Home » Fachbeiträge » Security Management » Hostbasierte Mikro-Segmentierung – ein wirksamer Baustein in Zero-Trust-Konzepten

Wie sich Lateral-Movement-Angriffe aufhalten lassen: Hostbasierte Mikro-Segmentierung – ein wirksamer Baustein in Zero-Trust-Konzepten

Sicherheitsverantwortliche sollten sich die Frage stellen, was passiert, wenn ein Angreifer die Firewall und den Virenschutz überwindet. Kann er sich ungehindert im Unternehmensnetzwerk ausbreiten und großen Schaden anrichten? Eine Möglichkeit, das effektiv zu verhindern, sind Netzwerksegmente.

4 Min. Lesezeit
©AdobeStock/Annika

In segmentierten Netzwerken kann sich Malware nicht mehr großflächig ausbreiten und richtet so deutlich weniger Schaden an. Es lohnt sich also, sich mit diesem Thema zu beschäftigen.

Netzwerksegmentierung ist nicht gleich Netzwerksegmentierung – es gibt verschiedene Ansätze: Die Mikrosegmentierung, insbesondere die hostbasierte, ist dabei eine der vielversprechendsten. Gartner prognostiziert, dass bis 2026 60 Prozent der Unternehmen, die auf Zero-Trust setzen, Mikrosegmentierung einsetzen werden (www.gartner.com/en/documents/4435299). Schauen wir uns zunächst die Unterschiede zur klassischen Netzwerksegmentierung an (siehe dazu auch Tabelle 1).

Tabelle 1: Mikro- und Makrosegmentierung im Überblick

Mikro- und Makrosegmentierung im Überblick.

Mikro- vs. Makrosegmentierung

Bei der Makrosegmentierung, also der traditionellen Netzwerksegmentierung, teilt man ein Netzwerk in mehrere Segmente auf, zum Beispiel in Entwicklungs- und Produktionsumgebungen. Neben dieser gängigen Praxis ist es auch möglich, durch Netzwerksegmentierung immer nur einen Client in ein Netzwerk zu lassen, wobei das einen höheren administrativen Aufwand bedeutet.

Die Mikrosegmentierung segmentiert granularer. Hier erhält jedes Gerät oder sogar jede Anwendung ein eigenes Segment und definierte Regeln. Beispielsweise kann ein Server in ein Mikrosegment „gesetzt“ werden, mit der Vorgabe, dass er nur mit bestimmten Zielen oder Diensten kommunizieren darf. Dadurch reduziert sich die Angriffsfläche signifikant. Bei der Netzwerksegmentierung wird der Datenverkehr zwischen Geräten oder Anwendungen innerhalb eines bestimmten Netzwerksegments nicht von einer Next-Generation-Firewall (NGFW) überprüft. Mikrosegmentierung hingegen unterzieht den gesamten Verkehr im Unternehmensnetzwerk einer Inspektion. Das erhöht die Sicherheit, da jeglicher unautorisierter Zugriff auf eine Anwendung oder ein Gerät unabhängig von seinem Ursprung blockiert werden kann.

Mikrosegmentierung ist auch eine gute Methode, um Legacy-Applikationen und -Systemsoftware abzuschirmen, für die der Hersteller keine Updates oder keinen Support mehr anbietet. In der Vergangenheit haben hostbasierte Sicherheitskontrollen häufig Schwierigkeiten bereitet. Sie waren schwer zu implementieren, schwierig zu verwalten und boten oft unzureichenden Schutz. Moderne hostbasierte Mikrosegmentierungs-Technologien haben jedoch viele dieser Herausforderungen überwunden. Sie bieten eine verbesserte Sichtbarkeit des Netzwerkverkehrs, granulare Kontrollen und eine einfachere Implementierung und Verwaltung. Für die Umsetzung einer Zero-Trust-Sicherheitsrichtlinie ist Mikrosegmentierung unerlässlich.

Zero Trust erfordert die Fähigkeit, jeglichen unautorisierten Zugriff auf eine Anwendung oder ein Gerät zu blockieren, was die Überwachung des gesamten Datenverkehrs zu dieser Ressource voraussetzt, unabhängig von dessen Ursprung.

Arten von Mikrosegmentierungstechniken

Es gibt verschiedene Techniken zur Mikrosegmentierung, darunter

  • infrastrukturbasierte,
  • hypervisorbasierte und
  • hostbasierte Lösungen.

Jede davon hat ihre Stärken und Schwächen; die Auswahl hängt von den spezifischen Anforderungen und der Organisation selbst ab.

In hybriden Cloud-Umgebungen bietet die hostbasierte Mikrosegmentierung echte Vorteile. Sie ist sehr flexibel, denn sie kann sich leicht an wechselnde Netzwerkbedingungen anpassen. Darüber hinaus bietet sie eine feinere Kontrolle über den Netzwerkverkehr, was zu einer verbesserten Sicherheit führt.

Darüber hinaus gibt es noch weitere Arten der Mikrosegmentierung:

  • Anwendungssegmentierung: Hier wird die Ost-West-Kommunikation eingeschränkt.
  • Segmentierung nach Umgebung: Eine Aufteilung erfolgt zum Beispiel in Entwicklungsabteilung, Produktion und Verwaltung.
  • Prozessbasierte Segmentierung: Diese Art ist sehr granular und wird auf Prozess- und Dienstebene abgebildet. Zum Beispiel kann ein spezifischer Software-Dienst isoliert und nur zur Kommunikation auf explizit erlaubten Netzwerkpfaden, Protokollen und Ports zugelassen werden.

