OPNsense-Partner
Fragen zur Schulung:
Frau Evelyn van Haastert/ Hotline:
+49 711 219 5093-0
Fachliche Kursfragen:
Herr Morris Görke
Von der Microsegmentierung zu Zero Trust
Die IT-Sicherheit entwickelt sich weiter und sie wandelt sich.
Besonders im Unternehmen passt sich die IT-Sicherheit den Herausforderungen, den technischen Möglichkeiten und den Marktgegebenheiten an.
Die ursprüngliche Idee, das Innere der Firma (das sichere Innennetzwerk) gegen Bedrohungen von außen (Internet, Drittnetze) zu schützen, diese Idee ist heute überholt.
Wir arbeiten von überall, von unterwegs, im Büro, im Hotel und wir nutzen Services überall, im Unternehmen, im internen Data Center, in der Cloud, als Webservice. Der Schutzbereich des sicheren Innennetzes gibt es heute in der Praxis oft nicht mehr.
Der so genannte „Perimeteransatz“, also die Trennung nach „innen“ und „außen“ ist überholt. Genauso wie in vielen Fällen die VPN-Verbindungen und die starren Netzwerkkonstrukte nicht mehr and Anforderungen entsprechen und verramschten Systemen weichen.
Zu dieser Wandlung hin vom „on premise“ Netzwerk hin zum „zero Trust“-Modell über den Weg der „Microsegmentierung“ gibt der nachfolgende Artikel Anregungen und Antworten.
Doch fangen wir mit der heutigen Ist-Situation an, der klassischen Netzwerksicherheit und der Netzwerkunterteilung.
Konkret sorgt die Netzwerktrennung über ein Security Gateway, es ist in den meisten Fällen eine Firewall, für eine Trennung der verschiedenen Netzen voneinander.
Oder anders ausgedrückt: möchten Geräte aus unterschiedlichen Netzen miteinander kommunizieren, so erfolgt dies über eine Firewall.
Diese Firewall reglementiert die Datenpakete anhand eines vom Unternehmen erstellten Regelwerks und überprüft oft auch das Vorhandensein von Schadsoftware (Threat Prevention.)
Die technische Netzwerktrennung gehört momentan zum allgemein geforderten IT-Sicherheitsstandard und ist unserer Erfahrung nach, auch der meisten anderen Studien dazu, bereits häufig in den Unternehmen realisiert.
Der nächste Schritt hin zur Mikrosegmentierung ist von vielen Kunden gefordert und gut realisierbar.
iternas - Blogbeiträge zum Thema IT-Sicherheit:
Was ist Mikrosegmentierung?
Bei der so genannten Mikrosegmentierung werden auf der Ebene der Netzwerktechnik die verschiedenen Server- oder Clientbereiche anstelle von ganzen Netzen, wie bei der Netztrennung, separiert und über ein Segmentierungs-Gateway, konkret über eine Firewall, getrennt.
Als Resultat sind nur ein Server oder zumindest sehr wenige Server bzw. Endgeräte in einem Netzwerksegment.
Damit wird fast jeder Datenstrom über die Firewall reglementiert und kontrolliert.
Somit entstehen durch diese Netzwerksegmentierung viele isolierte Einzelbereiche, die von einander abgeschirmt sind.
Ein unberechtigter Zugriff auf andere Netzwerkbereiche, Services und Clients kann dadurch besonders effektiv und einfach durch die Aktivierung von Zugriffsregeln und Sicherheitsrichtlinien für den Datenverkehr unterbunden werden.
Mikrosegmentierung sichert also die Applikationen durch explizite Firewallregeln.
Ungeregelte Kommunikation innerhalb eines VLANs entfallen, da es nur noch kleinere für den jeweiligen Zweck isolierte Netze mit meist nur einem Server gibt.
Granulate Firewallregeln zwischen den Mikronetzen regeln die Traffic.
In der Praxis erfolgt eine Mikrosegmentierung im Serverumfeld.
Im Clientumfeld ist dies sinnvoll, allerdings weniger häufig implementiert, bzw. wird die IT-Sicherheit durch NAC/802.1X anderweitig gelöst.
