Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

6 Anforderungen an die Mikrosegmentierung für moderne Anwendungen

Illumio Editorial
Illumio Editorial
21April 2020
23 min. lesen

Die Idee, das Netzwerk zu segmentieren, um die Sicherheit zu erhöhen, ist nicht neu. Es war jedoch schwierig, eine granulare Segmentierung zu erreichen, da Computing und Sicherheit an der Hüfte gebunden waren. Das bedeutet, dass alle Änderungen, die vorgenommen werden, um den gewünschten Sicherheitsstatus zu erreichen, Änderungen am zugrunde liegenden Netzwerktransport erfordern oder die Granularität beeinträchtigen. Darüber hinaus jonglieren IT- und Sicherheitsteams oft mit konkurrierenden Prioritäten, und Segmentierung war nicht immer die beliebteste Strategie.

Die Zunahme des Ausmaßes und der Reichweite von Cyberangriffen ändert dies.

"... Es gibt jetzt keine Entschuldigung mehr, die Mikrosegmentierung nicht für ein Unternehmen oder eine Infrastruktur zu aktivieren."

Mikrosegmentierung ist eine große Abschreckung für Hacker. Immer mehr Unternehmen implementieren Mikrosegmentierung als wesentlichen Bestandteil einer Defense-in-Depth-Strategie. Laut einer aktuellen Umfrage unter über 300 IT-Fachleuten haben 45 Prozent derzeit ein Segmentierungsprojekt oder planen eines. Der Zero Trust Wave-Bericht von Forrester Research für das 3. Quartal 2020 unterstreicht die Bedeutung der Aussage: "... Es gibt jetzt keine Entschuldigung mehr, die Mikrosegmentierung nicht für jedes Unternehmen oder jede Infrastruktur zu aktivieren."

Aber wie bei jeder Sicherheitskontrolle ist es wichtig, die Strategie des Unternehmens mit der Notwendigkeit, es zu schützen, in Einklang zu bringen. Die Segmentierung Ihres Netzwerks ist ein großes Projekt und eine völlig andere Art der Verwaltung Ihres Netzwerks. Möglicherweise wechseln Sie von einer flachen Netzwerkinfrastruktur – in der die Kommunikation weit offen ist – zu einem Netzwerk, das genau wie Ihre Perimeterinfrastruktur Firewall-Regelsätze erfordert. Es bedarf einer sorgfältigen Planung, um das gewünschte Ergebnis eines Netzwerks zu erzielen, das für Angreifer schwierig, aber dennoch für Sie überschaubar ist.

Wie kommen Sie also dorthin?

Für eine effektive Mikrosegmentierungsbereitstellung finden Sie hier eine Liste von sechs Schlüsselfunktionen und -fähigkeiten, die Lösungen bieten müssen:

1. Sichtbarkeit mit Anwendungskontext

Das Sprichwort, dass man "nicht schützen kann, was man nicht sehen kann", könnte nicht wahrer sein. Unternehmen betreiben eine Vielzahl von Anwendungen, um ihre Geschäfte zu betreiben, von denen jede miteinander kommuniziert und Daten austauscht. Darin liegt die Herausforderung. Ohne Transparenz hat ein unbefugter Benutzer reichlich Gelegenheit, in ein Unternehmen einzudringen, auf einem ungeschützten oder verwundbaren Asset zu landen und sich seitlich in Richtung kritischer Assets zu bewegen, bevor es Anzeichen einer Entdeckung gibt.

Eine ordnungsgemäße Mikrosegmentierung von Anwendungsressourcen kann die Ausbreitung von Sicherheitsverletzungen minimieren oder verhindern, aber Sie benötigen Transparenz auf der Anwendungsebene. Dies unterscheidet sich vom Abrufen von Netflow-Datenverkehr oder dem Tippen auf einen SPAN-Port am Switch, der Informationen über Netzwerkflüsse bei L2 und L3 bereitstellt. Sie müssen in der Lage sein, zu sehen, wie Anwendungskomponenten über verschiedene Ebenen (Web, Verarbeitung, Datenbank) hinweg miteinander kommunizieren und wie Anwendungen miteinander interagieren.

