Netzwerk-Segmentierung: Unbedenklich oder unsichtbare Security-Bedrohung?
Durch Netzwerk-Segmentierung erhöhen Sie die IT-Sicherheit im Unternehmen. Gewissen Geschäftsprozessen kann die Technik aber Steine in den Weg legen.
Netzwerk-Segmentierung ist eine dieser bewährten Netzwerk-Prinzipien, die uns seit den Anfängen der IT begleiten.
Es basiert auf den Arbeiten von James Martin sowie Saltzner und Schroeder aus den Siebzigern. Die Konzepte der geringsten Rechte und Aufgabentrennung haben Unternehmen gelehrt, den Anwendern nur Zugriff auf die Systeme zu geben, die sie für das Business brauchen und sonst auf keine weiteren. Jahrzehnte später gibt es unzählige Sicherheitsvorfälle, bei denen jemand unautorisierten Zugriff auf Systeme erlangte, die er niemals hätte erreichen sollen.
In diesem Beitrag widmen wir uns den Vor- und auch Nachteilen von Netzwerk-Segmentierung. Weiterhin stellen wir Best Practices zum Thema Segmentierung vor, um die Risiken der Security-Bedrohungen für das Netzwerk zu minimieren.
Die Vorteile von Netzwerk-Segmentierung
Netzwerk-Segmentierung ist als Trennung oder Isolation von Netzwerken definiert. In der Regel verwendet man dazu eine oder mehrere Firewalls. Bei Regierungen oder dem Militär können das auch physisch getrennte Netzwerke sein. Aus Gründen der Sicherheit haben sie keine Verbindung mit anderen Netzwerken oder dem Internet. Angemessene Netzwerk-Segmentierung hilft bei folgenden Szenarien:
- Bietet ein hohes Schutzniveau für Unternehmens-kritische Server und Applikationen auf einem Need-to-Know-Prinzip (man muss Kenntnisse über deren Existenz haben).
- Sperrt Außendienst-Mitarbeiter in die benötigten Netzwerk-Bereiche.
- Vereinfacht das Netzwerk-Management. Dazu gehören auch das Ereignis-Monitoring und die Reaktion auf Vorfälle.
- Minimiert die Anstrengungen bei Security-Audits und Anfragen, die laufend von Business-Partnern und Kunden eingefordert werden.
Die Schwächen der Netzwerk-Segmentierung
In der Theorie klingen all diese Vorteile wunderbar. Allerdings ist es nicht mit „Trennen und gut ist's“ getan. Unternehmen müssen die folgenden Nachteile und Probleme in Sachen Netzwerk-Segmentierung im Hinterkopf behalten:
- Segmentierung macht es vielleicht unmöglich, dass Funktions-übergreifende Abteilungen und Anbieter von außen Zugriff auf mehrere interne Netzwerke haben. Das gilt auch für entsprechende Business-Prozesse.
- Die Verwendung der beliebten und oft eingesetzten VLANs (virtuelle Local Area Networks) scheint eine gute Idee zu sein. Jeder im lokalen Netzwerk kann aber einfach auf ein neues Segment springen und somit die Zugriffseinschränkungen umgehen, die das eigentliche Ziel der Netzwerk-Segmentierung sind. Dazu müssen Sie lediglich das Schema der IP-Adressen kennen.
- Segmentierung kann bei der Ausführung von Scans nach Sicherheitslücken ein echtes Problem darstellen. Sie müssen den entsprechenden Scanner physikalisch oder logisch mithilfe von Zugriffskontrollen (ACL) oder Firewall-Regeln von Segment zu Segment bewegen. Möglicherweise müssen Sie sogar Remote-Scanner-Sensoren einsetzen.
- Verwenden Unternehmen keine Endpunkt-Security-Kontrollen in jedem Netzwerk-Segment, um sich gegen Angriffe (Malware, Bedrohungen von innen) zu schützen, ist das Risiko immer noch beachtlich. Wir sprechen hier zum Beispiel von Anti-Malware, Intrusion Prevention und Schutz vor Datenverlust.
- Diverse mit dem Internet verbundene Netzwerkgeräte der Infrastruktur, die vom Unternehmen heutzutage eingesetzt werden, müssen von außen erreichbar sein. Es geht hier um Web-Applikationen, Cloud-Services und so weiter. Natürlich versuchen die Firmen den bösartigen Traffic zu filtern, was aber immer schwerer wird.