Übrigens: Genau aus diesem Grund ist die Mikrosegmentierung die Netzwerkbasis für das später zu besprechende „Zero-Trust-Model.“
Wie wird Mikrosegmentierung eingerichtet?
Mikrosegmentierung kann manuell durch das Einrichten von verschiedenen Netzwerkgsegmenten, VLANs, erreicht werden. Diese Art der Einrichtung ist für Data Center Umgebungen geeignet, welche relativ statisch sind und in denen wenig neue Services hinzugefügt bzw. gelöscht werden.
Die Mikrosegmentierung im eigentlichen Sinne wird jedoch dynamisch durch Software-defined Networking (SDN). Ein zentraler SDN-Controller regelt das Hinzufügen von neuen Services und legt für diese Services gleich skriptgesteuert ein separates Netzwerksegment an.
Jeder Services wird dadurch aus Netzwerksicht völlig isoliert von allen anderen Services erschaffen.
Ein SDN trennt die administrative Netzwerkfunktion (Routing) von den eigentlichen Nutzdaten.
Je nach Ausprägung kann ein SDN-gesteuertes Netzwerk sich auch bis ins WAN fortsetzen bzw. nur im WAN stattfinden (SD-WAN).
Ein SD-WAN hat allerdings eher die kluge Nutzung aller physikalischen Leitungen und die Redundanz als Ziel und weniger das feingranulare Separieren der Daten durch Mikrosegmentierung.
Zusätzlich zum SDN kann eine zentral gesteuerte Mikrosegmentierung insbesondere im Data Center eine Security Policy an den äußeren Switchport aktivieren, dadurch erfolgt ein Schutz schon sehr früh und dicht am Server.
Welche Vorteile bietet die Mikrosegmentierung des Netzwerkes im Rechenzentrum bzw. Data Center?
Das Ziel der Mikrosegmentierung besteht hauptsächlich darin, Services im Rechenzentrum eines Unternehmens voneinander zu isolieren. Somit werden die Dateninhalte vor dem Übertritt geprüft und die Zugriffskontrollrichtlinien angewendet.
Dadurch kann jedes Unternehmen den Netzwerkverkehr der Applikationen und Services sehr zuverlässig kontrollieren und das Risiko vor einem Datenmissbrauch überdurchschnittlich stark reduzieren.
Insgesamt sehen wir bei unseren Kunden durch die Mikrosegmentierung diese Vorteile:
-
hohe, sogar vollständige Transparenz und Sichtbarkeit der Netzwerkdaten
-
unberechtigter Netzwerkverkehr wird durch die Mikrosegmentierung aufgedeckt und an den Security-Gateways und Firewalls unterbunden
-
Mikrosegmentierung vereinfacht die Pflege von Host- und IP-basierten Firewallregeln, da dies segmentweise und später sogar anhand von Services und Usern, anstelle von IPv4- und IPv6-Adressen, erfolgt
-
Anomalien im Netzwerk werden durch die hohe Sichtbarkeit der Netzwerkdaten auf Grund der Mikrosegmentierung sehr gut erkannt
-
die hohe Sichtbarkeit der Daten durch diese Art der Mikrosegmentierung ermöglicht es, an der Firewall Daten zur Netzwerksauslastung und zum Applikationsverhalten zu gewinnen. Damit können Applikationen sehr gut supportet und die Performance im Fehlerfall umfassend untersucht werden
-
erfolgt die Implementierung von Mikrosegmentierung im Data Center per SDN, so vereinfacht es den Netzwerk- und Sicherheitsteams deutlich die Arbeit. Sicherheitsregeln und Zugriffsfreigaben bzw. Zugriffsbeschränkungen lassen sich zentral am SDN Controller anlegen und sind dann unternehmensweit gültig.
In der Summe erhöht Mikrosegmentierung die IT-Sicherheit deutlich und schützt vor Cyberbedrohungen.
In Abhängigkeit von der Ausgangslage kann eine Segmentierung bzw. Mikrosegmentierung die IT-Sicherheit um über 96% erhöhen und das Risiko eines Cyberangriffs im gleichen Maße senken.
Übrigens: Die Mikrosegmentierung ist natürlich technisch unabhängig vom IP-Protokoll, gilt also für IPv4 und IPv6 gleichermaßen.
Wir empfehlen immer, IPv6 im LAN und im Data Center mit einzurichten.
