Was ist Netzwerksegmentierung?
Netzwerksegmentierung ist eine Strategie, bei der Segmente des Unternehmensnetzwerks voneinander getrennt werden, um die Angriffsfläche zu verringern.
Doch angesichts der rasant steigenden Benutzerzahlen und der Dynamik von Anwendungen und Ressourcen in modernen Rechenzentren wird der Perimeter in vielen Sicherheitsstrategien näher an die Ressourcen verlegt, als es bei der Abschottungsstrategie der Fall ist.
Zudem ist Netzwerksegmentierung im Zero-Trust-Framework SP 800-207 des NIST zusammen mit Identitäten eines der Kernkonzepte einer Zero-Trust-Sicherheitsstrategie.
Makro- und Mikrosegmentierung des Netzwerks
Die klassische Netzwerksegmentierung (auch bekannt als Makrosegmentierung) wird normalerweise durch Firewalls und VLANs realisiert. Bei der Mikrosegmentierung werden der Perimeter und die Sicherheitskontrollen näher an die Ressource (z. B. ein Workload oder eine Stufe-3-Anwendung) herangerückt, um sichere Zonen zu schaffen. Die Makro- und Mikrosegmentierung des Netzwerks dient hauptsächlich dazu, den netzwerkinternen Datenverkehr im Rechenzentrum zu begrenzen und die laterale Bewegung von Angreifern zu verhindern bzw. zu verlangsamen.
Die Makro- bzw. Mikrosegmentierung des Netzwerks lässt sich durch folgende Maßnahmen umsetzen:
- Hardware-Firewalls (z. B. interne Segmentierungs-Firewalls): Datenverkehr fließt zu Zonen oder Segmenten und wird durch Firewall-Regeln reguliert
- VLANs und Zugriffskontrolllisten (ACLs): Filtern Zugriffe auf Netzwerke/Subnetze
- Software-definierter Perimeter (SDP): Verlegt den Perimeter näher an den Host heran und schafft eine virtuelle Grenze; ermöglicht detaillierte Richtlinienkontrollen auf Workload-Ebene
SEGMENTATION DU RÉSEAU ET SEGMENTATION SELON L'IDENTITÉ
Téléchargez ce livre blanc pour mieux comprendre l’approche de CrowdStrike en matière de segmentation selon l’identité.
Vor- und Nachteile der Makrosegmentierung von Netzwerken
Zugriffsrichtlinien für Ressourcen, die durch Firewall-Regeln, VLANs bzw. ACLs und VPNs definiert werden, sind statisch und betreffen nur den ein- und ausgehenden Datenverkehr. Diese starren Richtlinien lassen sich nicht skalieren und an dynamische hybride Umgebungen sowie dynamische Vorgaben für sicheren Zugriff anpassen, die außerhalb des statischen Perimeters genutzt werden.
| Vorteile | Nachteile |
|---|---|
| Eine der ältesten und weitverbreitetsten Segmentierungsmethoden; ist älter als Zero Trust | VLANs und Firewalls schaffen mehrere Nadelöhre im Netzwerk; beeinträchtigen Netzwerkleistung und Unternehmensproduktivität (hohe Reibungsverluste) |
| Vertraute Hardware-Firewalls zur Steuerung des netzwerkinternen sowie ein- und ausgehenden Datenverkehrs | Tausende Firewall-Regeln und VLANs/ACLs verursachen in kurzer Zeit hohen Verwaltungsaufwand und viele Sicherheitsprobleme (komplex, anfällig für menschliche Fehler) |
| Teure Skalierung durch Hardware-Investitionen und Personalkosten | |
| Zentraler Überblick über lokale und cloudbasierte Ressourcen nur schwer möglich | |
| Was bei lokalen Lösungen funktioniert, funktioniert nicht in der Cloud (Transparenz und Sicherheitslücken – große Angriffsfläche) | |
| Fein abgestimmte Richtlinien nur schwer möglich; kein Sicherheitskontext | |
| Starre Richtlinien; passen sich nicht an dynamische Umgebungen oder plötzliche Änderungen des Geschäftsmodells an (z. B. Mitarbeiter im Homeoffice, Fusionen und Übernahmen, Aufteilung) | |
| Anbieterbindung verursacht Mehraufwand |
Vor- und Nachteile der Mikrosegmentierung von Netzwerken
Der Perimeter rückt näher an die Ressource heran und die Sicherheitskontrollen werden beim jeweiligen Host angewandt.
