Was ist Netzwerksegmentierung?

August 8, 2022

Was ist Netzwerksegmentierung?

Netzwerksegmentierung ist eine Strategie, bei der Segmente des Unternehmensnetzwerks voneinander getrennt werden, um die Angriffsfläche zu verringern.

Doch angesichts der rasant steigenden Benutzerzahlen und der Dynamik von Anwendungen und Ressourcen in modernen Rechenzentren wird der Perimeter in vielen Sicherheitsstrategien näher an die Ressourcen verlegt, als es bei der Abschottungsstrategie der Fall ist.

Zudem ist Netzwerksegmentierung im Zero-Trust-Framework SP 800-207 des NIST zusammen mit Identitäten eines der Kernkonzepte einer Zero-Trust-Sicherheitsstrategie.

Makro- und Mikrosegmentierung des Netzwerks

Die klassische Netzwerksegmentierung (auch bekannt als Makrosegmentierung) wird normalerweise durch Firewalls und VLANs realisiert. Bei der Mikrosegmentierung werden der Perimeter und die Sicherheitskontrollen näher an die Ressource (z. B. ein Workload oder eine Stufe-3-Anwendung) herangerückt, um sichere Zonen zu schaffen. Die Makro- und Mikrosegmentierung des Netzwerks dient hauptsächlich dazu, den netzwerkinternen Datenverkehr im Rechenzentrum zu begrenzen und die laterale Bewegung von Angreifern zu verhindern bzw. zu verlangsamen.

Die Makro- bzw. Mikrosegmentierung des Netzwerks lässt sich durch folgende Maßnahmen umsetzen:

  • Hardware-Firewalls (z. B. interne Segmentierungs-Firewalls): Datenverkehr fließt zu Zonen oder Segmenten und wird durch Firewall-Regeln reguliert
  • VLANs und Zugriffskontrolllisten (ACLs): Filtern Zugriffe auf Netzwerke/Subnetze
  • Software-definierter Perimeter (SDP): Verlegt den Perimeter näher an den Host heran und schafft eine virtuelle Grenze; ermöglicht detaillierte Richtlinienkontrollen auf Workload-Ebene

SEGMENTATION DU RÉSEAU ET SEGMENTATION SELON L'IDENTITÉ

Téléchargez ce livre blanc pour mieux comprendre l’approche de CrowdStrike en matière de segmentation selon l’identité.

Télécharger

Vor- und Nachteile der Makrosegmentierung von Netzwerken

Zugriffsrichtlinien für Ressourcen, die durch Firewall-Regeln, VLANs bzw. ACLs und VPNs definiert werden, sind statisch und betreffen nur den ein- und ausgehenden Datenverkehr. Diese starren Richtlinien lassen sich nicht skalieren und an dynamische hybride Umgebungen sowie dynamische Vorgaben für sicheren Zugriff anpassen, die außerhalb des statischen Perimeters genutzt werden.

VorteileNachteile
Eine der ältesten und weitverbreitetsten Segmentierungsmethoden; ist älter als Zero TrustVLANs und Firewalls schaffen mehrere Nadelöhre im Netzwerk; beeinträchtigen Netzwerkleistung und Unternehmensproduktivität (hohe Reibungsverluste)
Vertraute Hardware-Firewalls zur Steuerung des netzwerkinternen sowie ein- und ausgehenden DatenverkehrsTausende Firewall-Regeln und VLANs/ACLs verursachen in kurzer Zeit hohen Verwaltungsaufwand und viele Sicherheitsprobleme (komplex, anfällig für menschliche Fehler)
Teure Skalierung durch Hardware-Investitionen und Personalkosten
Zentraler Überblick über lokale und cloudbasierte Ressourcen nur schwer möglich
Was bei lokalen Lösungen funktioniert, funktioniert nicht in der Cloud (Transparenz und Sicherheitslücken – große Angriffsfläche)
Fein abgestimmte Richtlinien nur schwer möglich; kein Sicherheitskontext
Starre Richtlinien; passen sich nicht an dynamische Umgebungen oder plötzliche Änderungen des Geschäftsmodells an (z. B. Mitarbeiter im Homeoffice, Fusionen und Übernahmen, Aufteilung)
Anbieterbindung verursacht Mehraufwand

Vor- und Nachteile der Mikrosegmentierung von Netzwerken

Der Perimeter rückt näher an die Ressource heran und die Sicherheitskontrollen werden beim jeweiligen Host angewandt.

