Mit einer Segmentierung lassen sich Netzwerke in voneinander abgegrenzte Zonen aufteilen, die unterschiedliche Sicherheitsanforderungen stellen. Es werden ausschließlich Berechtigungen für Zugriffe auf Ressourcen erteilt, die gerade gebraucht werden – und dies auch nur nach einer Prüfung. Die Segmentierung ermöglicht außerdem, Zugriffe und Berechtigungen für jeweils einzelne Bereiche fein auszusteuern.
Welchen Nutzen Netzwerksegmentierung bringt.
Die Segmentierung eines Netzwerks hilft, mehrere Anforderungen an die IT und das gesamte Unternehmen zu erfüllen. Dazu gehören:
- Schutz vor Cyber-Angriffen. Haben sich Cyber-Kriminelle Zugang zu einem nicht segmentierten Netzwerk verschafft, sind ihnen Tür und Tor geöffnet. In einem segmentierten Netzwerk können sie weniger Schaden anrichten, da sie nicht weiter als bis zur Grenze eines Segments kommen.
- Durchsetzen unterschiedlicher Richtlinien im Unternehmensnetzwerk. Sicherheitsrichtlinien können granular ausgesteuert und individuelle Regeln für einzelne Bereiche bis hin zu einzelnen Servern festgelegt werden.
- Beherrschen von IT und Operational Technology (OT). Die Segmentierung der Systeme bietet die Möglichkeit, IT und OT netzwerktechnisch zu trennen und damit die Sicherheit beider im Griff zu behalten.
- Erfüllen von Sicherheitsvorgaben. Viele Branchen haben strengere Sicherheitsvorgaben für die IT als der Standard, etwa Betreiber kritischer Infrastrukturen. Andere haben spezifische Sicherheitsanforderungen, die sich aus ihrem Geschäftsfeld ergeben, zum Beispiel die „Bankaufsichtlichen Forderungen an die IT“ (BAIT). Wiederum andere verlangen nach Zertifizierungen. Die Segmentierung und Kontrolle des Netzwerks sind dabei meist entweder verpflichtend vorgesehen oder sie werden zumindest angeraten.
- Erfüllen von Kundenanforderungen. Zahlreiche Leaks und Pannen haben die Öffentlichkeit für den Schutz und die Sicherheit persönlicher Informationen sensibilisiert. Unternehmen müssen daher proaktiv dafür sorgen, dass sie die Daten ihrer Kunden bestmöglich schützen.
- Erfüllen der Anforderungen von Cyber-Versicherungen. Wer die Sicherheitsvorgaben der Cyber-Versicherer nicht erfüllen kann, muss entweder einen Risikoaufschlag für seine Police zahlen oder erhält gar keinen Vertrag. Mit einer Mikro- und Makrosegmentierung werden viele ihrer Anforderungen erfüllt.
Welche Segmentierungsmöglichkeiten es gibt.
Grundsätzlich bedeutet Netzwerksegmentierung, größere Zonen voneinander abzugrenzen, die wiederum in kleinere aufgeteilt werden. Daher spricht man auch von Mikro- und Makrosegmentierung. Um das zu erreichen, gibt es verschiedene Ansätze, die aber allesamt ihre Vor- und Nachteile haben. Hinzu kommt, dass sie nicht alle gut miteinander kombinierbar sind. Welcher Ansatz der individuell passende ist, hängt vor allem vom vorhandenen Netzwerk und den auf dem Markt angebotenen Lösungen ab. Bestenfalls sollten mehrere Ansätze kombiniert werden, um möglichst viele Vor- und möglichst wenige Nachteile zu haben.
Ein kurzer Überblick:
Firewall-basierter Ansatz.
Der Einsatz von Firewalls ist nicht nur gegen Angriffe von außerhalb des Netzwerks möglich, sondern auch innerhalb eines segmentierten Netzwerks. Dort können sie helfen, den Datenverkehr zwischen Segmenten zu kontrollieren, um die Angriffsfläche zu minimieren und im Schadensfall das schrittweise Fortbewegen der Angreifer:innen durch das Netzwerk zu verhindern. Firewalls erlauben die straffe Durchsetzung von Regeln und können insbesondere für die Segmentierung kleinerer Netzwerke sinnvoll sein. Für komplexere Infrastrukturen wären jedoch sehr viele Firewalls beziehungsweise Einzelregeln erforderlich. Das würde einen immensen administrativen Aufwand nach sich ziehen.
Netzwerkbasierter Ansatz.
