Blog

Die explosionsartige Zunahme der Remote-Arbeit hat dazu geführt, dass nicht mehr die Hauptniederlassung eines Unternehmens im Zentrum der Aufmerksamkeit der Sicherheitsteams steht, sondern viel eher die verteilten Unternehmensnetzwerke und weit verstreuten Remote-Mitarbeitenden. Das wiederum hat den Fokus von verteilten Netzwerken und Technologien, wie SD-WAN, an den Rand des Netzwerks verlagert – und auf Technologien wie Zero Trust Security und Mikrosegmentierung.

In einem herkömmlichen Netzwerk ist die Sicherheit an die Infrastruktur im Data Center gebunden, von der zentralen Firewall bis hin zu den Compute-Ressourcen. Operativ wird die sichere Kommunikation zwischen den Servern und den Clients mittels dem zentralen Policy Enforcement Point (PEP) auf der Firewall implementiert. Bei Änderungen im Netz müssen die Sicherheitsrichtlinien auf dem PEP neu konfiguriert werden. Andernfalls kann die Sicherheit kompromittiert und das Netz gefährdet werden. Ausserdem wird bei Sicherheitsverletzungen im Netz das Potenzial für weitreichende Schäden durch eine flache Netzwerk-Topologie verstärkt. Die oben genannten Unzulänglichkeiten erklären, warum eine herkömmliche Netzwerkarchitektur mit einem zentralen Perimeter ohne weiterführende Zonierung in Rechenzentrumsumgebungen im Zusammenspiel mit Cloud-Plattformen oft nicht genügend Schutz gegen Risiken im Zusammenhang mit einem Sicherheitsvorfall im Netzwerk bietet.

Die Mikrosegmentierung hingegen nutzt die Virtualisierungstechnologie, um granulare Sicherheitszonen in Netzwerken zu schaffen. Durch die Anwendung eng fokussierter Sicherheitsrichtlinien verlagert die Mikrosegmentierung die Sicherheit weg von der einfachen Identifizierung von IP-Adressen und gewährt Benutzern nur Zugriff auf die Anwendungen und Daten, die sie aufgrund ihrer Identität und Rolle benötigen. Die Sicherheit konzentriert sich dann auf den einzelnen Benutzer und schränkt gefährliche Seitwärtsbewegungen innerhalb eines Netzwerks ein. Diese Richtlinien können je nach Standort und Gerät weiter verfeinert werden - ein adaptiver Ansatz, der das aktuelle Sicherheitsrisiko berücksichtigt. Es handelt sich dabei um eine Kerntechnologie für Zero Trust, d. h. für die Idee, dass niemandem vertraut werden sollte und niemandem mehr Zugriff gewährt werden sollte, als er benötigt. Bei der Mikrosegmentierung wird die Sicherheit auf der Grundlage von

• Anwendungen und ihren Arbeitslasten,
• dem Ort, an dem diese Arbeitslasten verwendet werden,
• den Daten, auf die diese Arbeitslasten Zugriff benötigen, konfiguriert.

Sicherheitsrichtlinien können so festgelegt werden, dass der Netzwerkzugang eines Workloads immer dann unterbrochen wird, wenn dieser versucht, entgegen den in der Richtlinie festgelegten Regeln zu arbeiten. Dieselbe Funktion kann bis auf die Prozessebene ausgedehnt werden, was eine noch grössere Granularität der Netzwerksicherheit ermöglicht. In der Praxis funktioniert die Mikrosegmentierung am besten für den Datenverkehr zwischen Servern und den Anwendungen, die auf sie zugreifen. Dies macht sie ideal für Rechenzentren und Cloud-Plattformen.

