Was ist Netzwerksegmentierung?
Netzwerksegmentierung ist eine Strategie, bei der Segmente des Unternehmensnetzwerks voneinander getrennt werden, um die Angriffsfläche zu verringern.
Doch angesichts der rasant steigenden Benutzerzahlen und der Dynamik von Anwendungen und Ressourcen in modernen Rechenzentren wird der Perimeter in vielen Sicherheitsstrategien näher an die Ressourcen verlegt, als es bei der Abschottungsstrategie der Fall ist.
Zudem ist Netzwerksegmentierung im Zero-Trust-Framework NIST SP 800-207 zusammen mit Identitäten eines der Kernkonzepte einer Zero-Trust-Sicherheitsstrategie.
Makro- und Mikrosegmentierung des Netzwerks
Die klassische Netzwerksegmentierung (auch bekannt als Makrosegmentierung) wird normalerweise durch Firewalls und VLANs realisiert. Bei der Mikrosegmentierung werden die Perimeter- und Sicherheitskontrollen näher an die Ressource herangeführt (z. B. eine Workload oder eine dreischichtige Anwendung), wodurch sichere Zonen entstehen. Die Makro- und Mikrosegmentierung des Netzwerks dient hauptsächlich dazu, den netzwerkinternen Datenverkehr im Rechenzentrum zu begrenzen und die laterale Bewegung von Angreifern zu verhindern bzw. zu verlangsamen.
Die Makro- bzw. Mikrosegmentierung des Netzwerks lässt sich durch folgende Maßnahmen umsetzen:
- Hardware-Firewalls (z. B. interne Segmentierungs-Firewalls): Datenverkehr zu Zonen oder Segmenten wird durch Firewall-Regeln reguliert
- VLANs und Zugriffskontrolllisten (Access Control Lists, ACLs): filtern Zugriffe auf Netzwerke/Subnetze
- softwaredefinierter Perimeter (SDP): verlegt den Perimeter näher an den Host heran und schafft eine virtuelle Grenze; ermöglicht detaillierte Richtlinienkontrollen auf Workload-Ebene
Der umfassende Leitfaden zur Entwicklung einer Identitätsschutzstrategie
Machen Sie den ersten Schritt in Richtung einer resilienten Identitätssicherheitsstrategie und laden Sie den vollständigen Leitfaden zum Aufbau einer Strategie zum Identitätsschutz herunter, um die digitale Identitätslandschaft Ihrer Organisation noch heute zu schützen.
Jetzt herunterladenVor- und Nachteile der Makrosegmentierung von Netzwerken
Zugriffsrichtlinien für Ressourcen, die durch Firewall-Regeln, VLANs bzw. ACLs und VPNs definiert werden, sind statisch und betreffen nur den ein- und ausgehenden Datenverkehr. Diese starren Richtlinien lassen sich nicht skalieren und an dynamische hybride Umgebungen sowie dynamische Vorgaben für sicheren Zugriff anpassen, die außerhalb des statischen Perimeters genutzt werden.
| Vorteile | Nachteile |
|---|---|
| Eine der ältesten und am weitesten verbreiteten Segmentierungsmethoden – die bereits vor Zero Trust existierte | VLANs und Firewalls verursachen zahlreiche Engpässe im Netzwerk – was sich negativ auf die Netzwerkleistung und die Unternehmensproduktivität auswirkt (hohe Reibungsverluste) |
| Bewährte Hardware-Firewalls zur Steuerung des Ost-West- und Nord-Süd-Datenverkehrs | Tausende Firewall-Regeln und VLANs/ACLs verursachen in kurzer Zeit hohen Verwaltungsaufwand und viele Sicherheitsprobleme (komplex, anfällig für menschliche Fehler) |
| Teure Skalierung durch Hardware-Investitionen und Personalkosten | |
| Zentraler Überblick über lokale und cloudbasierte Ressourcen nur schwer möglich | |
| Was bei lokalen Lösungen funktioniert, funktioniert nicht in der Cloud (Transparenz und Sicherheitslücken – große Angriffsfläche) | |
| Fein abgestimmte Richtlinien nur schwer möglich; kein Sicherheitskontext | |
| Starre Richtlinien; passen sich nicht an dynamische Umgebungen oder plötzliche Änderungen des Geschäftsmodells an (z. B. Mitarbeiter im Homeoffice, Fusionen und Übernahmen, Aufteilung) | |
| Anbieterbindung verursacht Mehraufwand |
Vor- und Nachteile der Mikrosegmentierung von Netzwerken
Der Perimeter rückt näher an die Ressource heran und die Sicherheitskontrollen werden beim jeweiligen Host angewandt.
