Mikrosegmentierung für Einsteiger

Mikrosegmentierung kann eine sehr wirksame Cybersicherheitsstrategie sein, die dazu beiträgt, die laterale Ausbreitung von Bedrohungen zu verhindern und so den potenziellen Schaden durch einen Cybersicherheitsvorfall zu minimieren. Bislang standen jedoch mehrere Hindernisse einer breiteren Akzeptanz dieser enorm vielversprechenden Methode im Weg.
 

Warum ist Mikrosegmentierung notwendig?

Die Mehrzahl der Angriffe und Sicherheitsvorfälle, die in letzter Zeit Schlagzeilen machten, begannen mit der Kompromittierung eines anfälligen Systems oder eines einzelnen Users. Diese Schwachstelle wurde dann für die lateralen Ausbreitung der Bedrohung im gesamten Netzwerk ausgenutzt. Diese laterale Bewegungsfreiheit vervielfacht das Schadenspotenzial durch einen Angriff.

In vielen Fällen infiltrieren oder kompromittieren Angreifer zunächst eine Anwendung, die nicht gepatchte Schwachstellen aufweist, weil sie nicht als geschäftskritisch eingestuft wird. Dieser Angriffsvektor wird dann für den Zugriff auf weitere Systeme ausgenutzt, in denen vertrauliche Daten gespeichert sind. In anderen Fällen infiziert eine Ransomware einen einzelnen Computer und greift von dort aus auf andere Geräte innerhalb des Netzwerks über.

In offenen, unstrukturierten Netzwerken ohne ausreichende interne Kontrollen haben Angreifer leichtes Spiel – zumal Organisationen ihre Sicherheitsmaßnahmen allzu häufig auf den Aufbau eines starken Perimeterschutzes fokussieren. Interne Kontroll- und Abwehrmechanismen werden dabei vernachlässigt. Wenn man bedenkt, wie porös die Perimeter heutiger Unternehmen (und wie hartnäckig viele Bedrohungsakteure) sind, bieten perimeterbasierte Abwehrmaßnahmen keinen zuverlässigen Schutz vor Angriffen mehr. Mithilfe interner Kontrollen auf der Basis von Mikrosegmentierung können Organisationen den potenziellen Schaden begrenzen, den ein Angreifer innerhalb eines erfolgreich kompromittierten Netzwerks anrichten kann.
 

Zuverlässiger Schutz vor Cyberangriffen durch granulare Partitionierung des Netzwerk-Traffics

Bei der Mikrosegmentierung werden große, offene Gruppen von Anwendungen oder Workloads basierend auf den Kommunikationsanforderungen der einzelnen Anwendungen in kleinere Segmente untergliedert. Anwendungen dürfen dann innerhalb ihres jeweiligen Segments frei kommunizieren. Alle Kommunikationen mit Anwendungen außerhalb des Segments müssen überprüft und genehmigt werden, bevor eine Verbindung hergestellt wird. Mikrosegmentierung ist eine Kernkomponente von Zero-Trust-Sicherheitsmodellen für Workloads in Cloud-Umgebungen und Rechenzentren. Mikrosegmentierung setzt also dort an, wo Perimeterschutz aufhört: Sie gewährleistet die Durchsetzung von Richtlinien auch innerhalb des Unternehmensnetzwerks.

So könnte beispielsweise eine CRM-Webanwendung (Customer Relationship Management) jederzeit ungehindert mit der Datenbank kommunizieren, in der die zugehörigen Kundendaten gespeichert sind. Hingegen könnte das System zur Koordinierung des physischen Gebäudebetriebs und -schutzes keine Verbindung zu dieser Datenbank herstellen.

Mikrosegmentierung wird in der Regel entweder auf Host- oder auf Netzwerkebene angewendet. 

Hostbasierte Mikrosegmentierung

Hostbasierte Mikrosegmentierung funktioniert mithilfe von Agents, die auf Endgeräten installiert werden. Der Vorteil der Verwendung von Agents besteht darin, dass sie eine sehr granulare Kontrolle und Transparenz ermöglichen und auch die Verwaltung identitätsbasierter Mikrosegmente erheblich vereinfachen. Mithilfe eines Agents können Sie auf der Basis dynamischer, für Menschen verständlicher Richtlinien – anstelle von statischen Regeln auf Netzwerkebene – segmentieren.

Eine identitätsbasierte Richtlinie könnte beispielsweise besagen, dass ein bestimmtes Python-Skript, abc.py, im Netzwerk kommunizieren darf, das schädlichere xyz.py, das auf derselben VM ausgeführt wird, jedoch nicht. Eine derart granulare Kontrolle mit leicht verständlichen Richtlinien wäre mit einem netzwerkbasierten Modell nicht möglich.

Hostbasierte Mikrosegmentierung hat jedoch den Nachteil, dass nicht auf allen Workloads ein Agent installiert werden kann. Das betrifft insbesondere Legacy-Betriebssysteme, serverlose und PaaS-Funktionen usw. Für derartige Services stellen agentbasierte Plattformen zumeist entweder einbettbaren Agent-Code bereit und/oder setzen netzwerkbasierte Segmentierung als Reserveoption ein.

Zur Durchsetzung hostbasierter Mikrosegmentierung stehen im Wesentlichen zwei Methoden zur Auswahl: die Orchestrierung über hostbasierte Firewalls oder über identitätsbasierte Kontrollen. Im ersteren Fall handelt es sich um eine dynamischere Version der herkömmlichen Netzwerk-Firewall, die jedoch ähnliche Einschränkungen aufweist. Firewalls überprüfen nicht die tatsächlichen Identitäten der kommunizierenden Workloads, sondern nur die entsprechenden Netzwerkadressen. Das macht sie anfällig für Angreifer, die das inhärente Vertrauen innerhalb des Netzwerks missbrauchen, um die Firewall-Kontrollen zu unterlaufen. 

