.png)
Netzwerk- vs. Sicherheitssegmentierung
Der Bedarf an Segmentierung als Sicherheitsstrategie hat sich stark weiterentwickelt. Von den Anfängen der Netzwerke bis hin zu den komplexen Rechenzentrums- und Cloud-Umgebungen von heute hat der Ansatz der Unternehmen bei der Segmentierung nicht Schritt gehalten. Jeder, der versucht, traditionelle Segmentierungsansätze zu nutzen, um neue Sicherheitsherausforderungen zu bewältigen, wird schnell feststellen, dass sie sowohl die Erwartungen als auch die Sicherheitsanforderungen nicht erfüllen.
Dies hat Anbieter und einige Unternehmen jedoch nicht davon abgehalten, zu versuchen, den sprichwörtlichen quadratischen Netzwerkstift in das runde Sicherheitsloch zu stecken. Spoiler-Alarm: Es passt einfach nicht.
Was Sie wirklich brauchen, ist die Sicherheitssegmentierung.
In diesem Beitrag werde ich den Unterschied zwischen Netzwerk- und Sicherheitssegmentierung untersuchen, wobei ich mich auf das Rechenzentrum konzentriere und darauf, wie die Netzwerksegmentierung fehlgeleitet wurde, um Sicherheitsanforderungen zu erfüllen.
Bodenkontrolle für wichtige Anwendungen
Als ich zum ersten Mal mit dem Networking anfing, war ein Segment ein Strang von RG-58 COAX. Verabrede ich mich selbst? Ja.
Im Laufe meiner Karriere arbeitete ich bei Xylan, einem Pionier in der "aufstrebenden" VLAN-Technologie . Zu dieser Zeit bestand die Herausforderung darin, beliebige Medien (Token Ring, FDDI, ATM, Ethernet) mit beliebigen Medien zusammenzuarbeiten und VLANs zu erweitern - nicht in erster Linie aus Sicherheitsgründen, sondern vielmehr zur Reduzierung von Broadcast-Domänen -, um die Netzwerkleistung aufrechtzuerhalten und die Skalierung von Netzwerken zu ermöglichen. Es gab keine Layer-3-Switches, und die teuersten Elemente im Netzwerk waren die softwarebasierten Router." †Im Grunde hatte sich ein Segment zu einer logischen (nicht physischen) Broadcast-Domäne entwickelt, und das blieb so ziemlich auch, bis VLANs mit der Sicherheit vermischt wurden.
Unabhängig davon, wie viel Geld ein Unternehmen heute für "Erkennungs"-Technologien ausgibt, glauben die meisten Unternehmen, dass eine Sicherheitsverletzung in irgendeiner Form unvermeidlich ist.
Angesichts der Unvermeidlichkeit einer Sicherheitsverletzung besteht der einzige realistische Schutz darin, mehr Mauern um kritische Anwendungen zu errichten – oder "das Gelände zu kontrollieren", damit sich böswillige Akteure nicht frei in Ihrem Rechenzentrum und Ihrer Cloud bewegen können.
Die Kontrolle des Geländes erfordert eine neue Form der Segmentierung.
Dies bezeichne ich als Sicherheitssegmentierung, bei der ein Unternehmen den Datenverkehr filtern muss, um zu verhindern, dass sich ein böswilliger Akteur innerhalb eines Rechenzentrums lateral (Ost/West) bewegen kann. Dies ist weitaus besser als die "Retro-Segmentierung" durch das Netzwerk, die neue IPs, neue VLANs und neue Geräte erfordert.
Kann oder sollte? Das ist eine große Sache
Bei der Sicherheitssegmentierung geht es nicht um die Paketweiterleitung, da sie sich auf Layer-2- und Layer-3-Netzwerke bezieht. Bei der Sicherheitssegmentierung geht es um Paketfilterung , d. h. es geht darum, durchzusetzen, was zwischen zwei Punkten im Netzwerk erlaubt sein sollte und was nicht.
Ich sage immer, dass dies der Unterschied zwischen can (Paketweiterleitung) und sollte (Paketfilterung) ist. Bei allen Protokollen und Arbeiten, die an Layer-2- und Layer-3-Netzwerken durchgeführt wurden, ging es um eine zuverlässige Paketzustellung.
- Layer-2/3-Netzwerke können einen Pfad finden, um ein Paket zwischen zwei Standorten weiterzuleiten, falls vorhanden.
- Layer-2/3-Netzwerke wissen nicht, ob sie das Paket weiterleiten sollen . Es wurde nicht dafür entwickelt, so zu funktionieren.
Ein Layer-2/3-Gerät zu bitten, herauszufinden, was passieren sollte , ist so, als würde man Ron Burgundy bitten, nicht jedes Wort auf einem Teleprompter zu lesen.
Die Sicherheitssegmentierung hingegen versteht, was passieren sollte, und setzt Paketfilter ein, um sicherzustellen, dass das, was nicht passieren sollte, nie passiert, wie die Ausbreitung einer Sicherheitsverletzung.
Tatsächlich sind die zuverlässige Paketzustellung - an der wir seit 30 Jahren arbeiten - und die Sicherheitssegmentierung wie Cousins ersten Grades: Sie sind miteinander verwandt, sollten aber nicht heiraten.
KISS: Du willst es einfach, dumm halten (und jeden Tag filtern)
Eines der Dinge, die die Notwendigkeit einer Sicherheitssegmentierung in den Vordergrund rückten, war das Aufkommen dessen, was ich gerne als "Firewall on a Stick"-Problem bezeichne. Vor zehn Jahren haben wir nicht gesehen, dass viel Datenverkehr zu einer Firewall (oder Firewalls) in Rechenzentren geleitet wurde, weil dies zu Traffic-Overhead, Konfigurationskomplexität und Skalierungsproblemen führte. Im Laufe der Zeit gab es jedoch eine Zunahme dieser "Firewall on a Stick"-Designs.
PROTIPP: Jedes Mal, wenn Sie eine Technologie auf einem Stock sehen, seien Sie müde. Es wird im Weg stehen.
In Unternehmen versuchen Anbieter von Software-Defined Networking (SDN), die Komplexität der Firewall auf einem Stick anzugreifen, indem sie ein Overlay von Netzwerken erstellen, das Pakete durch eine verteilte Reihe von Firewalls leitet. SDN verlässt sich auf Underlays, Overlays und Tunneling, damit es funktioniert. Dies hat eine ganz neue Ebene der Komplexität geschaffen, die wir uns für einen anderen Beitrag aufheben können. Aber es genügt zu sagen, dass es kein gewinnbringendes Unterfangen ist, Komplexität mit noch mehr Komplexität anzugreifen.
Komplexität ist der Feind vieler Dinge, und Sicherheit ist einer davon.
Im Gegensatz zu SDN beruht die Sicherheitssegmentierung (auch bekannt als Paketfilterung) auf dem KISS-Prinzip des Netzwerks: Keep It Simple Stupid. Wenn Sie etwas zu komplex machen, steigt die Wahrscheinlichkeit eines Fehlers, ebenso wie die Wahrscheinlichkeit, dass Menschen nach Möglichkeiten suchen, Abstriche zu machen - das Letzte, was Sie als Teil Ihrer Sicherheitsstrategie wollen. Auf der anderen Seite hat Einfachheit eine bessere Chance, Zuverlässigkeit zu erzielen, und Zuverlässigkeit ist entscheidend für die Sicherheit.
.webp)
