Was ist Mikrosegmentierung?

Die Mikrosegmentierung bietet Unternehmen zahlreiche Vorteile, unter anderem:

• Reduzierte Angriffsfläche: Durch die Aufteilung des Netzwerks in kleinere Segmente reduziert die Mikrosegmentierung die Angriffsfläche und erschwert Angreifern den Zugriff auf kritische Assets. 
• Verbesserte Eindämmung von Sicherheitsverletzungen: Im Falle einer Sicherheitsverletzung kann die Mikrosegmentierung dazu beitragen, die Auswirkungen des Angriffs einzudämmen, indem sie die Bewegungsfreiheit des Angreifers im Netzwerk einschränkt. Durch die Isolierung betroffener Bereiche des Netzwerks kann die Mikrosegmentierung die Verbreitung von Malware oder anderen schädlichen Aktivitäten verhindern und so den potenziellen Schaden verringern, der durch die Sicherheitsverletzung entsteht. 
• Bessere Einhaltung gesetzlicher Vorschriften: Zahlreiche gesetzliche Rahmenbedingungen verlangen von Organisationen die Implementierung strenger Zugriffskontrollen und Sicherheitsmaßnahmen zum Schutz vertraulicher Daten. Indem sichergestellt wird, dass nur autorisierte Benutzer und Applications auf vertrauliche Ressourcen zugreifen können, kann Mikrosegmentierung Unternehmen dabei helfen, die Einhaltung gesetzlicher Standards nachzuweisen. 
• Vereinfachte Richtlinienverwaltung: Mikrosegmentierung kann die Richtlinienverwaltung vereinfachen, indem sie die Anwendung von Sicherheitsrichtlinien auf bestimmte Segmente des Netzwerks ermöglicht. Dies kann insbesondere in großen oder komplexen Netzwerken nützlich sein, in denen die Verwaltung von Richtlinien für jedes einzelne Gerät oder jeden einzelnen Benutzer eine Herausforderung darstellen kann. 

Bei unsachgemäßer Planung und Umsetzung kann die Mikrosegmentierung eine Herausforderung für die Netzwerkleistung und -sicherheit darstellen.

• Leistungseinbußen . Durch die Mikrosegmentierung kann die Überwachung und Verwaltung des Netzwerks komplexer werden. Eine zu feine Segmentierung des Netzwerks oder die Anwendung zu vieler Sicherheitsrichtlinien kann sich auf die Netzwerkverkehrsmuster auswirken und die Netzwerkleistung einschränken. Durch die Anwendung von Sicherheitsrichtlinien auf jedes Segment entsteht zusätzlicher Overhead im Netzwerk, was zu Latenz und geringerer Netzwerkleistung führen kann.
• Sicherheitslücken. Obwohl Mikrosegmentierung eine leistungsstarke Sicherheitstechnik ist, müssen die Richtlinien richtig konfiguriert werden, um sicherzustellen, dass der gesamte Datenverkehr ordnungsgemäß gefiltert und zugelassen/verweigert wird. Fehlkonfigurationen und eine inkonsistente Durchsetzung der Richtlinien können zu Sicherheitslücken, blockiertem legitimen Datenverkehr und potenziellen Schwachstellen führen.

Organisationen sollten ihre Mikrosegmentierungsstrategie sorgfältig planen und dabei die Anzahl und Größe der Segmente, die anzuwendenden Sicherheitsrichtlinien und die Auswirkungen auf die Netzwerkverkehrsmuster berücksichtigen. Um sicherzustellen, dass die Mikrosegmentierung weder die Netzwerkleistung beeinträchtigt noch Sicherheitslücken verursacht, sollten entsprechende Tests und Überwachungen durchgeführt werden.

Durch Mikrosegmentierung können Unternehmen sichere Zonen oder Segmente innerhalb ihrer Netzwerke erstellen, was eine detaillierte Kontrolle über den Netzwerkverkehr ermöglicht und die Angriffsfläche minimiert. Jedes Segment wird dann durch Richtlinien und Kontrollen gesichert, die nur autorisierten Datenverkehr zwischen den Segmenten zulassen.

