Was ist Mikrosegmentierung?

Bei der so genannten Mikrosegmentierung werden auf der Ebene der Netzwerktechnik die verschiedenen Server- oder Clientbereiche anstelle von ganzen Netzen, wie bei der Netztrennung, separiert und über ein Segmentierungs-Gateway, konkret über eine Firewall, getrennt. 

Als Resultat sind nur ein Server oder zumindest sehr wenige Server bzw. Endgeräte in einem Netzwerksegment.

Damit wird fast jeder Datenstrom über die Firewall reglementiert und kontrolliert.

Somit entstehen durch diese Netzwerksegmentierung viele isolierte Einzelbereiche, die von einander abgeschirmt sind.
Ein unberechtigter Zugriff auf andere Netzwerkbereiche, Services und Clients kann dadurch besonders effektiv und einfach durch die Aktivierung von Zugriffsregeln und Sicherheitsrichtlinien für den Datenverkehr unterbunden werden.

Mikrosegmentierung sichert also die Applikationen durch explizite Firewallregeln. 

Ungeregelte Kommunikation innerhalb eines VLANs entfallen, da es nur noch kleinere für den jeweiligen Zweck isolierte Netze mit meist nur einem Server gibt.
Granulate Firewallregeln zwischen den Mikronetzen regeln die Traffic.

In der Praxis erfolgt eine Mikrosegmentierung im Serverumfeld. 

Im Clientumfeld ist dies sinnvoll, allerdings weniger häufig implementiert, bzw. wird die IT-Sicherheit durch NAC/802.1X anderweitig gelöst.

Übrigens: Genau aus diesem Grund ist die Mikrosegmentierung die Netzwerkbasis für das später zu besprechende „Zero-Trust-Model.“

Wie wird Mikrosegmentierung eingerichtet?

Mikrosegmentierung kann manuell durch das Einrichten von verschiedenen Netzwerkgsegmenten, VLANs, erreicht werden. Diese Art der Einrichtung ist für Data Center Umgebungen geeignet, welche relativ statisch sind und in denen wenig neue Services hinzugefügt bzw. gelöscht werden.

Die Mikrosegmentierung im eigentlichen Sinne wird jedoch dynamisch durch Software-defined Networking (SDN). Ein zentraler SDN-Controller regelt das Hinzufügen von neuen Services und legt für diese Services gleich skriptgesteuert ein separates Netzwerksegment an.

Jeder Services wird dadurch aus Netzwerksicht völlig isoliert von allen anderen Services erschaffen.

Ein SDN trennt die administrative Netzwerkfunktion (Routing) von den eigentlichen Nutzdaten. 

Je nach Ausprägung kann ein SDN-gesteuertes Netzwerk sich auch bis ins WAN fortsetzen bzw. nur im WAN stattfinden (SD-WAN). 

Ein SD-WAN hat allerdings eher die kluge Nutzung aller physikalischen Leitungen und die Redundanz als Ziel und weniger das feingranulare Separieren der Daten durch Mikrosegmentierung.

Zusätzlich zum SDN kann eine zentral gesteuerte Mikrosegmentierung insbesondere im Data Center eine Security Policy an den äußeren Switchport aktivieren, dadurch erfolgt ein Schutz schon sehr früh und dicht am Server.

Welche Vorteile bietet die Mikrosegmentierung des Netzwerkes im Rechenzentrum bzw. Data Center?

Das Ziel der Mikrosegmentierung besteht hauptsächlich darin, Services im Rechenzentrum eines Unternehmens voneinander zu isolieren. Somit werden die Dateninhalte vor dem Übertritt geprüft und die Zugriffskontrollrichtlinien angewendet.

Dadurch kann jedes Unternehmen den Netzwerkverkehr der Applikationen und Services sehr zuverlässig kontrollieren und das Risiko vor einem Datenmissbrauch überdurchschnittlich stark reduzieren.