Identitätsbasierte Schutzmechanismen hingegen lassen Kommunikationen zwischen Anwendungen ausschließlich aufgrund einer kryptografischen Verifizierung und über genehmigte Netzwerkpfade zu. Durch Validierung aller Kommunikationsversuche wird sichergestellt, dass böswillige Akteure und schädliche Software keine Möglichkeit haben, sich im Netzwerk zu verständigen. 
 

Netzwerkbasierte Mikrosegmentierung

Netzwerkbasierte Mikrosegmentierung ist – wie der Name schon sagt – Segmentierung auf Netzwerkebene durch entsprechende Anpassung von Zugriffskontrolllisten (Access Control Lists, ACLs) oder Firewall-Regeln. Aufgrund der Durchsetzung auf Netzwerkebene ist keine Installation von Agents auf einzelnen Workloads erforderlich.

Netzwerkbasierte Mikrosegmentierung hat mehrere gravierende Nachteile. Erstens können Richtlinien nur für einzelne Endgeräte definiert und durchgesetzt werden. Wenn sich also ein legitimes und ein schädliches Softwareprogramm auf ein und demselben Endgerät befinden, haben die Firewalls, die in der Regel für die Durchsetzung verantwortlich sind, keine Möglichkeit, granular zwischen beiden zu unterscheiden. Stattdessen werden beide Programme entweder blockiert oder zugelassen. 

Zweitens handelt es sich um statische Richtlinien, die auf dem Netzwerk-Port und der IP-Adresse basieren. In den heutigen Cloud-zentrierten Umgebungen sind Workloads dynamisch und kurzlebig. Entsprechend müssen Richtlinien ebenfalls dynamisch und kurzlebig konfiguriert werden, sonst verursachen sie Probleme und verlangsamen die Vorgänge.

Drittens ist dieser Ansatz mit hohem Verwaltungsaufwand verbunden. Um diesen in Grenzen zu halten, werden die Segmente häufig größer angelegt als ursprünglich vorgesehen, sodass die Mikrosegmentierung ihren Sinn verfehlt. Jeder Versuch einer granularen Differenzierung (d. h. Mikrosegmentierung im eigentlichen Sinn) führt zu einer massiven Zunahme der Firewall-Regeln, die dadurch unüberschaubar komplex werden.
 

Die Grenzen der Mikrosegmentierung

Trotz ihres enormen Potenzials zur Minderung von Risiken und Begrenzung der potenziellen Auswirkungen von Sicherheitsverletzungen scheitern Mikrosegmentierungsprojekte allzu oft in der Implementierungsphase. Dafür gibt es mehrere Hauptgründe, die größtenteils auf den hohen Betriebsaufwand und geringen Automatisierungsgrad zurückzuführen sind. Heute sind neuere Produkte auf dem Markt, die speziell zur Bewältigung dieser Herausforderungen entwickelt wurden. 

Eine der größten Herausforderungen bei der Mikrosegmentierung besteht darin, die jeweiligen Kommunikationspfade für jede einzelne Software zu ermitteln, die bei der Konfiguration von Richtlinien berücksichtigt werden müssen. Eine manuelle Zuordnung dieser Verbindungspfade würde detaillierte Kenntnisse über sämtliche Kommunikationen zwischen Workloads in Ihren Cloud- und Rechenzentrum-Umgebungen erfordern, die in den meisten Organisationen einfach nicht vorhanden sind. Ohne ML-gestützte Automatisierung ist dieser Prozess ungeheuer zeitaufwendig. Erschwerend hinzu kommt, dass aufgrund der Dynamik heutiger IT-Umgebungen die Ergebnisse oft schon überholt sind, bevor die manuelle Analyse abgeschlossen ist.

Außerdem können Anwendungen durch eine inkorrekt implementierte Mikrosegmentierung beschädigt werden. Derartige Probleme können innerhalb des Unternehmens zu Widerständen gegen das Projekt führen. Abhilfe verspricht hier ein System, das die erforderlichen Kommunikationspfade schnell und zuverlässig identifiziert und sich automatisch an Änderungen in dynamischen Umgebungen anpasst. 

Bedingt durch die umfangreichen Änderungen am Netzwerk, die zur Implementierung von Mikrosegmentierungsrichtlinien erforderlich sind, kann es zu Ausfallzeiten und kostspieligen Fehlern kommen. Auch die teamübergreifende Koordinierung ist oft mit Herausforderungen verbunden. Deswegen sind neuere Produkte als Netzwerk-Overlays konzipiert, die eine effektive Mikrosegmentierung ohne Änderungen am zugrundeliegenden Netzwerk ermöglichen.
 

Zscaler Workload Segmentation

Zscaler Workload Segmentation (ZWS) wurde von Grund auf entwickelt, um die Mikrosegmentierung in allen Cloud- und Rechenzentrum-Umgebungen zu automatisieren und zu vereinfachen. Mithilfe leicht verständlicher identitätsbezogener Richtlinien können Organisationen mit einem einzigen Klick das Sicherheitsniveau erhöhen und mit ZWS Risiken aufdecken sowie zuverlässigen Schutz auf Workloads anwenden, ohne dass Änderungen am Netzwerk oder den Anwendungen erforderlich sind. Die Lösung beruht auf einem identitätsbasierten Softwaremodell und gewährleistet lückenlosen Schutz mit Richtlinien, die sich automatisch an Änderungen der Umgebung anpassen. Damit wird die Eliminierung von Angriffsflächen im Netzwerk und die Bereitstellung eines echten Zero-Trust-Schutzes so einfach wie noch nie.