin zu SDN- und Hybrid-Cloud-Plattformen. Die Größe eines modernen Netzwerks macht es für Unternehmen heute immer schwieriger, die damit verbundene Komplexität zu bewältigen. Cyberkriminelle können diesen Zustand und deshalb nicht korrekt gesetzte Zugriffsrechte ausnutzen.
Ein geeigneter Ansatz zur Bewältigung der Herausforderungen in puncto Netzwerksicherheit ist die Netzwerksegmentierung. Dazu werden Anwendungen und Infrastruktur in Segmente unterteilt, so dass Bedrohungen eingedämmt und deren Ausbreitung auf andere Bereiche verhindert werden können. Im Falle eines erfolgreichen Angriffs auf eines dieser Segmente kann die Überwachung verstärkt werden. Die entsprechenden Zugriffsregeln verhindern aber auf jeden Fall einen Übergriff auf nicht betroffene Bereiche im Unternehmensnetzwerk.
Netzwerksegmentierung – nicht neu aber auch nicht alt
Netzwerksegmentierung ist zwar kein neuer Ansatz, aber keineswegs veraltet. Die Definition einer effektiven Netzwerksegmentierung, deren Implementierung und langfristige Wartung ist aber dennoch eine große Herausforderung für viele Unternehmen – insbesondere angesichts neuer strenger Datenschutzbestimmungen wie der DSGVO und häufiger Änderungen der Infrastruktur durch die Einführung von Cloud-Technologien.
Aber wie können Unternehmen die effektive Implementierung von Netzwerksegmentierungspraktiken ermöglichen und dabei alle Komplexitäten eines Unternehmensnetzwerks berücksichtigen? Und wie können sie ihr Ziel eines minimal erforderlichen Zugriffs zwischen unterschiedlichen Zonen im Detail erreichen?
Angefangen bei den Basics
Der erste Schritt besteht darin, die tatsächliche Situation zu bewerten: Welche Anforderungen haben Unternehmen an ihr Netzwerk und wie sollten sie dieses unterteilen? Einzelne Abteilungen sind oft bestrebt, ihre Anwendungen in ihren eigenen Teilbereichen oder Einheiten zu behalten. Dies ist völlig logisch und ein notwendiger Schritt, um sicherzustellen, dass sensible Daten nicht in falsche Hände geraten.
Darüber hinaus ist die Segmentierung für die Unternehmen von entscheidender Bedeutung in Bezug auf die Datenschutz-Grundverordnung. Denn gemäß der neuen Verordnung müssen Organisationen den Zugriff auf Daten von Bürgern der EU nachverfolgen. Nach der Unterteilung des Unternehmensnetzwerks in einzelne Segmente beziehungsweise Sicherheitszonen müssen IT-Manager die Bereitstellung von minimal erforderlichem Zugriff auf diese Zonen oder Anwendungen sicherstellen. Vor allem hochsensible Bereiche sollten proaktiv überwacht werden, um zu erkennen, ob ein nicht benötigter Zugriff entfernt werden kann.
Netzwerksegmentierung ist kein einmaliger Job
Auch bei der Netzwerksegmentierung gilt die Devise: „Sicherheit ist ein fortlaufender Prozess, kein Zustand“. Die Netzwerksegmentierung ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der eine kontinuierliche Wartung erfordert. Netzwerksysteme müssen ständig aktualisiert werden, sei es aufgrund neuer Geschäftsanforderungen, Geräte oder Software. Um Netzwerke effektiv zu segmentieren, sollten Unternehmen Folgendes berücksichtigen:
- Überwachung des Netzwerkverkehrs innerhalb jedes Segments, um normale Aktivitäten zu messen.
- Reduzierung des Zugriffs auf bestimmte Segmente über Firewalls, um Bedrohungen zu minimieren.
- Trennung von Datenbeständen nach Regulierungsmandaten für mehr Transparenz darüber, was die geschützten Vermögenswerte enthalten und welche Maßnahmen zur Risikominderung ergriffen werden müssen.
- Kontinuierliche Überwachung auf Verstöße und Bedrohungen für das Netzwerk, sodass Änderungen in Echtzeit vorgenommen werden können und die Risikoanalyse in den Änderungsmanagementprozess integriert werden kann.