Anwendungen befinden sich nicht auf einer Insel. Sie reden miteinander, und so funktionieren Geschäftsprozesse. Beispielsweise wird ein Point-of-Sale-System (POS) wahrscheinlich mit einer Bestandsverwaltungsanwendung kommunizieren, bevor eine Kundenbestellung ausgeführt wird. Das macht Sinn. Der Datenverkehr vom POS-System sollte mit Inventaranwendungen kommunizieren dürfen. Auf der anderen Seite sollte ein öffentlich zugänglicher Webserver nicht direkt mit einer Datenbank kommunizieren, sondern den Anwendungsverarbeitungsserver durchlaufen, um eine Transaktion oder Abfrage abzuschließen.

Aber diese Abläufe sind nicht unbedingt gut bekannt – schon gar nicht für Netzwerkteams und vielleicht nicht einmal für Sicherheitsteams. Anwendungsentwickler können über ein solches Maß an Klarheit verfügen, aber nicht immer. Unternehmen benötigen eine integrierte Transparenz, die Anwendungsabhängigkeiten anzeigt, um die Mikrosegmentierung richtig zu gestalten. Im Idealfall würde dies in Form einer Karte erscheinen, die zeigt, wie verschiedene Anwendungen über Ebenen hinweg sowie miteinander kommunizieren. Diese Karte sollte auch darstellen, wie verschiedene Umgebungen wie Entwicklung, Staging, Produktion und Regulierung angeordnet sind und welche Art von Kommunikation zwischen ihnen fließt. Dies hilft Unternehmen zu verstehen, "was passiert" und "was passieren sollte", basierend auf ihrer gewünschten Sicherheitslage.

Wie Illumio hilft: Die Application Dependency Map von Illumio zeigt deutlich, wie Anwendungskomponenten interagieren und wie verschiedene Anwendungen miteinander kommunizieren. Diese Zuordnung, die als Illumination bezeichnet wird, bietet nicht nur eine unübertroffene Transparenz, sondern empfiehlt auch Richtlinien basierend auf der gewünschten Granularität. Die Richtlinien werden in natürlicher Sprache mithilfe von Bezeichnungen definiert und erfordern keine Informationen auf Netzwerkebene, um Richtlinien zu definieren. Dieser Ansatz übernimmt die Schwerstarbeit und berechnet die genauen L2/L3/L4-Regeln basierend auf diesen Richtlinien für natürliche Sprache. Dies macht es einfach, eine Sicherheitslage zu entwickeln, die auf die Unternehmensziele abgestimmt ist.

2. Skalierbare Architektur

Es gibt mehrere Möglichkeiten, eine Mikrosegmentierung zu erreichen. Obwohl jeder Ansatz seine Vorzüge hat, müssen Sie die Skalierbarkeit, die Wirksamkeit und Granularität der Lösung, die Benutzerfreundlichkeit und nicht zuletzt die Kosteneffizienz berücksichtigen.

Typische Ansätze sind:

  • Segmentierung über das Netzwerk: Programmierung von Access Control Lists (ACLs) auf Netzwerkgeräten (Switches, Router, Firewalls, etc.). Dieser Ansatz bietet zwar eine gewisse Trennung auf einer groben Ebene, ist aber sehr umständlich, fehleranfällig und teuer. Netzwerke sind dazu gedacht, Pakete so schnell wie möglich von Punkt A nach Punkt B zu transportieren, und das Zuweisen von ACLs für die Segmentierung ist so, als würde man jedes Paket anhalten, um zu sehen, ob es zugelassen werden sollte. Diese beiden Ziele sind diametral entgegengesetzt, und wenn wir sie miteinander vermischen, beginnen die Dinge zu zerbrechen.
  • Segmentierung mit SDN: Die Automatisierung der oben genannten Punkte mit Software Defined Networking (SDN) ermöglicht es Benutzern, auf einen zentralen Controller zuzugreifen, um Regeln zu definieren, die an die entsprechenden Netzwerkgeräte weitergeleitet werden. Dieser Ansatz bietet eine gewisse Erleichterung bei der Konfiguration, ist aber in vielerlei Hinsicht nicht besser als die Verwendung von Netzwerkgeräten. Außerdem wurden die meisten SDN-Systeme entwickelt, um Netzwerkautomatisierung und keine Sicherheitsfunktionen bereitzustellen. Erst in jüngster Zeit haben die Anbieter die Anwendungsfälle für die Sicherheit erkannt und versucht, SDN-Systeme für die Mikrosegmentierung umzufunktionieren, mit marginalem Erfolg.
  • Host-basierte Mikrosegmentierung: Architektonisch ist dieser Ansatz anders. Anstatt dass die Richtliniendurchsetzung irgendwo im Netzwerk stattfindet, können Unternehmen die Leistungsfähigkeit integrierter zustandsbehafteter Firewalls nutzen, um Regeln mit Leitungsgeschwindigkeit und ohne Leistungseinbußen durchzusetzen. Darüber hinaus ist dies die einzige Architektur für horizontales Skalieren, was bedeutet, dass Sie beim Hinzufügen von Workloads Kapazität hinzufügen. Es hat sich gezeigt, dass Scale-out-Architekturen gut nachverfolgt werden können, wenn Systemkomponenten wachsen, ohne die Leistung zu beeinträchtigen. Denken Sie daran, dass die Durchsetzungsstelle den Datenverkehr sehen muss, damit die Durchsetzung erfolgen kann. Im Falle von Firewalls (oder Netzwerkgeräten, die diese Aufgabe erfüllen) müssen sie den Datenverkehr sehen. Irgendwann wird die Menge des Datenverkehrs die Kapazität des Enforcers übersteigen, so dass ein Unternehmen ohne Schutz exponiert ist. Die Steuerung des Datenverkehrs stellt eine große Herausforderung dar und bringt manchmal Dinge auf der Netzwerkebene zum Scheitern oder führt zu einer großen Komplexität.

Da sich der Rand des Netzwerks nicht an der Perimeter-Firewall befindet, sondern an den internen Segmenten, gilt: Je detaillierter die Segmente, desto besser ist der Schutz. Wenn Sie dieses Konzept weiterführen, stellen Sie fest, dass das beste Segment ein Segment von eins ist – die Workload wird zum neuen Edge. Alles, was sich außerhalb der Workload befindet, ist nicht vertrauenswürdig, und alle Erzwingungen zum Zulassen oder Stoppen des Datenverkehrs erfolgen auf der Workload, ohne dass die Leistung beeinträchtigt wird. Host-basierte Systeme tun genau das.

Wie Illumio hilft: Wir haben früh erkannt, dass der einzige skalierbare Weg, um sowohl eine grobkörnige Segmentierung als auch eine granulare Mikrosegmentierung zu erreichen, eine hostbasierte Architektur ist. Dieser Ansatz bringt die Sicherheit sehr nah an den Ort der Aktion, und die Kontrollen sind unabhängig vom Netzwerk. Durch die Nutzung der Fähigkeiten und der Kapazität des Hosts zur Durchsetzung der Stateful-Firewall des Betriebssystem-Kernels entkoppeln wir die Segmentierung vom Netzwerk und bieten Ihnen eine skalierbare Möglichkeit zur Segmentierung, indem wir die bei Firewalls vorhandenen Engpässe beseitigen und die Kapazität erhöhen, wenn neue Workloads online gehen.