Mikrosegmentierung wird typischerweise mithilfe von Software-Defined Networking (SDN) implementiert, wodurch die Erstellung virtueller Netzwerke ermöglicht wird, die unabhängig von der physischen Netzwerkinfrastruktur sind. Jedes der Netzwerksegmente wird durch Richtlinien gesichert, die die Arten von Datenverkehr definieren, die in das Segment ein- und aus ihm herausfließen dürfen. Mithilfe von Zugriffskontrolllisten (ACLs) lässt sich beispielsweise steuern, welche Benutzer oder Geräte auf welches Segment zugreifen dürfen. Mithilfe von Intrusion Detection and Prevention-Systemen (IDPS) können böswillige Aktivitäten innerhalb jedes Segments erkannt und blockiert werden. Durch Verschlüsselung können Daten beim Transport zwischen Segmenten geschützt werden.

Durch Mikrosegmentierung wird eine detaillierte Sichtbarkeit und Kontrolle des Netzwerkverkehrs ermöglicht. Dadurch können nicht autorisierter Datenverkehr und potenzielle Sicherheitsverletzungen leichter identifiziert und schnell auf Sicherheitsvorfälle reagiert werden.

Es gibt drei Haupttypen von Mikrosegmentierungskontrollen.

Agentenbasierte Mikrosegmentierungskontrollen verwenden auf Endpunkten wie Servern, Workstations oder anderen Netzwerkgeräten installierte Software-Agenten, um Richtlinien zur Netzwerksegmentierung durchzusetzen. Der Agent überwacht und erzwingt kontinuierlich die für diesen Endpunkt spezifischen Richtlinien und kann zentral über eine Verwaltungskonsole verwaltet werden, was die Konfiguration und Bereitstellungsrichtlinien im gesamten Netzwerk einer Organisation vereinfacht.

Netzwerkbasierte Mikrosegmentierungskontrollen verwenden SDN, um virtuelle Netzwerksegmente zu erstellen, jedes mit seinem eigenen Satz an Sicherheitsrichtlinien und -kontrollen. Diese virtuellen Segmente sind voneinander isoliert, was die Möglichkeit seitlicher Bewegungen durch Angreifer einschränkt. Richtlinien und Kontrollen werden auf der Netzwerkebene und nicht auf der Endpunktebene durchgesetzt. Dadurch ist es möglich, den Netzwerkverkehr anhand einer Vielzahl von Faktoren zu segmentieren, darunter Benutzeridentität, Anwendungstyp und Netzwerkstandort.

Native Cloud-Mikrosegmentierungssteuerungen sind speziell für Cloud-Umgebungen konzipiert. Sie verwenden Cloud-native Sicherheitsfunktionen wie Netzwerksicherheitsgruppen und virtuelle private Clouds, um virtuelle Netzwerksegmente zu erstellen und Sicherheitsrichtlinien durchzusetzen. Diese Kontrollen nutzen die nativen Sicherheitsfunktionen der Cloud-Plattform, um detaillierte Sicherheitsrichtlinien bereitzustellen, die automatisch in allen Cloud-Instanzen durchgesetzt werden.

Abhängig von ihren spezifischen Anforderungen und Zielen können Organisationen sich für die Implementierung einer oder mehrerer Arten der Mikrosegmentierung entscheiden. Zu den gängigen Arten der Mikrosegmentierung gehören die folgenden.

Anwendungssegmentierung

Durch die Anwendungssegmentierung werden einzelne Anwendungen durch die Erstellung von Sicherheitsrichtlinien geschützt, die den Zugriff auf bestimmte Anwendungsressourcen wie Datenbanken, APIs und Webserver kontrollieren. So können unbefugte Zugriffe und Datenlecks verhindert werden. Darüber hinaus können Unternehmen Zugriffskontrollen mit geringstmöglichen Berechtigungen durchsetzen und so sicherstellen, dass Benutzer und Anwendungen nur auf die Ressourcen zugreifen können, die sie zum Ausführen ihrer spezifischen Funktionen benötigen.

