Home » Fachbeiträge » Security Management » Hostbasierte Mikro-Segmentierung – ein wirksamer Baustein in Zero-Trust-Konzepten

Wie sich Lateral-Movement-Angriffe aufhalten lassen: Hostbasierte Mikro-Segmentierung – ein wirksamer Baustein in Zero-Trust-Konzepten

Sicherheitsverantwortliche sollten sich die Frage stellen, was passiert, wenn ein Angreifer die Firewall und den Virenschutz überwindet. Kann er sich ungehindert im Unternehmensnetzwerk ausbreiten und großen Schaden anrichten? Eine Möglichkeit, das effektiv zu verhindern, sind Netzwerksegmente.

·

Redaktion IT-SICHERHEIT (cs)

4 Min. Lesezeit
Vernetzte Welt in futuristischer Darstellung
©AdobeStock/Annika

In segmentierten Netzwerken kann sich Malware nicht mehr großflächig ausbreiten und richtet so deutlich weniger Schaden an. Es lohnt sich also, sich mit diesem Thema zu beschäftigen.

Netzwerksegmentierung ist nicht gleich Netzwerksegmentierung – es gibt verschiedene Ansätze: Die Mikrosegmentierung, insbesondere die hostbasierte, ist dabei eine der vielversprechendsten. Gartner prognostiziert, dass bis 2026 60 Prozent der Unternehmen, die auf Zero-Trust setzen, Mikrosegmentierung einsetzen werden (www.gartner.com/en/documents/4435299). Schauen wir uns zunächst die Unterschiede zur klassischen Netzwerksegmentierung an (siehe dazu auch Tabelle 1).

Tabelle 1: Mikro- und Makrosegmentierung im Überblick

Mikro- und Makrosegmentierung im Überblick.

Mikro- vs. Makrosegmentierung

Bei der Makrosegmentierung, also der traditionellen Netzwerksegmentierung, teilt man ein Netzwerk in mehrere Segmente auf, zum Beispiel in Entwicklungs- und Produktionsumgebungen. Neben dieser gängigen Praxis ist es auch möglich, durch Netzwerksegmentierung immer nur einen Client in ein Netzwerk zu lassen, wobei das einen höheren administrativen Aufwand bedeutet.

Die Mikrosegmentierung segmentiert granularer. Hier erhält jedes Gerät oder sogar jede Anwendung ein eigenes Segment und definierte Regeln. Beispielsweise kann ein Server in ein Mikrosegment „gesetzt“ werden, mit der Vorgabe, dass er nur mit bestimmten Zielen oder Diensten kommunizieren darf. Dadurch reduziert sich die Angriffsfläche signifikant. Bei der Netzwerksegmentierung wird der Datenverkehr zwischen Geräten oder Anwendungen innerhalb eines bestimmten Netzwerksegments nicht von einer Next-Generation-Firewall (NGFW) überprüft. Mikrosegmentierung hingegen unterzieht den gesamten Verkehr im Unternehmensnetzwerk einer Inspektion. Das erhöht die Sicherheit, da jeglicher unautorisierter Zugriff auf eine Anwendung oder ein Gerät unabhängig von seinem Ursprung blockiert werden kann.

Mikrosegmentierung ist auch eine gute Methode, um Legacy-Applikationen und -Systemsoftware abzuschirmen, für die der Hersteller keine Updates oder keinen Support mehr anbietet. In der Vergangenheit haben hostbasierte Sicherheitskontrollen häufig Schwierigkeiten bereitet. Sie waren schwer zu implementieren, schwierig zu verwalten und boten oft unzureichenden Schutz. Moderne hostbasierte Mikrosegmentierungs-Technologien haben jedoch viele dieser Herausforderungen überwunden. Sie bieten eine verbesserte Sichtbarkeit des Netzwerkverkehrs, granulare Kontrollen und eine einfachere Implementierung und Verwaltung. Für die Umsetzung einer Zero-Trust-Sicherheitsrichtlinie ist Mikrosegmentierung unerlässlich.

Zero Trust erfordert die Fähigkeit, jeglichen unautorisierten Zugriff auf eine Anwendung oder ein Gerät zu blockieren, was die Überwachung des gesamten Datenverkehrs zu dieser Ressource voraussetzt, unabhängig von dessen Ursprung.

Arten von Mikrosegmentierungstechniken

Es gibt verschiedene Techniken zur Mikrosegmentierung, darunter

  • infrastrukturbasierte,
  • hypervisorbasierte und
  • hostbasierte Lösungen.

Jede davon hat ihre Stärken und Schwächen; die Auswahl hängt von den spezifischen Anforderungen und der Organisation selbst ab.

In hybriden Cloud-Umgebungen bietet die hostbasierte Mikrosegmentierung echte Vorteile. Sie ist sehr flexibel, denn sie kann sich leicht an wechselnde Netzwerkbedingungen anpassen. Darüber hinaus bietet sie eine feinere Kontrolle über den Netzwerkverkehr, was zu einer verbesserten Sicherheit führt.

Darüber hinaus gibt es noch weitere Arten der Mikrosegmentierung:

  • Anwendungssegmentierung: Hier wird die Ost-West-Kommunikation eingeschränkt.
  • Segmentierung nach Umgebung: Eine Aufteilung erfolgt zum Beispiel in Entwicklungsabteilung, Produktion und Verwaltung.
  • Prozessbasierte Segmentierung: Diese Art ist sehr granular und wird auf Prozess- und Dienstebene abgebildet. Zum Beispiel kann ein spezifischer Software-Dienst isoliert und nur zur Kommunikation auf explizit erlaubten Netzwerkpfaden, Protokollen und Ports zugelassen werden.

