vege - stock.adobe.com
Mikrosegmentierung: Wie die IT-Sicherheit von der Schifffahrt lernt
Mikrosegmentierung kann ein probates Werkzeug sein, um Unternehmen vor Cyberangriffen besser zu schützen. Die Umsetzung mag eine Herausforderung sein, sich aber lohnen.
Netzwerksegmentierung ist kein neues Konzept. Seit Jahren ist es die wichtigste Empfehlung für CISOs und andere Sicherheitsverantwortliche, um weitläufige Netzwerke zu sichern und große Angriffsflächen in überschaubare Segmente zu unterteilen. Das Prinzip ist vergleichbar mit der Unterteilung eines Schiffes in verschiedene Sektionen auf der Grundlage von Sicherheitstüren: Im Falle eines Durchbruchs des Schiffsrumpfes verhindert die Segmentierung eine Überflutung der umliegenden Bereiche und damit den Untergang des gesamten Schiffes. Bei der Netzwerksegmentierung nutzt man dieses Prinzip, um Bereiche eines Netzwerks zu unterteilen, um Angriffe wie Ransomware zu verhindern, die sich nach erfolgreicher Infiltration selbst verbreiten und dann seitlich von Computer zu Computer weiterziehen.
Die Netzwerksegmentierung eignet sich am besten für die Kontrolle des Nord-Süd-Verkehrs, also des Datenflusses, der von außen in ein Unternehmen gelangt. Ihr Hauptzweck besteht darin, wichtige Unternehmensdaten abzutrennen und zu schützen und die seitliche Bewegung durch das Netzwerk zu begrenzen. Die Mikrosegmentierung geht noch einen Schritt weiter und bietet eine konkretere Lösung zur Eindämmung der lateralen Ost-West-Bewegung interner Daten. Dabei handelt es sich um eine Technik zur Schaffung sicherer Zonen in Netzwerken, die es Unternehmen ermöglicht, Arbeitslasten voneinander zu isolieren und strenge Kontrollen über den internen Zugriff auf sensible Daten einzuführen.
Einfach ausgedrückt: Wenn man sich die Netzwerksegmentierung als Boden, Decke und schützende Außenhülle vorstellt, ist die Mikrosegmentierung gleichbedeutend mit der Bildung von Stahltüren und Korridoren, die den Zugang zu einzelnen Bereichen des Schiffes ermöglichen oder einschränken. Die beiden Methoden können in Kombination eingesetzt werden, um die Cybersicherheit zu stärken und die Anfälligkeit für Risiken im gesamten Sicherheitsnetzwerk zu verringern.
Wie hilft die Mikrosegmentierung beim Schutz vor Ransomware?
Die Zahl der Ransomware-Angriffe auf Unternehmensnetzwerke erreicht jedes Jahr neue Rekordhöhen. Ransomware ist für Cyberkriminelle so attraktiv geworden, dass eine ganze Subindustrie für Ransomware-as-a-Service (RaaS) im dunklen Netz entstanden ist, die Möchtegern-Angreifern die Tools für ihre eigens orchestrierten Angriffe zur Verfügung stellt. Der Einsatz von Mikrosegmentierung im gesamten Sicherheitsnetzwerk kann jedoch dazu beitragen, Ransomware in den frühen Stadien eines Angriffs einzudämmen. Wenn eine Sicherheitslücke auftritt und Malware einen Computer in einem bestimmten Netzwerk übernimmt, kann die zuvor in das mikrosegmentierte Netzwerk eingebettete Richtlinie verhindern, dass sich die Malware auf eine benachbarte mikrosegmentierte Zone ausbreitet. Diese Art von Hierarchie kann Unternehmen dabei helfen, eine systemweite Abschaltung zu verhindern, die den Verlust wichtiger Daten und mögliche negative finanzielle Auswirkungen verhindern könnte.
Wie passt Zero Trust zur Mikrosegmentierung?
Zero Trust ist eine Manifestation des Prinzips der „Least Privilege“, beziehungsweise des Prinzips der minimalen Rechtevergabe, bei der Vergabe von Sicherheitsberechtigungen. Es ist auch eine Denkweise, die Sicherheitsteams dazu anleitet, nicht blindlinks davon auszugehen, dass Menschen oder Maschinen grundsätzlich vertrauenswürdig sind. Aus der Netzwerkperspektive bedeutet Zero Trust, dass interne Netzwerke nicht vertrauenswürdiger sind als externe Netzwerke. Daher könnte die Mikrosegmentierung als Königsweg zum Erreichen von Zero Trust auf Netzwerkebene angesehen werden, indem restriktive Filterrichtlinien im internen Netzwerk zur Kontrolle des Ost-West-Verkehrs eingesetzt werden. Genauso wie Einzelpersonen in einem Unternehmen nur dann Zugriff auf Daten haben sollten, wenn sie diese benötigen, sollte auch der Datenverkehr zwischen Geschäftseinheiten nur dann fließen dürfen, wenn die unterstützenden Anwendungen Zugriff auf diese Einheiten benötigen.
Public Cloud und Mikrosegmentierung - geht das zusammen?
Vor dem Aufkommen der Mikrosegmentierung war es sehr schwierig, Netze in Zonen und Unterzonen aufzuteilen, da dies den physischen Einsatz von Geräten erforderte. Das Routing musste geändert werden, Firewalls mussten lokal installiert, und der Segmentierungsprozess musste sorgfältig überwacht und von einem Team von Mitarbeitern verwaltet werden. Zum Glück für alle SecOps-Teams ist dies dank der schnellen Einführung der Cloud-Technologie nicht mehr der Fall.
„Die Mikrosegmentierung ist eine praktikable und skalierbare Lösung zur Verschärfung der Netzwerksicherheitsrichtlinien, auch wenn die Umsetzung einige Herausforderungen mit sich bringt.“
Prof. Avishai Wool, AlgoSec
Wenn es um die Segmentierung geht, scheint bei vielen ein Missverständnis über die Mikrosegmentierung zu bestehen. Denn häufig wird sie nur als eine Netzwerksicherheitslösung für private Cloud-Umgebungen wahrgenommen. Die Wahrheit ist jedoch, dass Mikrosegmentierung in einer hybriden Cloud-Umgebung eingesetzt werden kann - Public Cloud, Private Cloud und vor Ort. Darüber hinaus bieten alle Public-Cloud-Netzwerke, einschließlich derer auf Azure und AWS, integrierte Filterfunktionen, die die Kontrolle des Datenverkehrs erheblich erleichtern und es Unternehmen ermöglichen, Mikrosegmentierung effektiver einzusetzen. Dies wiederum eignet sich perfekt für das Konzept der Mikrosegmentierung, so dass Unternehmen, die eine Hybrid-Cloud-Konfiguration verwenden, ebenfalls enorm davon profitieren können.
Die Quintessenz
Die Mikrosegmentierung ist eine praktikable und skalierbare Lösung zur Verschärfung der Netzwerksicherheitsrichtlinien, auch wenn die Umsetzung einige Herausforderungen mit sich bringt. Auch wenn es für viele Unternehmen schwierig sein mag, diese neue Sicherheitsmethode zu verwalten, ist sie dennoch eine lohnende Investition. Durch den Einsatz einer Mikrosegmentierungsmethode als Teil der Netzwerksicherheitsstrategie kann ein Unternehmen seine Netzwerksicherheit sofort gegen potenzielle Hacker, Ransomware-Angriffe und mögliche Datenschutzverletzungen stärken.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.