VorteileNachteile
Unabhängig von Plattform und InfrastrukturBenötigt Agenten auf jedem Endgerät, Workload oder Hypervisor/virtueller Maschine
Kontextbasierte Sicherheitskontrollen mit fein abgestimmten RichtlinienObwohl fein abgestimmte Richtlinien Vorteile bieten, ist die enorme Zahl an Richtlinien, die für tausende Ressourcen, Benutzergruppen, Zonen (Mikrosegmente) sowie Anwendungen erstellt und verwaltet werden müssen, viel zu groß
Einheitliche Plattform90 % des Datenverkehrs ist verschlüsselt und erfordert für vollständige Transparenz ressourcenintensive SSL/TLS-Entschlüsselung, wodurch der Rechenaufwand und somit Kosten für Umsetzung und Betrieb der Segmentierung drastisch steigen
Umfassender Überblick über gesamte Architektur des Rechenzentrums (d. h. was ändert sich, was ist neu und welche Lücken gibt es) ist nötig, um Richtlinien erstellen zu können, die die Unternehmensproduktivität nicht beeinträchtigen (Beispielszenarien: Was passiert, wenn Mitarbeiter nach dem plötzlichen pandemiebedingten Wechsel ins Homeoffice wieder zurück ins Büro kommen? Wie ändert sich die Architektur/Topologie, wie wird es sich auf Richtlinien auswirken und welche „neuen“ Lücken gibt es?)
Minimale oder fehlende Bedrohungserkennung und Prävention: Werden separate Tools und Integrationen für Bedrohungsanalyse, -erkennung und -prävention benötigt?

Gangwechsel – von der Netzwerksegmentierung zur Identitätssegmentierung

Obwohl Netzwerksegmentierung die Angriffsfläche verringert, schützt die Strategie nicht vor Angreifertechniken und -taktiken während der Identitätsphasen der Angriffskette. Identitätssegmentierung ist die Segmentierungsmethode, die Risiken am deutlichsten minimiert, geringere Kosten ermöglicht und die Abläufe vereinfacht.

Sie schützt Identitäten und minimiert daher die Risiken durch Kompromittierungen bei hochentwickelten Angriffen (z. B. Ransomware- und Lieferkettenangriffe), in denen kompromittierte Anmeldedaten ein wichtiger Faktor sind. Laut dem Cost of a Data Breach Report 2021 von IBM und dem Ponemon Institute zählten kompromittierte oder gestohlene Anmeldedaten zur häufigsten Ursache von Datenschutzverletzungen im Jahr 2021 und blieben zudem am längsten unerkannt – im Durchschnitt ganze 250 Tage.

An dieser Stelle kann die Identitätssegmentierung von CrowdStrike die Angriffsfläche durch die Isolierung und Segmentierung von Identitäten erheblich verringern. Zudem bietet die Lösung einen unmittelbaren Mehrwert, da bei den meisten Kompromittierungen Anmeldedaten missbraucht werden.

Sie haben noch nie von Identitätssegmentierung gehört?

Laden Sie jetzt unser Whitepaper herunter und erfahren Sie mehr darüber, was genau Identitätssegmentierung bedeutet und welche Unterschiede zwischen Identitäts- und Netzwerksegmentierung bestehen.

NETZWERKSEGMENTIERUNG UND IDENTITÄTSSEGMENTIERUNG IM VERGLEICH

Laden Sie dieses Whitepaper herunter und machen Sie sich mit dem CrowdStrike-Ansatz für Identitätssegmentierung vertraut.

Jetzt herunterladen