| Vorteile | Nachteile |
|---|---|
| Unabhängig von Plattform und Infrastruktur | Benötigt Agenten auf jedem Endgerät, Workload oder Hypervisor/virtuelle Maschine |
| Kontextbasierte Sicherheitskontrollen mit fein abgestimmten Richtlinien | Obwohl fein abgestimmte Richtlinien Vorteile bieten, ist die enorme Zahl an Richtlinien, die für Tausende Ressourcen, Benutzergruppen, Zonen (Mikrosegmente) sowie Anwendungen erstellt und verwaltet werden müssen, viel zu groß |
| Einheitliche Plattform | 90 % des Datenverkehrs sind verschlüsselt und erfordern für vollständige Transparenz ressourcenintensive SSL/TLS-Entschlüsselung, wodurch der Rechenaufwand und somit Kosten für Umsetzung und Betrieb der Segmentierung drastisch steigen. |
| Man muss die gesamte Architektur des Rechenzentrums genau kennen – was sich ändert, was neu ist und wo Lücken bestehen –, um Richtlinien zu entwickeln, die die Produktivität des Unternehmens nicht beeinträchtigen (z. B. Szenarien: der plötzliche Wechsel zur Remote-Arbeit und was passiert, wenn die Mitarbeiter nach der Pandemie zurückkehren? Wie ändert sich die Architektur/Topologie, wie wird es sich auf Richtlinien auswirken und welche „neuen“ Lücken gibt es?) | |
| Minimale oder fehlende Bedrohungserkennung und Prävention: Werden separate Tools und Integrationen für Threat Intelligence, Bedrohungserkennung und -prävention benötigt? |
Der netzwerkorientierte Segmentierungsansatz mit Makrosegmentierung oder Mikrosegmentierung hat klare Vor- und Nachteile. Bei der Netzwerksegmentierung gibt es eine Menge beweglicher Teile: Hardware-Firewalls, softwaredefinierte Perimeter, zusätzliche Kontrollen und Tools für die Multi-Cloud-Infrastruktur sowie etliche Zugriffsrichtlinien für Ressourcen, die verwaltet und auf dem neuesten Stand gehalten werden müssen, um mit Angriffen und der sich ändernden Bedrohungslandschaft Schritt zu halten.
Neuer Kurs: von der Netzwerksegmentierung zur Identitätssegmentierung
Obwohl Netzwerksegmentierung die Angriffsfläche verringert, schützt die Strategie nicht vor Angreifertechniken und -taktiken während der Identitätsphasen der Angriffskette. Identitätssegmentierung ist die Segmentierungsmethode, die Risiken am deutlichsten minimiert, geringere Kosten ermöglicht und die Abläufe vereinfacht.
Sie schützt Identitäten und minimiert daher die Risiken durch Kompromittierungen bei hochentwickelten Angriffen (z. B. Ransomware- und Lieferkettenangriffe), in denen kompromittierte Anmeldedaten ein wichtiger Faktor sind. Laut dem Cost of a Data Breach Report 2021 von IBM und dem Ponemon Institute zählten kompromittierte oder gestohlene Anmeldedaten zur häufigsten Ursache von Datenschutzverletzungen im Jahr 2021 und blieben zudem am längsten unerkannt – im Durchschnitt ganze 250 Tage.
An dieser Stelle kann die Identitätssegmentierung von CrowdStrike die Angriffsfläche durch die Isolierung und Segmentierung von Identitäten erheblich verringern. Zudem bietet die Lösung einen unmittelbaren Mehrwert, da bei den meisten Kompromittierungen Anmeldedaten missbraucht werden.
Sie haben noch nie von Identitätssegmentierung gehört?
Laden Sie jetzt unser Whitepaper herunter und erfahren Sie mehr darüber, was genau Identitätssegmentierung bedeutet und welche Unterschiede zwischen Identitäts- und Netzwerksegmentierung bestehen.
Narendran ist Director of Product Marketing für Identity Protection und Zero Trust bei CrowdStrike. Er hat über 17 Jahre Erfahrung in der Entwicklung von Produktmarketing und GTM-Strategien bei Cybersicherheits-Startups und großen Unternehmen wie HP und SolarWinds. Zuvor war er Director of Product Marketing bei Preempt Security, das von CrowdStrike übernommen wurde. Narendran hat einen Master in Informatik von der Universität Kiel.