3. Abstrahierte Sicherheitsrichtlinien

Traditionell ist die Sicherheit an das Netzwerk gebunden, aber beide Unternehmen haben unterschiedliche Ziele. Bei Netzwerken geht es um Geschwindigkeit und Durchsatz. Bei Sicherheit geht es um Isolation und Prävention. Wenn wir beides mischen, erhalten wir das Schlimmste aus beiden Welten. Es ist wie bei einem Dreibeinrennen, bei dem beide Teilnehmer in unterschiedliche Richtungen gehen. Unnötig zu erwähnen, dass das Szenario kein gutes Ende nimmt. Sicherheitsrichtlinien sollten vom Netzwerk abstrahiert werden, damit ein gewünschter Sicherheitsstatus unabhängig von der zugrunde liegenden Infrastruktur erreicht werden kann.

Wie Illumio hilft: Durch die Entkopplung der Segmentierung vom Netzwerk bieten wir Unternehmen einen Workflow, um Richtlinien auf der Grundlage geschäftsorientierter Labels zu erstellen, die leicht verständlich sind. Arbeitslasten werden basierend auf vier Dimensionen von Bezeichnungen organisiert, und Richtlinien werden mit diesen Bezeichnungen geschrieben. Die gesamte Arbeit der Zuordnung der abstrahierten Richtlinien zur Durchsetzung auf Netzwerkebene erfolgt über ein Modell, das es Ihnen ermöglicht, Richtlinien zu testen, bevor Sie sie erzwingen. So stellen Sie sicher, dass Sie das gewünschte Ergebnis – die Mikrosegmentierung – erzielen können, ohne dass die Anwendungen unterbrochen werden.

4. Granulare Kontrollen

Unternehmen haben viele Anwendungen mit unterschiedlicher geschäftlicher Kritikalität. Daher unterscheiden sich die Sicherheitsanforderungen je nach Wichtigkeit und manchmal auch nach den gesetzlichen Anforderungen, die mit dieser Anwendung verbunden sind. Sie benötigen einen Mechanismus, um unterschiedliche Sicherheitsstatus für einzigartige Computing-Umgebungen zu definieren. Manchmal kann es in Ordnung sein, verschiedene Umgebungen einfach zu trennen (z. B. die Entwicklung von der Produktion zu trennen oder die im Geltungsbereich befindlichen regulatorischen Assets von allem anderen zu trennen). Für strengere Kontrollen müssen Sie möglicherweise Anwendungsebenen (Web, Verarbeitung, Datenbank) sperren und steuern, welche Ebene mit welcher kommunizieren kann. Diese Optionen sollten Teil des Richtlinienworkflows sein und einfach zu implementieren sein, ohne dass Netzwerkänderungen vorgenommen werden müssen.

Wie Illumio hilft: Unser Richtlinienmodell ist einfach, aber dennoch leistungsstark und leicht zu verwenden. Die Anwendungsabhängigkeitszuordnung bietet nicht nur Transparenz auf Anwendungsebene, sondern fördert auch die Richtlinienerstellung, indem sie verschiedene Optionen empfiehlt, von einfachem Ringfencing über mehrstufige Trennung bis hin zur Segmentierung auf der Grundlage von Ports, Prozessen und Diensten.

5. Konsistentes Richtlinien-Framework für Ihren gesamten Rechenbestand

Unternehmen werden zunehmend zu hybriden Multi-Clouds, und der Fußabdruck einer Anwendung ist heute oft auf verschiedene lokale Standorte, Hosting-Einrichtungen und Public Clouds verteilt, je nach Resilienz, Funktionalität, Leistung und Anforderungen an die Datenresidenz. Sie müssen einen konsistenten Sicherheitsmechanismus entwickeln, der über einzelne inkompatible Lösungen hinausgeht, die auf eine bestimmte Umgebung anwendbar sind.