Tier-Segmentierung

Durch die Ebenensegmentierung werden unterschiedliche Ebenen oder Schichten eines Anwendungsstapels gesichert, beispielsweise die Webebene, die Anwendungsebene und die Datenbankebene. So wird verhindert, dass sich Angreifer innerhalb des Anwendungsstapels seitlich bewegen und auf vertrauliche Daten oder Ressourcen zugreifen.

Umweltsegmentierung

Durch die Sicherung unterschiedlicher Umgebungen oder Zonen innerhalb eines Netzwerks, beispielsweise Entwicklungs-, Test- und Produktionsumgebungen, können Unternehmen strenge Zugriffskontrollen auf diese Umgebungen durchsetzen und sicherstellen, dass vertrauliche Daten und Ressourcen nur für autorisierte Benutzer und Anwendungen zugänglich sind.

Containersegmentierung

Durch die Containersegmentierung werden einzelne Container oder Containergruppen innerhalb einer Containerumgebung gesichert. Dadurch wird die Angriffsfläche verringert und Angreifer können sich nicht seitlich innerhalb der Containerumgebung bewegen. Ohne entsprechende Segmentierung können Container möglicherweise auf die Daten und Konfigurationsdateien der anderen zugreifen, was zu Sicherheitslücken führen kann.

Bewährte Methoden für die Containersegmentierung

• Containerisolierung. Verwenden Sie Technologien wie Docker oder Kubernetes, um sicherzustellen, dass Container vom Hostsystem und von anderen Containern auf demselben System isoliert sind. Dadurch wird verhindert, dass Container auf Ressourcen außerhalb ihres vorgesehenen Bereichs zugreifen.
• Netzwerksegmentierung. Verwenden Sie Netzwerksegmentierung, um die Kommunikation zwischen Containern und anderen Netzwerkressourcen zu begrenzen. Dazu gehört das Erstellen separater Netzwerke für jeden Container und das Konfigurieren von Firewall-Regeln, um den Datenverkehr zwischen den Containern zuzulassen oder zu verweigern und sicherzustellen, dass nur autorisierte Kommunikation zulässig ist.
• Rollenbasierte Zugriffskontrolle. Implementieren Sie eine rollenbasierte Zugriffskontrolle (RBAC), um sicherzustellen, dass nur autorisierte Benutzer auf Container und zugehörige Ressourcen zugreifen und diese ändern können. RBAC-Frameworks wie Kubernetes RBAC können implementiert werden, um Benutzerrollen und -berechtigungen zu definieren und durchzusetzen.
• Bildsignierung. Verwenden Sie die Image-Signierung, um sicherzustellen, dass zum Erstellen von Containern nur vertrauenswürdige Images verwendet werden. Digitale Signaturen können dazu beitragen, die Manipulation oder Änderung von Container-Images zu verhindern.
• Laufzeitschutz. Verwenden Sie Laufzeitschutz, um Sicherheitsbedrohungen während der Containerlaufzeit zu erkennen und darauf zu reagieren. Tools wie Runtime-Sicherheitsagenten und Schwachstellenscanner können Container auf Anzeichen einer Kompromittierung überwachen und entsprechende Maßnahmen zur Risikominderung ergreifen.