Größere Unternehmen nutzen dazu „eigene“, vom Provider unabhängige IPv6-Adressen, um ein späteres Umadressieren zu vermeiden. (Siehe dazu: Wie erhält man einen IPv6 - Adressbereich?)
Zero Trust
Das Konzept von Zero Trust ist gegenüber der aktuellen Perimeter basierten IT-Security Ansatz eine notwendige Antwort auf das verteilte Arbeiten von "Überall" (Homeoffice, Unternehmensnetzwerk, Hotel etc.) mit Zugriff auf "Überall" (interne Firmenressourcen, Cloud Services, SaaS etc.) Eine Aufteilung der Netzwerkstruktur nach „Innennetz = sicher“ und „Außennetz = unsicher“ ist heute nicht mehr zeitgemäß.
„Innen“ und „außen“ verschmelzen. User greifen von außen auf Unternehmensressourcen zu, bringen ihre Endgeräte ins Unternehmen (bring your own device / BYOD) und nutzen zudem Ressourcen und Services in der Cloud.
Circa 1/3 der „Angriffe“ auf die IT erfolgt von „innen“, also von Geräten oder Leuten, welche sich mehr oder weniger ungeschützt im Unternehmensnetzwerk aufhalten.
Die Sichtweise, dass die IT innerhalb des Unternehmens vertrauenswürdig und sicher ist, führt also in der Unternehmens-IT zu einem großen Sicherheitsloch!
Diese Lücke wird mit dem Sicherheitsparadigma „Zero Trust“ geschlossen:
Alle Komponenten, egal ob innerhalb oder außerhalb des Unternehmens, sind „unsicher“.
Ausgehend von dieser IT-Security betreffenden Überlegung haben Forrester-Analysten Zero Trust als Security-Modell etabliert.
Die Formel: „deny any“ greift als Zero Trust - Resultat zu kurz.
Vielmehr bietet Zero Trust einen umfassenden Lösungsansatz, welcher aus unserer Sicht aus den nachfolgenden Sicherheitsfunktionen besteht.
Das sind die Hauptelemente von Zero Trust
Das Ziel, die IT-Services für alle berechtigen User von überall aus zugänglich zu machen, benötigt eine technische Lösung, welche sich ausschließlich in eigener Verwaltung befindet und grade nicht auf die Zuarbeit von oder gar dem Vertrauen gegenüber Dritten angewiesen ist.
Die nachfolgend konkret aufgeführten technischen Punkte gilt es auf dem Weg zum Zero Trust Modell umzusetzen.

Zero Trust Netzwerk: Anpassungen im Netzwerk
Eine Segmentierung des Netzwerkes erfolgt traditionell durch Router. Anstelle dieser Router kommt, sofern nicht bereits vorhanden, eine Next Generation Firewall.
Diese Firewall reglementiert den Traffic zwischen den verschiedenen Netzen anhand der vom Unternehmen vorgegebenen Policy.
-
Security-Gateways:
An den Übergängen und im Netz erfolgt eine Anwendung der Sicherheitsrichtlinien durch Security-Gateways.
Security-Gateways bzw. Next Generation Firewalls verbinden die Netzwerke untereinander und ermöglichen so die Mikrosegmentierung.
Zudem binden sie weitere interne und externe Netze und Cloud Services sicher an.
Eine globale Policy gewährleistet ein zuverlässiges und sicheres Regelwerk.
-
Identity Awareness
Alle internen und externen User authentifizieren sich, basierend auf einer User-ID und per Multi-factor Authentifizierung.
Die Erkennung von Usern, unabhängig von ihrer aktuell zugewiesenen IP-Adresse, ist ein entscheidender Vorteil: die User erhalten ihre immer gleichen Berechtigungen, egal in welchem IP-Netzwerk sie sich befinden. Der Zugriff von zu Hause wird demnach genauso reglementiert.
-
Application Control
Die Applikationen werden als solches erkannt, die Firewall erledigt diese Erkennung auch bei verschlüsselter Kommunikation.
Durch den Zero Trust Ansatz gibt es keine implizierten Permit-Regeln. Jeder Zugriff auf die Applikationen muß explizit erlaubt werden.