| Nachteile | |
|---|---|
| Unabhängig von Plattform und Infrastruktur | Benötigt Agenten auf jedem Endgerät, Workload oder Hypervisor/virtueller Maschine |
| Kontextbasierte Sicherheitskontrollen mit fein abgestimmten Richtlinien | Obwohl fein abgestimmte Richtlinien Vorteile bieten, ist die enorme Zahl an Richtlinien, die für tausende Ressourcen, Benutzergruppen, Zonen (Mikrosegmente) sowie Anwendungen erstellt und verwaltet werden müssen, viel zu groß |
| Einheitliche Plattform | 90 % des Datenverkehrs ist verschlüsselt und erfordert für vollständige Transparenz ressourcenintensive SSL/TLS-Entschlüsselung, wodurch der Rechenaufwand und somit Kosten für Umsetzung und Betrieb der Segmentierung drastisch steigen |
| Umfassender Überblick über gesamte Architektur des Rechenzentrums (d. h. was ändert sich, was ist neu und welche Lücken gibt es) ist nötig, um Richtlinien erstellen zu können, die die Unternehmensproduktivität nicht beeinträchtigen (Beispielszenarien: Was passiert, wenn Mitarbeiter nach dem plötzlichen pandemiebedingten Wechsel ins Homeoffice wieder zurück ins Büro kommen? Wie ändert sich die Architektur/Topologie, wie wird es sich auf Richtlinien auswirken und welche „neuen“ Lücken gibt es?) | |
| Minimale oder fehlende Bedrohungserkennung und Prävention: Werden separate Tools und Integrationen für Bedrohungsanalyse, -erkennung und -prävention benötigt? |
Gangwechsel – von der Netzwerksegmentierung zur Identitätssegmentierung
Obwohl Netzwerksegmentierung die Angriffsfläche verringert, schützt die Strategie nicht vor Angreifertechniken und -taktiken während der Identitätsphasen der Angriffskette. Identitätssegmentierung ist die Segmentierungsmethode, die Risiken am deutlichsten minimiert, geringere Kosten ermöglicht und die Abläufe vereinfacht.
Sie schützt Identitäten und minimiert daher die Risiken durch Kompromittierungen bei hochentwickelten Angriffen (z. B. Ransomware- und Lieferkettenangriffe), in denen kompromittierte Anmeldedaten ein wichtiger Faktor sind. Laut dem Cost of a Data Breach Report 2021 von IBM und dem Ponemon Institute zählten kompromittierte oder gestohlene Anmeldedaten zur häufigsten Ursache von Datenschutzverletzungen im Jahr 2021 und blieben zudem am längsten unerkannt – im Durchschnitt ganze 250 Tage.
An dieser Stelle kann die Identitätssegmentierung von CrowdStrike die Angriffsfläche durch die Isolierung und Segmentierung von Identitäten erheblich verringern. Zudem bietet die Lösung einen unmittelbaren Mehrwert, da bei den meisten Kompromittierungen Anmeldedaten missbraucht werden.
Sie haben noch nie von Identitätssegmentierung gehört?
Laden Sie jetzt unser Whitepaper herunter und erfahren Sie mehr darüber, was genau Identitätssegmentierung bedeutet und welche Unterschiede zwischen Identitäts- und Netzwerksegmentierung bestehen.
NETZWERKSEGMENTIERUNG UND IDENTITÄTSSEGMENTIERUNG IM VERGLEICH
Laden Sie dieses Whitepaper herunter und machen Sie sich mit dem CrowdStrike-Ansatz für Identitätssegmentierung vertraut.
Jetzt herunterladen