cherezoff - stock.adobe.com

Was ist bei Netzwerksegmentierung mit SD-WAN zu beachten?

Segmentierungstechniken sind oft unhandlich. Wenn Unternehmen eine Netzwerksegmentierung mit SD-WAN in Erwägung ziehen, müssen sie ihre Netzwerkumgebungen und Ziele verstehen.

Software-defined WAN (SD-WAN) hat einen neuen Schwerpunkt auf Netzwerksegmentierung und Sicherheit gesetzt. Alle großen SD-WAN-Anbieter bieten eine Form der Netzwerksegmentierung in ihren Produkten an und preisen diese Technik als Möglichkeit an, Sicherheit und Pfadisolierung zu gewährleisten.

Eine angemessene Netzwerksegmentierungsstrategie erfordert, dass Unternehmen ein solides Verständnis ihrer Systeme und Ziele entwickeln. SD-WAN-Anbieter haben ihre eigenen Definitionen von Netzwerksegmentierung, und es gibt keinen einzigen Anbieter, der eine einheitliche Segmentierungsstrategie hat, die die Segmentierungsanforderungen Ihres Unternehmens ganzheitlich erfüllt.

Es werden wahrscheinlich unzählige Segmentierungsüberlegungen auftauchen – von der Authentifizierung und Autorisierung bis hin zur Verwaltung von Sicherheitsrollen und -richtlinien – und die Recherche ist entscheidend.

Veraltete Segmentierungstechniken sind umständlich

Netzwerkteams haben traditionell Netzwerke segmentiert, indem sie eine Vielzahl von Tools verwendeten, um eine Pfadisolierung in verschiedenen Prozessen zu schaffen. Verschiedene Tag-Routing-Schemata oder virtualisierte Routing-Instanzen waren üblich, ebenso wie Zugriffskontrolllisten (ACL). Fast alle Methoden arbeiteten irgendwo in Layer 2 bis Layer 4, und die meisten waren umständlich und arbeitsintensiv zu implementieren sowie zu verwalten.

Die Isolierung basierte nicht auf der Identität, sondern auf dem Standort der IP-Adresse. Diese Methode funktionierte in den Tagen, als ein Rechner einen Dienst ausführte oder ein Benutzer an einem Endpunktgerät saß, aber diese Zeiten sind vorbei.

Heute haben wir mehrere Dienste an einem Endpunkt, und die Dienste bewegen sich dynamisch oder skalieren als Reaktion auf unzählige Stimuli. Eine Isolierung, die ausschließlich auf einer IP-Adresse basiert, ist nicht mehr ausreichend oder skalierbar.

Die Sicherheit war rudimentär, basierte entweder auf der Identität oder dem Standort und wurde durch ACLs verwaltet, die selbst bei geringem Volumen schnell unhandlich wurden. Das Durchsetzen der Maschinen- und Anwendungssicherheit war nicht besser. Die Nachverfolgung, wer worauf Zugriff haben sollte, wurde zu einer Übung in Vergeblichkeit. Fehler bei der Rangfolge der Sicherheitszugriffe waren an der Tagesordnung. Kein Wunder, dass ein neuer Segmentierungsansatz aufkam.

Netzwerksegmentierung und SD-WAN

Im Kern zielt die Netzwerksegmentierung darauf ab, zu verhindern, dass ein Prozess das Netzwerk seitlich durchquert. Mit anderen Worten: Die Instanz einer Textverarbeitung eines Benutzers hat keinen Grund, auf eine Datenbank auf dem System eines anderen Benutzers zuzugreifen. Ebenso hat ein Frontend-System, das für den Zugriff auf eine einzige Datenbank programmiert ist, keine Notwendigkeit, mit anderen Systemen im Netzwerk zu kommunizieren. Eine gute Segmentierungsstrategie isoliert Prozesse auf genau die Komponenten und Systeme, auf die sie zugreifen müssen.

Eine Hürde, die mit einer Strategie zur Netzwerksegmentierung verbunden ist, besteht darin, die verschiedenen Segmentierungs-Tools zu sortieren, die von SD-WAN-Anbietern angeboten werden. Einige Anbieter verfolgen einen eher netzwerkzentrierten Ansatz, der sich auf Pfadisolierung und Segmentierung auf Layer 3 und Layer 4 stützt; andere verfolgen einen eher anwendungszentrierten Ansatz auf Layer 7.

Eine gute Segmentierungs-Strategie isoliert Prozesse auf genau die Komponenten und Systeme, auf die sie zugreifen müssen.

Wieder andere segmentieren mit einer Mischung aus Technologien auf verschiedenen Layern. Alle verfolgen jedoch das gleiche Ziel, nämlich eine Sicherheitsbarriere zwischen System- und Benutzerprozessen zu errichten.

Sicherheitsverletzungen sind heutzutage weit verbreitet und treten mit alarmierender Häufigkeit auf. Sicherheitskontrollen sollten daher bei der Auswahl eines SD-WAN-Produkts an erster Stelle stehen. Es reicht nicht aus, das Netzwerk statisch zu segmentieren. Eine gute SD-WAN-Plattform muss Sicherheitsereignisse nahezu in Echtzeit überprüfen und darauf reagieren, während sie gleichzeitig den Schaden, der durch eine Sicherheitsverletzung entstehen kann, minimiert.

Weitere wichtige Funktionen für die Segmentierung sind:

  • automatisierte Bereitstellung

  • Unterstützung für die Pfadisolierung

  • Zugriffs- und Autorisierungsstrategie, idealerweise unter Verwendung eines dedizierten Vertraulichkeitsbereichs (Secrets Vault).

Die Umstellung eines traditionell nicht-segmentierten Netzwerks auf eines, das auf einem stark segmentierten Design aufbaut, erfordert ein hohes Maß an Voraussicht und solide Kenntnisse der Geschäftsanforderungen.

Die Segmentierung um des Neuen willen ist kein guter Grund, eine Segmentierungsstrategie einzusetzen. Kein einziger Anbieter hat eine vollständige Netzwerksegmentierungsstrategie. Netzwerkteams in Unternehmen können die Herausforderung, mehrere unterschiedliche Produkte zusammenzufügen, nur meistern, wenn sie ihr aktuelles Netzwerk verstehen und wissen, warum sie es segmentieren wollen.

Erfahren Sie mehr über Software-defined Networking