Anwendungsfälle für Mikrosegmentierung

Mikrosegmentierung ist für sicherheits- und konformitätsbewusste Unternehmen sowie für allgemeine Entwicklungs- und Produktionssysteme nützlich. Dazu gehören:

• Sicherheit für Soft Assets
  Werte wie Kundeninformationen, Informationen über Mitarbeitende, Finanzdaten und geistiges Eigentum müssen geschützt werden. Mikrosegmentierung bietet eine zusätzliche Sicherheitsebene, die Soft-Assets vor böswilligen Aktionen und Exfiltration schützt.
   
• Entwicklungs- und Produktionssysteme
  Die einfache Trennung von Entwicklungs- und Testumgebungen verhindert nicht unbedingt unvorsichtige Aktivitäten wie die Entnahme von Kundeninformationen aus Produktionsdatenbanken durch Entwickler. Die Mikrosegmentierung sorgt für eine kontext-basierte Trennung, indem sie die Konnektivität zwischen Entwicklungs- und Testumgebungen einschränkt.
   
• Reaktion auf Vorfälle
  Mikrosegmentierung verhindert die Bewegung von Bedrohungen zwischen den Segmenten und bietet Protokollinformationen. Dies macht sie zu einer perfekten Lösung für die Reaktion auf Zwischenfälle und die Lokalisierung und Eindämmung von Sicherheitsproblemen.
   
• Hybride Cloud-Verwaltung
  Mikrosegmentierung schützt auch Anwendungen, die sich über mehrere Hybrid-Cloud-Implementierungen erstrecken, indem sie es ermöglicht, einheitliche und Infrastruktur-agnostische Sicherheitsrichtlinien über mehrere Rechenzentren und Cloud-Dienstanbieter hinweg zu implementieren.
   
• PCI-Konformität
  Die Einhaltung der PCI-Vorschriften (Payment Card Industry) verlangt von Unternehmen einen sicheren Umgang mit Kreditkartendaten, um Verletzungen der Vertraulichkeit von Karteninhaberdaten zu vermeiden. Die konsequente Segmentierung der relevanten Applikationsumgebungen ist der richtige Weg, um dies zu erreichen und die PCI-Compliance fokussiert für die betroffenen Bereiche sicherstellen zu können.
   
• Organisationen im Gesundheitswesen
  Organisationen des Gesundheitswesens haben einen hohen Bedarf, persönliche Gesundheitsinformationen zu schützen, um die Compliance-Richtlinien für Cybersicherheit und insbesondere den Schutz der Personendaten einzuhalten. Mikrosegmentierung, genaues Mapping, Isolierung sensibler Systeme und Netzwerkverbindungskontrolle helfen dabei, das Ziel der Compliance im Gesundheitswesen zu erreichen.

Klare Vorteile

Mit ihren fein abgestuften Sicherheitsfunktionen, die bis auf Workload- und Prozessebene hinuntergehen, bietet die Mikrosegmentierung Unternehmen diese Vorteile:

1. Maximale Erkennung von Eindringversuchen
   Workloads bieten eine begrenzte Angriffsfläche und eignen sich daher ideal für den Einsatz in den verschiedenen Bereitstellungsmodellen, die in Rechenzentren zu finden sind. Unbefugter Zugriff auf alles, was nicht in den Bereich der Workloads fällt, wird verhindert. Wenn der Umgebung Anwendungen hinzugefügt werden, werden die erforderlichen Anpassungen der Richtlinien vorgenommen, so dass die Sicherheit des Netzwerks gewährleistet ist.
    
2. Verbesserte Schadensbegrenzung
   Mit isolierten Workloads als sichere (Mikro-)Zonen ist der Schaden durch potenzielle Sicherheitsverletzungen begrenzt. Sicherheitsrichtlinien, die auf Workload-Ebene festgelegt werden, begrenzen naturgemäss die potenziell schädlichen seitlichen Bewegungen des Angriffsvektors im Falle eines Eindringens. Verstösse gegen die Sicherheitsrichtlinien werden, wenn überhaupt, leicht über Echtzeitwarnungen erkannt, so dass die Administratoren die Sicherheitsrichtlinien entsprechend anpassen können.
    