Insgesamt sehen wir bei unseren Kunden durch die Mikrosegmentierung diese Vorteile:

• hohe, sogar vollständige Transparenz und Sichtbarkeit der Netzwerkdaten

• unberechtigter Netzwerkverkehr wird durch die Mikrosegmentierung aufgedeckt und an den Security-Gateways und Firewalls unterbunden

• Mikrosegmentierung vereinfacht die Pflege von Host- und IP-basierten Firewallregeln, da dies segmentweise und später sogar anhand von Services und Usern, anstelle von IPv4- und IPv6-Adressen, erfolgt

• Anomalien im Netzwerk werden durch die hohe Sichtbarkeit der Netzwerkdaten auf Grund der Mikrosegmentierung sehr gut erkannt

• die hohe Sichtbarkeit der Daten durch diese Art der Mikrosegmentierung ermöglicht es, an der Firewall Daten zur Netzwerksauslastung und zum Applikationsverhalten zu gewinnen. Damit können Applikationen sehr gut supportet und die Performance im Fehlerfall umfassend untersucht werden

• erfolgt die Implementierung von Mikrosegmentierung im Data Center per SDN, so vereinfacht es den Netzwerk- und Sicherheitsteams deutlich die Arbeit. Sicherheitsregeln und Zugriffsfreigaben bzw. Zugriffsbeschränkungen lassen sich zentral am SDN Controller anlegen und sind dann unternehmensweit gültig.

In der Summe erhöht Mikrosegmentierung die IT-Sicherheit deutlich und schützt vor Cyberbedrohungen. 

In Abhängigkeit von der Ausgangslage kann eine Segmentierung bzw. Mikrosegmentierung die IT-Sicherheit um über 96% erhöhen und das Risiko eines Cyberangriffs im gleichen Maße senken.

Übrigens: Die Mikrosegmentierung ist natürlich technisch unabhängig vom IP-Protokoll, gilt also für IPv4 und IPv6 gleichermaßen. 

Wir empfehlen immer, IPv6 im LAN und im Data Center mit einzurichten.

Größere Unternehmen nutzen dazu „eigene“, vom Provider unabhängige IPv6-Adressen, um ein späteres Umadressieren zu vermeiden. (Siehe dazu: Wie erhält man einen IPv6 - Adressbereich?)

​

Zero Trust

Das Konzept von Zero Trust ist gegenüber der aktuellen Perimeter basierten IT-Security Ansatz eine notwendige Antwort auf das verteilte Arbeiten von "Überall" (Homeoffice, Unternehmensnetzwerk, Hotel etc.) mit Zugriff auf   "Überall" (interne Firmenressourcen, Cloud Services, SaaS etc.) Eine Aufteilung der Netzwerkstruktur nach „Innennetz = sicher“ und „Außennetz = unsicher“ ist heute nicht mehr zeitgemäß.

„Innen“ und „außen“ verschmelzen. User greifen von außen auf Unternehmensressourcen zu, bringen ihre Endgeräte ins Unternehmen (bring your own device / BYOD) und nutzen zudem Ressourcen und Services in der Cloud.

Circa 1/3 der „Angriffe“ auf die IT erfolgt von „innen“, also von Geräten oder Leuten, welche sich mehr oder weniger ungeschützt im Unternehmensnetzwerk aufhalten.

Die Sichtweise, dass die IT innerhalb des Unternehmens vertrauenswürdig und sicher ist, führt also in der Unternehmens-IT zu einem großen Sicherheitsloch!

Diese Lücke wird mit dem Sicherheitsparadigma „Zero Trust“ geschlossen: 

Alle Komponenten, egal ob innerhalb oder außerhalb des Unternehmens, sind „unsicher“.

Ausgehend von dieser IT-Security betreffenden Überlegung haben Forrester-Analysten Zero Trust als Security-Modell etabliert.

Die Formel: „deny any“ greift als Zero Trust - Resultat zu kurz. 

Vielmehr bietet Zero Trust einen umfassenden Lösungsansatz, welcher aus unserer Sicht aus den nachfolgenden Sicherheitsfunktionen besteht.

Das sind die Hauptelemente von Zero Trust

Das Ziel, die IT-Services für alle berechtigen User von überall aus zugänglich zu machen, benötigt eine technische Lösung, welche sich ausschließlich in eigener Verwaltung befindet und grade nicht auf die Zuarbeit von oder gar dem Vertrauen gegenüber Dritten angewiesen ist.

Die nachfolgend konkret aufgeführten technischen Punkte gilt es auf dem Weg zum Zero Trust Modell umzusetzen.

​