Die feingranulare Aufgliederung kennt praktisch keine Grenzen, macht das Ganze aber auch komplexer. Man braucht also eine gute Strategie. Deswegen sollten die Verantwortlichen in den Unternehmen als Erstes herausfinden, welche Bereiche der eigenen IT besonders schützenswert sind. Anschließend sollten sie geeignete Sicherheitswerkzeuge auswählen, die sie bei der Segmentierung und der kontinuierlichen Überwachung der Netzwerksegmente unterstützen.

 

Abbildung 1: Regelwerk, drei definierte Mikrosegmente: Admins, verwundbarer Server und Datenbank

Regelwerk, drei definierte Mikrosegmente: Admins, verwundbarer Server und Datenbank.
Bild: Enginsight

Best Practices bei der Umsetzung einer hostbasierten Mikrosegmentierung

Die Implementierung und Verwaltung der hostbasierten Mikrosegmentierung kann eine Herausforderung sein. Es gibt Best Practices, die den Prozess erleichtern können. Erstens ist es wichtig, eine vollständige Sichtbarkeit des Netzwerkverkehrs zu haben, sowohl des Nord-Süd- als auch des Ost-West-Verkehrs.

Als Nord-Süd-Verkehr bezeichnet man den Datenverkehr von einem internen Client zu einem externen Server. Der Begriff Ost-West-Verkehr beschreibt die Datenpakete. Während der Netzwerkentdeckungsphase sollten Informationen über Anwendungen, Workloads und aktive Verbindungen zwischen diesen gesammelt werden. Quellen für zusätzliche Informationen könnten Konfigurationsmanagement-Datenbanken (CMDBs), Orchestrierungstools, Systeminventare, Verkehrs- und Ereignisprotokolle, Firewalls und Security-Information-and-Event-Management-(SIEM)-Systeme sowie Lastverteiler sein.

Zweitens geht die Mikrosegmentierung Hand in Hand mit dem Zero-Trust-Ansatz. Indem sorgfältig die „Schutzfläche“ – die wertvollsten Segmente – identifiziert werden, entstehen klare Handlungsfelder und Prioritäten. Diese Segmente sind in der Regel entscheidend für den Geschäftsbetrieb der Organisation. Sobald die Segmente definiert sind, können Segmentierungs-Gateways oder Next-Generation-Firewalls eingerichtet werden.

Drittens ist das Tagging von Workloads wichtig. Die Zeiten, in denen sich Sicherheitsprofis IP- und Subnetz-basierte Richtlinien schrieben und sich auf Netzwerk-Konstrukte wie VLAN/IP/VRFs verließen, sind vorbei. Das Identifizieren und Kennzeichnen von Workload-Tags im Netzwerk ist ein unglaublicher Mehrwert, insbesondere wenn man automatisierte Lösungen für das Tagging bestehender und neuer Anwendungs-Workloads in Betracht zieht.

Viertens erfordert eine umfassende Richtlinie strenge Sicherheitsrichtlinien und Bedrohungserkennung. Und im Fall der Mikrosegmentierung existieren diese Richtlinien innerhalb des Netzwerks an den Mikro-Perimetern. In mikrosegmentierten Netzwerken sind Kontrollen zu App-ID, User-ID, dateibasierten Einschränkungen, URL-Filterung und Bedrohungsprävention notwendig.

Die aufgeführten Praktiken erleichtern den Prozess der Implementierung und Verwaltung der hostbasierten Mikrosegmentierung erheblich und verbessern die Netzwerksicherheit.

Abbildung 2: Verbindung zum Internet nur mit bestimmen Ports und Protokollen ermöglichen

Verbindung zum Internet nur mit bestimmen Ports und Protokollen ermöglichen.
Bild: Enginsight

Fazit

Eines ist klar: Die Anzahl und die Raffinesse der Cyberangriffe nehmen zu. Damit steigt der Druck auf Unternehmen, sich mit modernsten Methoden abzusichern. Zero Trust ist hier der beste Ansatz und hostbasierte Mikrosegmentierung ein Baustein. Vor allem Branchen, die mit besonders sensiblen Daten arbeiten (z. B. der Gesundheits- oder Finanzsektor), sollten sich damit auseinandersetzen und das Konzept in ihre Sicherheitsstrategie integrieren.

Andere interessante Fachbeiträge

Hacker stielt Daten aus Laptop

Learnings aus dem Microsoft-Crashdump-Hack

Wenn in einem der sichersten IT-Support-Center der internationalen Softwareindustrie ein Master-Key gezielt aus einem Crash-Dump gestohlen wird, dann zeigt dies zweierlei: Zum einen nutzen Hacker IT-Diagnosedateien als „Fundgrube“ für sicherheitskritische und sensible Informationen, und zum anderen sind diese Inhalte in keinem IT-Betrieb oder IT-Support dieser Welt wirklich sicher.

Porträt Mann mit verwundertem Blick

Raus aus der Opfer-Starre

Vor dem Hintergrund zunehmender hybrider Bedrohungen stehen Führungskräfte mehr denn je vor der Herausforderung, manipulativen Cyberangriffen bestmöglich zu begegnen. Dazu sind Kompetenzen jenseits von Sicherheitssoftware gefragt. Hier setzen Methoden des Change-Managements an.

Zwei ineinanderliegende Masken, Deepfakes

Wie Cyberkriminelle und der Einsatz von KI unsere Sicherheit bedrohen

Der Global Risk Report des Weltwirtschaftsforums wählte KI-gepowerte Informationsmanipulation zum größten Risiko des Jahres, weil generative künstliche Intelligenz (KI) durch Deepfakes, Fake News und ultrapersonalisierte Wahlwerbung die Demokratie gefährden kann. Doch KI hat noch viel mehr Risiken.