Es ist damit konsequent, die Applikationen nicht anhand ihrer IP-Adressen zu identifizieren, sondern anhand ihrer Traffic. So lassen sich Datenpakte, welche nicht zur Applikation gehören, erkennen und herausfiltern.
Zudem haben bestimmte Informationen, wie bspw. Kreditkarten- oder Sozialversicherungsnummern, je nach Konfiguration nichts in den zu übertragenen Daten verloren und werden herausgefiltert.
Die Umsetzung von Zero Trust
Zero Trust Workloads: Erkennen und schützen der Applikationsumgebungen „Workloads“
Geschützte Applikationsumgebungen (Workloads), sei es innerhalb des Unternehmens oder in der Cloud wie Microsoft Azure, Amazon Web Services (AWS), sind notwendig, um von diesen Services und Applikationen keine Gefahr für das Unternehmen ausgehen zu lassen.
Spezielle CloudGuards oder Cloud Firewalls sichern diese IT-Umgebung ab und interagieren tief mit der Public oder Private Cloud Infrastruktur.
Zero Trust User: Erkennen und identifizieren der User
Gestohlene UserAccounts können das gesamte IT-Securitysystem aushebeln. Das zuverlässige Erkennen der User ist somit ein entscheidender Sicherheitsbaustein.
-
SSO und MFA
Single Sing-on und Multi-Faktor-Authentifizierung erkennen User zuverlässig und schützen die UserAccounts -
Erweiterte Firewallregeln beziehen den User-Kontakt mit ein:
Zu welcher Zeit, an welchem Ort und über welche Verbindung (z. Bsp. WAN, VPN, WLAN) kommt der User ins Netzwerk? -
Anomalieerkennung: Ungewöhnliche Parameter, wie eine unübliche Zeit oder ein vormals unbekanntes Endgerät, werden erkannt und die Anmeldung bei Bedarf verhindert.
Zero Trust Devices: Absichern der Endgeräte
In über circa 60% der Fälle erfolgen Angriffe auf IT-Geräte mit bekannten Schwachstellen.
Im Bereich IoT (Internet of Things) und Industrie 4.0 ist unserer Erfahrung nach die Anzahl der anfälligen Endgeräte als Angriffssprungbrett noch höher.
-
Endgeräteschutz ist notwendig, um Advanced Attacks, Zero-Day Malware und die Installation von Malicious app abzuwenden
-
IoT / I 4.0 / OT Security (Operational Technology). Spezielle Geräte, sei es in der Produktion, der Gebäudesteuerung oder andere Nicht-Office-PCs, gilt es zu separieren und den Traffic auf Unregelmäßigkeiten zu prüfen.
-
Advanced Threat Prevention (ATP), Bedrohungsschutz
Schützt die Endgeräte vor Bedrohungen, die aus dem Netzwerk kommen und umgekehrt, in der Netzwerktrafik mit Hilfe bekannter Pattern geprüft wird.
Zero Data: Der Schutz der Daten
-
Verschlüsselte Daten
Das Verschlüsseln der Daten auf den Medien (Datenträger) und während der Übertragung (VPN) erschwert einen Missbrauch der Daten. -
Abgegrenzte Client-Umgebungen
Gekapselte Anwendungsumgebungen für die User vermeiden einen unberechtigten Datenzugriff -
DLP
Data Loss Prevention erkennt die Übertragung von sensiblen Daten und verhindert den Abfluss dieser Daten aus der Hoheit des Unternehmens.
Das große Ganze: Administration, Management und Kontrolle
Die oben genannten Elemente gilt es beim Zero Trust Ansatz zu steuern und zu regeln.
Zudem erfolgt die Auswertung aller anfallenden Logs und das Korrelieren der Daten, um jederzeit den Sicherheitszustand der IT-Infrastruktur zu kennen.
Die iternas GmbH realisiert verschiedene Sicherheitsansätze, plant und betreibt diese. Unsere Partner sind dabei Cisco Systems, Check Point, Palo Alto und je nach Umgebung Fortinet bis hin zur OPNSense. Zum Verständnisgewinn bieten wir IT-Sicherheitsschulungen an.
Darüber hinaus ist die iternas GmbH aktives Mitglied in verschiedenen IT-Sicherheitsarbeitsgruppen.