3. Flexible, genau richtige Sicherheitsrichtlinien
   Mit Sicherheitsrichtlinien, die auf Workload-Ebene durchgesetzt werden, wird ein Gleichgewicht zwischen zu restriktiver und zu offener Sicherheit erreicht. Da die Workloads bei der Mikrosegmentierung die Hauptantriebskraft für die Sicherheit sind, können sie so strukturiert werden, dass die Mitarbeitenden bei Bedarf weiterhin frei und ohne Einschränkungen arbeiten können. Wo mehr Sicherheit erforderlich ist, wie im Fall von kritischen Anwendungen, können die entsprechenden Arbeitslasten entsprechend konfiguriert werden.
    
4. Stärkere Einhaltung von Vorschriften
   Mikrosegmentierung bietet eine Möglichkeit, Datensegmente, die an Vorschriften und Regulatorien, wie z. B. GDPR oder PCI-DSS gebunden sind, vom Rest der Infrastruktur zu isolieren. Für diese isolierten Segmente können strenge Kontrollen festgelegt werden, so dass sie bei Bedarf Audits bestehen können. Die Einhaltung gesetzlicher oder regulatorischer Vorschriften ist somit gewährleistet, auch wenn immer mehr Unternehmen die physische Kontrolle über den Datenspeicher an Cloud-Plattformen abgeben.
    
5. Vereinfachte Sicherheit
   Mikrosegmentierung ermöglicht die Erstellung wiederverwendbarer Sicherheitsrichtlinienvorlagen, die den Benutzerzugriff auf Anwendungen und Datenbanken sowie die Kommunikation zwischen Workloads in verschiedenen Umgebungen regeln. Dies kann zu erheblichen Zeiteinsparungen führen. Anstatt Stunden mit mühsamer manueller Konfiguration zu verbringen, können Unternehmen Vorlagen für einheitliche Sicherheit und Compliance auf jede erstellte oder geänderte Umgebung anwenden.
    
6. Sicherer Anwendungszugriff
   Die digitale Transformation hat grosse Veränderungen mit sich gebracht und stellt die Sicherheitsteams vor neue Herausforderungen. Eine davon ist die Erlangung vollständiger Transparenz. Dies gilt insbesondere, wenn es um den Einblick in den Fernzugriff auf Netzwerke und Anwendungen geht. Mit der Mikrosegmentierung ist es möglich, den Zugriff auf Anwendungen zu sichern - und so einen Prozess des Zugriffs auf relevante Funktionen oder Ressourcen zu ermöglichen. Die Fähigkeit, Transparenz über alle Fernzugriffspunkte zu bieten, ist besonders wichtig für Unternehmen, die über mehrere Standorte verteilt sind.

Zero Trust und Mikrosegmentierung

Durch die Isolierung von Umgebungen und die Segmentierung von Workloads reduziert ein Zero-Trust-Framework mit Mikrosegmentierung die gesamte Angriffsfläche eines Netzwerks erheblich, indem es die Bewegung von einem potenziell gefährdeten Workload zu einem anderen einschränkt. Mit Hilfe von Mikrosegmentierung können fein abgestufte Sicherheitsrichtlinien auf Workloads angewendet werden, und zwar bis hinunter zu einzelnen Rechnern, Benutzern oder Anwendungen. Diese Richtlinien können anhand von realen Konstrukten wie Benutzergruppen, Zugriffsgruppen und Netzwerkgruppen definiert und auf mehrere Anwendungen oder Geräte angewendet werden.

Zusammen. Sicher.

Benötigen Sie in Ihrem Unternehmen auch eine bessere Kontrolle über Anwendungen und Arbeitslasten? Dann ist Mikrosegmentierung die richtige Lösung. Kontaktieren Sie uns. Unsere Cybersecurity-Experten beraten Sie gern.

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.