Die feingranulare Aufgliederung kennt praktisch keine Grenzen, macht das Ganze aber auch komplexer. Man braucht also eine gute Strategie. Deswegen sollten die Verantwortlichen in den Unternehmen als Erstes herausfinden, welche Bereiche der eigenen IT besonders schützenswert sind. Anschließend sollten sie geeignete Sicherheitswerkzeuge auswählen, die sie bei der Segmentierung und der kontinuierlichen Überwachung der Netzwerksegmente unterstützen.

 

Abbildung 1: Regelwerk, drei definierte Mikrosegmente: Admins, verwundbarer Server und Datenbank

Regelwerk, drei definierte Mikrosegmente: Admins, verwundbarer Server und Datenbank.
Bild: Enginsight

Best Practices bei der Umsetzung einer hostbasierten Mikrosegmentierung

Die Implementierung und Verwaltung der hostbasierten Mikrosegmentierung kann eine Herausforderung sein. Es gibt Best Practices, die den Prozess erleichtern können. Erstens ist es wichtig, eine vollständige Sichtbarkeit des Netzwerkverkehrs zu haben, sowohl des Nord-Süd- als auch des Ost-West-Verkehrs.

Als Nord-Süd-Verkehr bezeichnet man den Datenverkehr von einem internen Client zu einem externen Server. Der Begriff Ost-West-Verkehr beschreibt die Datenpakete. Während der Netzwerkentdeckungsphase sollten Informationen über Anwendungen, Workloads und aktive Verbindungen zwischen diesen gesammelt werden. Quellen für zusätzliche Informationen könnten Konfigurationsmanagement-Datenbanken (CMDBs), Orchestrierungstools, Systeminventare, Verkehrs- und Ereignisprotokolle, Firewalls und Security-Information-and-Event-Management-(SIEM)-Systeme sowie Lastverteiler sein.

Zweitens geht die Mikrosegmentierung Hand in Hand mit dem Zero-Trust-Ansatz. Indem sorgfältig die „Schutzfläche“ – die wertvollsten Segmente – identifiziert werden, entstehen klare Handlungsfelder und Prioritäten. Diese Segmente sind in der Regel entscheidend für den Geschäftsbetrieb der Organisation. Sobald die Segmente definiert sind, können Segmentierungs-Gateways oder Next-Generation-Firewalls eingerichtet werden.

Drittens ist das Tagging von Workloads wichtig. Die Zeiten, in denen sich Sicherheitsprofis IP- und Subnetz-basierte Richtlinien schrieben und sich auf Netzwerk-Konstrukte wie VLAN/IP/VRFs verließen, sind vorbei. Das Identifizieren und Kennzeichnen von Workload-Tags im Netzwerk ist ein unglaublicher Mehrwert, insbesondere wenn man automatisierte Lösungen für das Tagging bestehender und neuer Anwendungs-Workloads in Betracht zieht.

Viertens erfordert eine umfassende Richtlinie strenge Sicherheitsrichtlinien und Bedrohungserkennung. Und im Fall der Mikrosegmentierung existieren diese Richtlinien innerhalb des Netzwerks an den Mikro-Perimetern. In mikrosegmentierten Netzwerken sind Kontrollen zu App-ID, User-ID, dateibasierten Einschränkungen, URL-Filterung und Bedrohungsprävention notwendig.

Die aufgeführten Praktiken erleichtern den Prozess der Implementierung und Verwaltung der hostbasierten Mikrosegmentierung erheblich und verbessern die Netzwerksicherheit.

Abbildung 2: Verbindung zum Internet nur mit bestimmen Ports und Protokollen ermöglichen

Verbindung zum Internet nur mit bestimmen Ports und Protokollen ermöglichen.
Bild: Enginsight

Fazit

Eines ist klar: Die Anzahl und die Raffinesse der Cyberangriffe nehmen zu. Damit steigt der Druck auf Unternehmen, sich mit modernsten Methoden abzusichern. Zero Trust ist hier der beste Ansatz und hostbasierte Mikrosegmentierung ein Baustein. Vor allem Branchen, die mit besonders sensiblen Daten arbeiten (z. B. der Gesundheits- oder Finanzsektor), sollten sich damit auseinandersetzen und das Konzept in ihre Sicherheitsstrategie integrieren.

Andere interessante Fachbeiträge

Eine digitale Kette mit pixeligen Details zerbricht an einem Glied und setzt leuchtend blaue Partikel frei. Der dunkle Hintergrund verstärkt den Kontrast und betont die dynamische Bewegung und symbolische Darstellung von Störungen im Schwachstellenmanagement oder unterbrochenen Verbindungen.

Werkzeugkasten, um Software-Schwachstellen zu bekämpfen

Neu bekannt gewordene Sicherheitslücken zeitnah, nachhaltig und priorisiert zu schließen, ist Alltagsgeschäft für IT-Sicherheitsverantwortliche. Kompetente Hacker wissen schnell üb...

Security Management
Ransomware-Warnung auf Bildschirm mit beunruhigtem Mitarbeiter

Kein Platz für Ermüdungserscheinungen

Kleinen und mittleren Unternehmen (KMU) ist mit ständigen Mahnungen kaum geholfen. Sie benötigen ein smartes Security-Ökosystem, das sich an ihren Bedürfnissen orientiert und proak...

Security Management
Hand greift nach einem KI-generierten Gesicht auf einem Bildschirm

Die KI-Flüsterer

Die Integration von künstlicher Intelligenz (KI) hat die Cybersicherheitsstrategien weltweit neu definiert. KI-gestützte Angriffe entwickeln sich rasant, was traditionelle Abwehrte...

Security Management