Die Sicherheitsmodelle unterscheiden sich in Public Clouds von On-Premises-Bereitstellungen. Public Clouds arbeiten nach einem gemeinsamen Sicherheitsmodell. Cloud-Anbieter bieten grundlegende Infrastruktursicherheit, und die Kunden sind für die Sicherung ihrer Assets und Anwendungen verantwortlich. Darüber hinaus unterscheiden sich die Tools, die zum Sichern von On-Premises-Bereitstellungen verwendet werden, von denen, die in der Public Cloud verfügbar sind. Die meisten Public Clouds bieten Sicherheitsgruppen (sie haben je nach Anbieter unterschiedliche Namen), die eine grundlegende Firewall pro virtuellem privatem Netzwerk bieten. Diese Sicherheitsgruppen sind in ihrer Skalierung begrenzt, haben die gleichen Probleme wie Firewalls in Bezug auf die Konfigurationskomplexität und sind nicht cloudübergreifend kompatibel. Dies kann eine Herausforderung für Kunden sein, die wirklich hybride Multi-Clouds betreiben und einen konsistenten Sicherheitsmechanismus benötigen.

Wie Illumio hilft: Unsere Lösung ist unabhängig von Standort und Workload und Formfaktor. Ihre Workloads können sich überall befinden. Wir bieten vollständige Transparenz sowie ein konsistentes Sicherheitsmodell, das auf den gesamten Rechenbestand anwendbar ist.

6. Integration in Ihr Sicherheitsökosystem

Das Definieren eines Sicherheitsstatus und das Durchsetzen seiner Regeln trägt dazu bei, das Geschäft eines Unternehmens am Laufen zu halten. Dieser Teil muss fest in die Prozesse und Tools integriert werden, die ein Unternehmen für die Erstellung neuer Assets, die Bereitstellung von Anwendungen, die Operationalisierung der Systeme und vieles mehr verwendet. Die meisten Unternehmen verfügen über Systeme, die sie beim täglichen Betrieb unterstützen. Beispielsweise kann SecOps Splunk als Hauptkontrollzentrum verwenden, und andere Systeme sollten Benachrichtigungen und Warnungen an dieses System senden. Es ist unwahrscheinlich, dass SecOps täglich mehrere Tools überwacht, um den Betrieb aufrechtzuerhalten. Wenn sich Sicherheit nicht in diese Prozesse integrieren lässt, wird dies immer eine Herausforderung sein und zu Silos und Komplexität führen.

Wie Illumio hilft: Unsere Lösung ist vollständig API-gesteuert, was bedeutet, dass sie sich leicht in das größere Ökosystem eines Unternehmens integrieren lässt. Alles, was Sie mit der Illumio-GUI tun können, kann über API-Aufrufe von Ihrem System Ihrer Wahl aus erledigt werden. Darüber hinaus unterstützen wir Integrationen, die eine erweiterte Funktionalität ermöglichen. Zu den bemerkenswerten Integrationen gehören:

  • Jetzt: Illumio kann Host-Attribute aus ServiceNow aufnehmen und damit Labels erstellen, die jedem Workload zugewiesen und zur Definition von Richtlinien verwendet werden. Darüber hinaus kann Illumio Informationen über jede Diskrepanz (basierend auf einer Echtzeitkarte) an ServiceNow senden und die Informationen korrigieren, um die CMDB genauer zu machen.
  • Splunk: Illumio kann alle Alarme und Benachrichtigungen an SIEMs wie Splunk senden und über Dinge wie blockierten Datenverkehr, Manipulationsereignisse, Regelverstöße usw. berichten.
  • Schwachstellen-Scanner (Qualys, Tenable, Rapid7): Einzigartig für Illumio ist, dass wir Schwachstelleninformationen aufnehmen und diese Informationen auf einer Anwendungsabhängigkeitskarte überlagern können, um Risiken zu visualisieren und zu quantifizieren, sodass Sie eine Schwachstellenkarte erhalten. Diese Informationen können dann verwendet werden, um Mikrosegmentierungsrichtlinien abzuleiten, um Schwachstellen zu berücksichtigen, wobei im Wesentlichen die Mikrosegmentierung als ausgleichende Kontrolle verwendet wird, wenn ein sofortiges Patchen nicht möglich ist.
  • AWS-Sicherheitshub: Ähnlich wie Splunk lässt sich Illumio in den AWS Security Hub integrieren, der SIEM-Funktionen für Cloud-Bereitstellungen bietet.
     