- Die Geschäftsführung will keine dauerhafte Behinderung bei der Nutzung ihrer Computer haben.
Netzwerk-Segmentierung muss nicht immer die Antwort auf Alles sein. Spezielle Business-Prozesse, Netzwerk-Verbindungen mit Partnern oder zu wenige Ressourcen für das Management des Netzwerks wie Geld oder Fähigkeiten können dafür ausschlaggebend sein. Selbst beim Streben nach der Balance zwischen IT-Sicherheit und Bequemlichkeit ist letzteres oft die Priorität. Das heißt aber noch lange nicht, dass Sie kein angemessen abgetrenntes Netzwerk betreiben sollten.
Interessant finde ich folgenden Fakt. Viele Unternehmen, auch große Firmen, haben diverse Ebenen an Netzwerk-Segmentierung im Einsatz. Sie verstehen allerdings nicht vollständig, wo die wirklichen Risiken lauern. Sie können aber nicht absichern, was Sie nicht komplett begreifen. Verstehen Sie nicht klipp und klar was sich wo und warum in einer Risiko-Zone befindet, können Sie auch keine effiziente Netzwerk-Segmentierung implementieren, die auf lange Sicht standhält.
Die „alle miteinander verbundenen“ Netzwerke in der heutigen Zeit fördern ohne Zweifel Sicherheitsverletzungen, die sich durch bewährte Security-Prinzipien verhindern lassen. Wie beim ganze Thema Security gilt auch hier, dass es keine Patentlösung gibt. Jedes Netzwerk ist unterschiedlich, jedes Business hat andere Anforderungen und jede Geschäftsführung hat andere Toleranzgrenzen in Bezug auf Risiken.
Was eignet sich nun für Ihr Unternehmen am besten? Das wissen nur Sie selbst. Eine Mischung aus Firewall-Regeln, ACLs und VLANs werden dafür verantwortlich sein, wer und welche Systeme Zugriff auf die entsprechenden Bereiche Ihres Netzwerks haben. Solide Penetrationstests und laufende Bewertungen der Security helfen Unternehmen bei einer Entscheidung, welche zusätzlichen Maßnahmen notwendig sind. Vielleicht brauchen Sie weitere IPS-Sensoren, striktere Datei-Zugriffsrechte oder müssen sich möglicherweise besser auf die DLP-Kontrollen fokussieren.
Sobald ein Unternehmen die richtige Mischung aus Tools und Techniken gefunden hat, fängt die harte Arbeit erst an:die tatsächliche Implementierung einer idealen Netzwerk-Segmentierung. Natürlich haben auch die Geschäftsanforderungen einen Einfluss darauf, ob Sie Netzwerk-Segmentierung tatsächlich einsetzen. Dazu gehören bekannte Risiken, Konformität (zum Beispiel PCI DSS) oder Verträge. Ebenso könnten spezielle Geschäftsprozesse diese Funktionalität benötigen. Es kann durchaus sein, dass diverse Firmen den „idealen Status“ niemals erreichen. Allerdings müssen Sie alle denkbaren Hebel in Bewegung setzen, um die Angriffsfäche des Netzwerks für jeden Anwender so gering wie mögliche zu machen.
Die heutigen Unternehmens-Netzwerke sind unglaublich komplex. Deswegen ist es essentiell, dass Sie die Auswirkungen eines Einbruchs als genauso wichtig behandeln wie die Vermeidung eines Eindringens in das Netzwerk. Im Endeffekt werden Firmenpolitik und -Kultur ein maßgeblicher Faktor sein, welche Form von Netzwerk-Segmentierung Sie implementieren und die Firma muss sich dann eben damit abfinden.
Über den Autor: Kevin Beaver arbeitet seit mehr als elf Jahren als Informationssicherheits-Berater, Gutachter und ist Sprecher der in Atlanta ansässigen Prinzip Logic LLC. Sein Spezialgebiet sind unabhängige Sicherheits-Assessments rund um das Risiko-Management. Zudem ist er Autor und Co-Autor zahlreicher Bücher wie „The Practical Guide to HIPAA Privacy and Security Compliance“ und „Hacking for Dummies“.