Identitätsbasierte Mikrosegmentierung als Grundlage der Cloud-Sicherheit: Tipps zur Verhinderung von Spoof-Angriffen

Identitätsbasierte Mikrosegmentierung hat sich innerhalb kurzer Zeit als Best Practice zur Gewährleistung cloudbasierter Sicherheit und Unterstützung von Zero-Trust-Konzepten etabliert. Im Market Guide for Cloud Workload Protection Platforms   von Gartner (April 2020, Abonnement erforderlich) stellen die Analysten Neil MacDonald und Tom Croll fest:

„Einige Anbieter haben sich ausschließlich auf Mikrosegmentierung spezialisiert. In allen Fällen sollte die Lösung die wachsende Nachfrage nach identitätsbasierter Mikrosegmentierung (stärker differenzierte, softwaredefinierte Segmentierung, auch als Zero-Trust-basierte Netzwerksegmentierung bezeichnet) des lateralen Traffics in Rechenzentren unterstützen.“ 

In der risikobasierten Hierarchie der Workload-Schutzkontrollen von Gartner werden identitätsbasierte Segmentierung und Netzwerktransparenz zudem als grundlegende Kontrollen identifiziert. 

Wenn ein Plattformanbieter behauptet, identitätsbasierte Zero-Trust-Richtlinien durchzusetzen, empfehlen wir Ihnen dringend zu überprüfen, dass es sich dabei nicht um Etikettenschwindel handelt. Teilweise verbergen sich hinter solchen Behauptungen nämlich Firewall-basierte Richtlinien, die genau die gleichen Sicherheitsrisiken bergen wie Legacy-Lösungen, die Richtlinien basierend auf Netzwerkadressen durchsetzen.
 

Identitätsbasierte Mikrosegmentierung und Legacy-Methoden im Vergleich

Identität ist das Kernelement effektiver Zero-Trust-Richtlinien. Die meisten Mikrosegmentierungs- und Zero-Trust-Lösungen basieren auf Firewalls, die Richtlinien auf der Grundlage von Netzwerkadressen durchsetzen. Dieser Ansatz ist in mehrfacher Hinsicht problematisch. Zum einen unterliegen Netzwerkarchitekturen ständigen Änderungen. Entsprechend müssen auch die Richtlinien jedes Mal aktualisiert werden, wenn Anwendungen und Geräte verlagert werden. Das ist bereits in einem Rechenzentrum schwierig genug. In der Cloud und anderen Umgebungen mit automatischer Skalierung und kurzlebigen IP-Adressen ist es praktisch nicht machbar.

Erschwerend kommt hinzu, dass sich mit Segmentierungsansätzen auf Basis von Netzwerkadressen nicht feststellen lässt, welche Entitäten im Einzelnen miteinander kommunizieren (z. B. die Identität der kommunizierenden Software). Stattdessen geben sie nur Auskunft über die Kommunikationswege, also z. B. darüber, von welcher IP-Adresse bzw. welchem Port oder Protokoll die Anfrage ausging. Das ist in etwa so widersinnig, als hätte das FBI ein Gespräch zwischen zwei mutmaßlichen Spionen abgefangen und sich damit begnügt, zu verifizieren, dass sie auf Englisch (das Protokoll) über ein inländisches Mobilfunknetzwerk (die Geräte) miteinander kommunizieren – und dann anhand dieser Informationen entschieden, die Kommunikation als harmlos einzustufen, ohne die Identität der beiden Verdächtigen überhaupt zu berücksichtigen. Das entspricht ziemlich genau dem Vorgehen eines netzwerkbasierten Sicherheitssystems, das lediglich das Protokoll und die Netzwerkadresse überprüft. Kommunikationen über als „sicher“ eingestufte Verbindungen werden zugelassen, ohne dass die IT genau weiß, von welcher Entität die Kommunikation ausgeht.