Benutzersegmentierung in der Cloud-Sicherheit

• RBAC weist Benutzer basierend auf ihren Verantwortlichkeiten und Zugriffsanforderungen bestimmten Rollen oder Gruppen zu. Jeder Rolle ist ein Satz an Berechtigungen und Zugriffskontrollen zugeordnet, die für diese Rolle geeignet sind. RBAC stellt sicher, dass Benutzer nur auf die Ressourcen und Daten zugreifen können, die sie für ihre Arbeit benötigen.
• Bei der Multi-Faktor-Authentifizierung (MFA) müssen Benutzer zwei oder mehr Authentifizierungsformen angeben, bevor ihnen Zugriff auf ein System oder eine Anwendung gewährt wird. Dies können beispielsweise ein Passwort, ein Sicherheitstoken, ein Einmalzugangscode oder biometrische Daten sein. MFA ist eine wirksame Möglichkeit, unbefugten Zugriff auf Cloud-Ressourcen zu verhindern, insbesondere in Kombination mit RBAC.
• Bei der kontinuierlichen Überwachung werden Benutzeraktivitäten und Systemprotokolle regelmäßig auf verdächtiges Verhalten oder potenzielle Sicherheitsbedrohungen analysiert. Es kann beim Erkennen von anormalem Verhalten helfen, indem es Sicherheitsteams auf Aktivitäten aufmerksam macht, die nicht den normalen Zugriffsmustern oder Verhaltensweisen eines Benutzers entsprechen.
• Durch die Aufgabentrennung wird sichergestellt, dass kein einzelner Benutzer die vollständige Kontrolle über einen kritischen Prozess oder ein kritisches System hat. Durch die Segmentierung der Benutzer in unterschiedliche Rollen und Verantwortlichkeiten wird das Betrugs- oder Fehlerrisiko verringert und sichergestellt, dass vertrauliche Vorgänge von mehreren Mitarbeitern ausgeführt werden.
• Bei der regelmäßigen Zugriffsüberprüfung wird der Benutzerzugriff auf Systeme und Anwendungen routinemäßig ausgewertet, um sicherzustellen, dass Benutzer nur auf die Ressourcen zugreifen können, die sie benötigen. Zugriffsüberprüfungen können dabei helfen, unnötige Zugriffsrechte zu erkennen und zu entfernen und so das Risiko eines unbefugten Zugriffs zu verringern.

Arbeitslasten sind ein wesentlicher Aspekt der Mikrosegmentierung, da es sich dabei um die Rechen- oder Verarbeitungseinheiten handelt, die in einem Netzwerk ausgeführt werden. Workloads können Anwendungen, Dienste oder Prozesse sein, die miteinander kommunizieren müssen, um ordnungsgemäß zu funktionieren. Mikrosegmentierung ermöglicht eine detaillierte Sicherheitskontrolle auf Workload-Ebene und ermöglicht es Unternehmen, bestimmte Workloads zu isolieren und vor potenziellen Bedrohungen zu schützen. Durch die Segmentierung von Workloads kann ein Unternehmen die potenzielle Angriffsfläche einschränken, die seitliche Ausbreitung von Bedrohungen verhindern und Sicherheitsrichtlinien auf Workload-Basis durchsetzen.

Workloads können Abhängigkeiten aufweisen, d. h., sie haben Beziehungen und Interaktionen mit verschiedenen Applications und Diensten innerhalb einer Netzwerkumgebung. Das Verständnis von Abhängigkeiten ist für effektive Mikrosegmentierungsstrategien wichtig, da Zugriffsänderungen an einer Application oder einem Dienst die Leistung oder Sicherheit anderer Applications und Dienste beeinträchtigen können. Abhängigkeiten sollten vor der Implementierung der Mikrosegmentierung abgebildet werden. 

Perimeter- bzw. Netzwerksicherheit und Mikrosegmentierung sind zwei unterschiedliche Sicherheitsstrategien, die verschiedene Aspekte der Netzwerksicherheit betreffen. Perimetersicherheit sorgt für eine erste Verteidigungslinie gegen externe Bedrohungen und bezieht sich auf den Schutz des äußeren Rand des Netzwerks – in der Regel des Edge-Netzwerks – durch Einschränkung des Zugriffs auf das Netzwerk von außen. Dazu wird der „Nord-Süd-Datenverkehr“ (von Client zu Server), der den Sicherheitsperimeter zu durchqueren versucht, überprüft und bösartiger Datenverkehr gestoppt. Perimetersicherheit wird in der Regel durch Technologien wie Firewalls, Systeme zur Angriffserkennung und Angriffsverhinderung sowie VPNs erreicht.