Die Steuerung der Netzwerkkommunikation kann auch über ein Software-defined Network (SDN) geregelt werden. Es setzt softwareseitig auf einem bestehenden Netzwerk auf und kann zusätzlich auch virtuelle Netzwerkstrukturen abbilden. Außerdem lassen sich auch geräte- oder userbasierte Regelwerke durchsetzen. Dies geschieht mit meist virtuellen Netzwerkkomponenten wie Switches und Routern mit integrierter Segmentierungs- und Security-Technologie. Ein Vorteil dieser Overlay-Technologie ist ihre vergleichsweise große Flexibilität. Nachteilig ist, dass der Traffic über die relevanten Komponenten laufen muss, um ihn prüfen und filtern zu können.
Hypervisor-basierter Ansatz.
Hypervisoren in einem virtuellen Netzwerk verwalten zentral die Hardwareressourcen und kümmern sich um alle dafür erforderlichen Funktionen, etwa die Verteilung der Datenströme, das Routing oder nötige Firewalls. Ist eine virtuelle Maschine nicht mehr funktionsfähig, stellt der Hypervisor sicher, dass sie isoliert bleibt. Außerdem lassen sich mit diesem Ansatz Sicherheitsrichtlinien innerhalb kürzester Zeit auf alle Bereiche des Netzwerks, die sich innerhalb der virtuellen Umgebung befinden, übertragen. Regeln außerhalb des Hypervisors hingegen sind nicht oder nur eingeschränkt durchsetzbar.
Host-Agent-basierter Ansatz.
Host Agents helfen dabei, Instanzen, Dienste und Anwendungen zu verfolgen und zu kontrollieren. Sie können die Sichtbarkeit deutlich erhöhen, weil es möglich ist, sie auf sehr vielen physischen oder virtuellen Maschinen zu installieren. Mittels eines zentralen Managements bleibt der Überblick erhalten. Die Regeldurchsetzung auf Ebene der Hosts führt neben der hohen Visibilität zu granularen Steuerungsmöglichkeiten. Viele Unternehmen schrecken jedoch vor einer Installation separater Agenten zurück, weil die Zahl der Endpunkte enorm hoch sein kann.
Eine Erklärung weiterer Vor- und Nachteile der einzelnen Ansätze finden Sie in unserem Whitepaper „Wie Mikro- und Makrosegmentierung des Netzwerks die Sicherheit von Unternehmen erhöht.“. Sie können es hier kostenfrei herunterladen.
Wie Bechtle Unternehmen bei der Netzwerksegmentierung unterstützt.
Die Segmentierung des eigenen Netzwerks ist für jedes Unternehmen mit digitalen Infrastrukturen relevant. Doch es ist nicht einfach, die passenden Konzepte dafür zu finden. Um kurzfristige Erfolge und nachhaltige Verbesserungen zu erzielen, ist neutrale Beratung nötig. Bechtle unterstützt Sie Schritt für Schritt:
- Ein Einstiegsworkshop dient der Abfrage der Bedürfnisse und mündet in erste Handlungsempfehlungen.
- Wir verschaffen uns anschließend ein Bild von der aktuellen Situation im Unternehmen.
- Basierend darauf finden wir Ansätze und Techniken, die am besten für die Mikro- und Makrosegmentierung Ihres Netzwerks geeignet sind.
- Danach erarbeiten wir mit Ihnen eine Zieldefinition und erstellen einen Plan, wie diese zu erreichen ist.
- Auch bei der sukzessiven Erfüllung der Anforderungen unterstützt Sie Bechtle gerne.
- Ihrem IT-Team stehen wir bei allen Fragen, die sich durch die Umstellungen ergeben, beratend zur Seite.
Bedenken Sie: Die Mikro- und Makrosegmentierung eines Netzwerks ist ein zeitintensiver Prozess und keine Maßnahme, die mit dem bloßen Umlegen eines Schalters erledigt wäre. Mit unserem Vorgehen erhalten Sie Quick Wins, aber auch langfristige Verbesserungen.
Warum Mikro- und Makrosegmentierung mittlerweile ein Muss ist.
Die Komplexität der Netzwerke erhöht sich, immer mehr Devices sind am Netz, die Sicherheitsanforderungen steigen. Die Segmentierung des eigenen Netzwerks hilft, das Sicherheitsniveau zu erhöhen. Sie schafft gleichzeitig weitere Vorteile, weil das Netzwerk transparenter und viel granularer steuerbar wird. Richtig umgesetzt, erhält die IT so neue und bessere Handlungsmöglichkeiten – zum Wohle des gesamten Unternehmens.
Lesen Sie weiter in unserem Whitepaper „Wie Mikro- und Makrosegmentierung des Netzwerks die Sicherheit von Unternehmen erhöht.“. Oder setzen Sie sich mit uns in Verbindung und erfahren Sie mehr über unsere Consulting Services sowie viele weitere IT-Dienstleistungen und -Lösungen.