Ein weiterer Vorteil dieses Ansatzes liegt in der deutlich vereinfachten Verwaltung, da zum Schutz eines Segments statt Hunderter adressbasierter Regeln nur noch wenige identitätsbasierte Richtlinien erforderlich sind. Ich will das kurz am Beispiel einer typischen Umgebung mit 15 Milliarden Netzwerk-Events verdeutlichen. Wenn wir redundante Events eliminieren, schrumpft diese Zahl auf ein bis zwei Millionen einmalige Events. Wir können jedoch noch weiter gehen und diese ein bis zwei Millionen Events deduplizieren, indem wir ähnliche Interaktionen mit ähnlichen Anwendungen basierend auf identischen Eigenschaften zusammenfassen. Nun bleiben vielleicht noch 267.000 Events, die wir mithilfe von ML-basierter Erkennung von Ähnlichkeiten weiter reduzieren können. Damit sind wir schließlich bei etwa 40.000 einmaligen Interaktionen angelangt, die sich für die gesamte Umgebung in weniger als 100 identitätsbasierten Richtlinien (statt Zehntausenden adressbasierten Regeln) kodifizieren lassen.

Aus menschlicher Wahrnehmung sind die Interaktionen in einem Netzwerk viel zu kompliziert und unübersichtlich, als dass sich eine manuelle Mikrosegmentierung erreichen ließe. Durch Einsatz von ML und identitätsbasierter Segmentierung lässt sich dieser Wust von Interaktionen jedoch auf einen kleinen und überschaubaren Satz einfach zu verwaltender Richtlinien reduzieren. Dadurch wird Mikrosegmentierung zu einem lösbaren Problem.
 

Die Zscaler-Lösung zur zur identitätsbasierten Umsetzung von Zero Trust

Zscaler Workload Segmentation bildet zunächst die Kommunikationspfade von Anwendungen mithilfe von maschinellem Lernen topologisch ab. Dieser Vorgang dauert etwa 72 Stunden – eine enorme Verbesserung gegenüber der manuellen Durchführung, die einige Monate in Anspruch nimmt.Nach Abschluss des Vorgangs können wir alle verfügbaren Netzwerkpfade und die Anwendungspfade messen, die für die Unternehmensanwendungen wirklich erforderlich sind. Normalerweise wird nur ein Bruchteil der vorhandenen Pfade tatsächlich benötigt. Alle unnötigen Kommunikationspfade können entfernt werden, um die Angriffsfläche zu verkleinern – normalerweise kann unser ML-Algorithmus die Anzahl der Pfade um etwa 90 Prozent reduzieren und gleichzeitig eine komplette Abdeckung der gesamten Umgebung gewährleisten.

Bei der identitätsbasierten Mikrosegmentierung wird jedem Gerät und jeder Softwareressource eine unveränderliche, eindeutige Identität zugewiesen, die auf Dutzenden verschiedenen Eigenschaften der jeweiligen Ressource basiert, beispielsweise dem SHA-256-Hash einer Binärdatei oder der UUID des BIOS. Auch auf Subprozessebene werden Identitäten zugeordnet, sodass Zscaler sogar einzelne Java-JAR- und Python-Skripte eindeutig identifizieren kann. Durch die vollständig automatische Erstellung und Verwaltung der Identitäten profitieren Organisationen von unkomplizierten Betriebsabläufen.

Zscaler überprüft die Identitäten der kommunizierenden Software in Echtzeit. Durch diesen Zero-Trust-Ansatz wird jegliche Kommunikation von nicht genehmigter und schädlicher Software unterbunden. So gehören auch Piggybacking-Angriffe, bei denen genehmigte Firewallregeln ausgenutzt werden, der Vergangenheit an. Mithilfe dieses identitätsbasierten Modells lassen sich einfachere Betriebsabläufe und wirkungsvollere Schutzmaßnahmen erzielen als mit herkömmlichen Netzwerksicherheitskontrollen.

Da die Identitäten der kommunizierenden Software sehr spezifisch sind, reduziert Zscaler den Bedarf an Richtlinien zur Sicherung eines Segments. Wie bereits erwähnt, erstellt unsere Plattform nie mehr als sieben Richtlinien pro Segment. Trotzdem ist genauestens festgelegt, welche Anwendungen und Geräte miteinander kommunizieren dürfen. Und da Segmentierungsrichtlinien auf der Software-Identität basieren, werden die Richtlinien auch bei Änderungen des zugrunde liegenden Netzwerks weiterhin konsistent angewendet. Wenn das System die eindeutige Identität der Entität, die zu kommunizieren versucht, nicht überprüfen kann, findet keine Kommunikation statt.

Mit Zscaler Workload Segmentation können Segmente und die zugehörigen Richtlinien mit einem einzigen Klick erstellt werden.

Peter Smith ist VP of Secure Workload Communications bei Zscaler