Die Mikrosegmentierung betrifft die interne Sicherheit des Netzwerks. Dabei wird das Netzwerk in kleinere Segmente oder Zonen unterteilt, um präzisere Sicherheitskontrollen jedes Segments zu ermöglichen. Dies hilft dem Unternehmen, den lateralen „Ost-West-Datenverkehr“ innerhalb des Netzwerks sowie auf Anwendungs- und Workload-Ebene besser zu kontrollieren und die potenzielle Angriffsfläche zu verkleinern.

Sowohl die Netzwerksegmentierung als auch die Mikrosegmentierung verbessern die Netzwerksicherheit und -leistung, unterscheiden sich jedoch grundlegend. Bei der herkömmlichen Netzwerksegmentierung (manchmal auch Makrosegmentierung genannt) wird ein Netzwerk basierend auf Funktion oder Standort in größere Segmente unterteilt. Es konzentriert sich normalerweise auf den Verkehr, der in Nord-Süd-Richtung (Client zum Server) in das Netzwerk hinein und aus dem Netzwerk heraus fließt.  

Bei der Mikrosegmentierung wird ein Netzwerk in kleinere Segmente unterteilt und auf diese werden individuelle Sicherheitsrichtlinien angewendet. Dies ermöglicht eine feinere Kontrolle des Ost-West-Netzwerkzugriffs und die Durchsetzung von Zero-Trust-Zugriffskontrollen. Durch die Mikrosegmentierung werden Sicherheitsrichtlinien auf der Ebene der einzelnen Arbeitslasten oder Anwendungen und nicht auf der Netzwerkebene angewendet.

Firewall-Richtlinien sind Regeln, die definieren, wie die Firewalls einer Organisation Datenverkehr zwischen verschiedenen Segmenten eines Netzwerks oder zwischen einem Netzwerk und dem Internet zulassen oder verweigern. Firewall-Richtlinien sind die Regeln, die bestimmen, wie Datenverkehr zwischen diesen Segmenten und Ebenen zugelassen oder verweigert wird. 

Firewalls kontrollieren den Zugriff auf ein Netzwerk, indem sie den Datenverkehr anhand vordefinierter Regeln filtern. Während Firewalls zur Zugriffskontrolle zwischen Segmenten verwendet werden können, unterteilt die Mikrosegmentierung ein Netzwerk in kleinere Segmente und wendet auf jedes Segment einzigartige Sicherheitsrichtlinien an. Dies ermöglicht eine detailliertere Kontrolle des Netzwerkzugriffs und ermöglicht es Unternehmen, den Zugriff auf bestimmte Applications und Dienste zu beschränken. 

Ein virtuelles Netzwerk wird innerhalb einer physischen Netzwerkinfrastruktur betrieben, verwendet jedoch Software, um Computer, VMs und Server oder virtuelle Server über ein sicheres Netzwerk zu verbinden. Dies steht im Unterschied zum traditionellen physischen Netzwerkmodell, bei dem Hardware und Kabel Netzwerksysteme verbinden. Mithilfe virtueller Netzwerke können isolierte Umgebungen innerhalb eines größeren Netzwerks erstellt werden, sodass Unternehmen bestimmte Applications oder Dienste in Mikrosegmente unterteilen können.  

Mikrosegmentierung kann Unternehmen dabei helfen, ihre Anwendungen und Daten in ihren Netzwerken besser vor potenziellen Bedrohungen zu schützen, da sie die einem Angreifer zur Verfügung stehende Angriffsfläche begrenzt. Darüber hinaus kann die Mikrosegmentierung für mehr Transparenz und Kontrolle über den Netzwerkverkehr sorgen, sodass Sicherheitsvorfälle leichter erkannt und darauf reagiert werden können.

F5 bietet Produkte und Dienstleistungen an, die Unternehmen bei der Implementierung und Verwaltung von Mikrosegmentierung und anderen Sicherheitskontrollen in ihren Netzwerken unterstützen können. Erfahren Sie, wie F5 einfache und sichere Konnektivität über öffentliche und hybride Clouds, Rechenzentren und Edge-Sites hinweg bereitstellt. Entdecken Sie, wie F5 sichere Netzwerke auf App-Ebene und automatisierte Bereitstellung von Cloud-Netzwerken für verbesserte Betriebseffizienz bereitstellt