- Durchführung regelmäßiger interner Audits, um sicherzustellen, dass vorherige Änderungen der Firewall-Richtlinien kein Risiko darstellen.
Einen Schritt weiter: Mikrosegmentierung
Je nach Reifegrad und Komplexität des Unternehmens sowie der geschäftlichen Anforderungen dient die Mikrosegmentierung als Lösung für die Verwaltung des Netzwerkzugriffs durch einen dynamischeren und anwendungsspezifischen Ansatz. Durch Mikrosegmentierung werden die einzelnen Segmente noch weiter heruntergebrochen – bis hin zur Anwendungs- und Benutzerebene.
In diesen Fällen wird der Zugriff auf Daten nur einer vordefinierten Sicherheitsgruppe von Benutzern gewährt, die vom Sicherheitsteam sorgfältig verwaltet wird. Solche Gruppen können leicht geändert werden, um Änderungen im Personal zu berücksichtigen; der Zugriff erfolgt zwischen der spezifischen Sicherheitsgruppe und der spezifischen Anwendung. Anstatt Netzwerke als breitere Benutzersegmente zu behandeln, ermöglicht die Mikrosegmentierung eine überblickbare Sicherheit von Anfang an.
Mikrosegmentierung kann mit physischen Netzwerken sowie privaten und öffentlichen Cloud-Netzwerken unter Verwendung von Software-definierten Netzwerktechnologien zur Verwaltung erweiterter Cloud-Infrastrukturen erreicht werden. Dies erfordert umfassende Segmentierungslösungen, die hybride Clouds und heterogene Netzwerke adressieren und es den IT-Sicherheitsteams ermöglichen, eine Mikrosegmentierungsrichtlinie für ihr Unternehmen effektiv zu verwalten und visuell darzustellen.
In einem sich ständig ändernden Geschäftsumfeld muss unbedingt sichergestellt werden, dass diese Volatilität die Angriffsfläche nicht vergrößert und das Unternehmen damit einem Netzwerkausfall aussetzt. Entsprechende Automatisierungstools können die Lösung zur Minimierung signifikanter Sicherheitsrisiken sein, indem sie die Sicherheit an erste Stelle setzen, wenn es darum geht, die Anforderungen zu erfüllen und die Komplexität sowie den Zeitaufwand für die kontinuierliche Verwaltung von Netzwerkänderungen zu reduzieren. Unternehmen müssen sich bewusst sein, dass sie die Verwaltung der verschiedenen Gruppen überkompensieren und sich zu sehr mit der Kontrolle auseinandersetzen müssen.
Fazit
Die Aufrechterhaltung der gewünschten Netzwerksegmentierung kann angesichts der Komplexität von Sicherheitsrichtlinien und der Tatsache, dass ständige Änderungsanfragen in den meisten Unternehmen die Norm sind, eine schwierige Aufgabe sein. Wenn das Netzwerk jedoch in kleinere Einheiten unterteilt ist, kann sich ein Angriff auf einen segmentierten Bereich nicht auf einen anderen Bereich ausbreiten, wodurch insgesamt eine viel sicherere Infrastruktur entsteht und die Netzwerksicherheit erheblich verbessert wird. Letztendlich müssen Unternehmen eine Überdimensionierung des Netzwerks vermeiden und eine zentrale Konsole zur effektiven Verwaltung eines mikrosegmentierten Netzwerks über mehrere Anbieter sowie physische und Cloud-Plattformen hinweg verwalten.
Über den Autor
Pierre Visel ist Regional Director DACH bei Tufin.
(ID:45714160)
:quality(80)/p7i.vogel.de/wcms/8f/3f/8f3f51b935892e2d1397acb5969ecf3a/0114645108.jpeg "Angreifer nur am Perimeter stoppen zu wollen, reicht nicht aus, denn zu viele Angriffe überwinden oder überlisten Perimeterschutzmaßnahmen und dringen unentdeckt ein. (Bild: RareStock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/1f/401f3b163d16dd22079e81981e1210c2/0115028607.jpeg "Versa Secure SD-LAN implementiert die Versa-Software auf Ethernet-Switches und Access Points, um integrierte Switching-, Routing-, Sicherheits- und Netzwerkdienste bereitzustellen.
(Bild: Versa Networks)")