Zusammenfassend sind hier die wichtigsten Vorteile der Mikrosegmentierung:

  • Verbesserte Sicherheit: Der Netzwerkverkehr kann isoliert und/oder gefiltert werden, um den Zugriff zwischen Netzwerksegmenten einzuschränken oder zu verhindern.
  • Bessere Eindämmung: Wenn ein Netzwerkproblem auftritt, ist dessen Auswirkung auf das lokale Subnetz beschränkt.
  • Bessere Zugangskontrolle: Erlauben Sie Benutzern, nur auf bestimmte Netzwerkressourcen zuzugreifen.
  • Beachtung: Organisationen, die behördlichen oder vom Kunden vorgeschriebenen Compliance-Anforderungen unterliegen, können nachweisen, dass geeignete Schritte unternommen wurden, und Audits rechtzeitig bestehen.
  • Verbessertes Monitoring: Bietet die Möglichkeit, Ereignisse zu protokollieren, zugelassene und verweigerte interne Verbindungen zu überwachen und verdächtiges Verhalten zu erkennen.


Mikrosegmentierung ist ein sehr effektiver Ansatz, um unbefugte laterale Bewegungen innerhalb Ihres Unternehmens zu verhindern, und es ist kein Zufall, dass sie zu einem wichtigen Grundsatz eines Zero-Trust-Frameworks geworden ist. Sicherheitsverletzungen können schädlich sein, aber das Fehlen eines intern segmentierten Netzwerks kann ebenso nachteilig sein.

Die meisten hochkarätigen Sicherheitsverletzungen legen Unternehmen lahm, weil ein Eindringling wochen- oder monatelang unentdeckt das Netzwerk durchquert und sich seitlich bewegt, um auf hochwertige Vermögenswerte zuzugreifen. Die Mikrosegmentierung verhindert diese Bewegung, damit Ihr Unternehmen nicht das nächste schlagzeilenträchtige Unternehmen wird, das Opfer eines Angriffs wird.

Sind Sie bereit, den ersten Schritt auf Ihrem Weg zur Segmentierung zu machen? Melden Sie sich für eine kostenlose 30-Tage-Testversion an.

Verwandte Themen

No items found.

Verwandte Artikel

So stellen Sie erfolgreiche Mikrosegmentierungsprojekte sicher: Die 6 größten Risiken
Zero-Trust-Segmentierung

So stellen Sie erfolgreiche Mikrosegmentierungsprojekte sicher: Die 6 größten Risiken

Es gibt einen Grund, warum so viele Unternehmen noch keine Mikrosegmentierung implementiert haben, um einen besseren Zero-Trust-Sicherheitsschutz zu schaffen.

Read more
8 Gründe, warum der Bankensektor die Zero Trust Segmentierung von Illumio nutzen sollte
Zero-Trust-Segmentierung

8 Gründe, warum der Bankensektor die Zero Trust Segmentierung von Illumio nutzen sollte

Lesen Sie, warum das Hauptziel für Cyberangriffe in den letzten 5 Jahren, die Banken- und Finanzdienstleistungsbranche, Illumio Zero Trust Segmentation benötigt.

Read more
Es ist ein Vogel, es ist ein Flugzeug, es ist... Superhaufen!
Zero-Trust-Segmentierung

Es ist ein Vogel, es ist ein Flugzeug, es ist... Superhaufen!

Große Organisationen verfügen häufig über Rechenzentren in verschiedenen geografischen Regionen. Verteilte Rechenzentren ermöglichen es diesen Organisationen, ihre Anwendungen in der Nähe ihrer Kunden und Mitarbeiter zu platzieren, die Anforderungen an die Datenresidenz zu erfüllen und eine Notfallwiederherstellung für ihre kritischen Geschäftsanwendungen bereitzustellen.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more