Zscaler Blog

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Abonnieren
Produkte & Lösungen

Mikrosegmentierung ohne zeit- und kostenintensives Mikromanagement

image
NAGRAJ SESHADRI
April 08, 2021 - 5 Lesezeit: Min
Zero-Trust-Architektur

Inhalt

  1. Artikel
  2. Weitere Blogs

Sicherheitsteams in Unternehmen sind seit Langem auf der Suche nach effektiveren Lösungen zum Schutz ihrer Cloud- und Rechenzentrumsumgebungen. Die heutigen Netzwerkumgebungen wurden früher ausschließlich durch perimeterbasierte Technologien abgesichert, doch diese sind nicht mehr ausreichend, um die interne Kommunikation und den East-West-Traffic zu schützen. Daher wurden Firewalls ins Innere des Netzwerks verlagert, um Mikroperimeter zu schaffen. Die dahinter stehende Idee war, dass ein großer „Zaun“ um die Außengrenzen des Netzwerks nicht genügte, weshalb Sicherheitsexperten mit denselben Tools und Techniken kleinere sichere Zonen innerhalb des Netzwerks einrichten sollten. Auf diese Weise sollte begrenzt werden, wie weit sich der Traffic im Netzwerk ausbreiten kann, bevor er einen „Sicherheits-Checkpoint“ passieren muss. Das Konzept war einfach. Die Umsetzung hingegen war es nicht.

Das Prinzip der Mikrosegmentierung – regelbasierte Mikroperimeter mithilfe von Firewalls – fand bei Sicherheitsexperten großen Anklang. Es ist allgemein bekannt, dass flache Netzwerke zu Problemen führen, doch die tatsächliche Mikrosegmentierung von Daten ist meist so kompliziert, dass sich der Aufwand kaum lohnt. Es spricht zwar einiges dafür, den „Aktionsradius“ einer internen Sicherheitsverletzung oder Malware zu begrenzen, aber die Kosten und die Arbeitszeit, die für die ordnungsgemäße Mikrosegmentierung eines Netzwerks im herkömmlichen Sinne erforderlich sind, stehen oft in keinem Verhältnis zu den eingeschränkten Vorteilen.
 

Herausforderungen bei herkömmlicher Mikrosegmentierung

Übertragung der Funktions- und Kommunikationsweise von Anwendungen auf die der Netzwerke

Eines der Hauptprobleme bei der herkömmlichen Mikrosegmentierung ist die Übertragung der Funktions- und Kommunikationsweise von Anwendungen auf die der Netzwerke. Geschieht dies nicht, können die Sicherheitskontrollen, die auf Netzwerkkonstrukten basieren, nicht mehr greifen. Insbesondere in heutigen Cloud- und Containerumgebungen ist die Verwendung von adressbasierten Informationen als Sicherheitskontrolle unzuverlässig, da Entwicklungsteams Anwendungen oder Services innerhalb von Stunden erstellen oder entfernen können, wodurch sich die zugrunde liegenden Daten für Sicherheitsentscheidungen (z. B. IP-Adressen, Ports oder Protokolle) ständig ändern.

IP-Spoofing

Darüber hinaus ist das Spoofing von IP-Adressen selbst für Hacker mit mittelmäßigen Fähigkeiten keine große Herausforderung. Angreifer können sich einfach im genehmigten Netzwerktraffic verbergen, ohne dass das Sicherheitsteam sie bemerkt. Indem sie genehmigte IP-Adressen und Protokolle nutzen, können sich Angreifer lateral über Segmente oder Subnetze hinweg zu ihren eigentlichen Zielen (meist Daten oder Anwendungen) bewegen, ohne entdeckt zu werden.

Anwendungsabhängigkeiten und Richtlinienkomprimierung

In den heutigen anwendungszentrierten Netzwerken (ob On-Premise oder in der Cloud) sind die Abhängigkeiten zwischen den Anwendungen äußerst komplex. Bei der herkömmlichen Mikrosegmentierung müssen Sicherheitsteams Zugriffskontrolllisten, Routing-Regeln und Firewall-Regeln genau kennen. Änderungen an einem dieser Elemente können die Funktionalität einer geschäftskritischen Anwendung beeinträchtigen und eine erhebliche Störung verursachen, die das Sicherheitsteam dann beheben muss. Um die Mikrosegmentierung zu vereinfachen, erstellen viele Sicherheitsorganisationen daher Tausende von Richtlinien, was den Verwaltungsaufwand jedoch immens erhöht. Um die Anzahl der Richtlinien zu reduzieren, müssen Sicherheitsteams daraufhin die detaillierten Kontrollen entfernen, durch die die Segmentierung erst sinnvoll wird.
 

Eine neue Art der Mikrosegmentierung

Unabhängig davon, ob zu diesem Zweck Mikrosegmentierung eingesetzt wird oder nicht, ist die Unterbindung lateraler Bewegungen und der Ausbreitung von Malware im Netzwerk entscheidend für Unternehmen, um sich vor Cyberkriminellen zu schützen. Sicherheitsteams brauchen praktikable, zeitsparende und kosteneffiziente Möglichkeiten, um sichere Zonen in ihren Netzwerken zu schaffen, Einblick in die Datenströme zu erhalten und präzise Kontrollen für datenintensive Anwendungen und Workflows einzurichten. Selbst wenn die herkömmliche Mikrosegmentierung die effektivste Sicherheitskontrolle wäre (was sie nicht ist), sind die Hürden bei der Einführung einfach zu hoch, wenn man von den größten und finanzstärksten Unternehmen absieht.
 

Was ist Zero-Trust-Mikrosegmentierung?

Zero-Trust-Mikrosegmentierung bezeichnet eine Methode, bei der Sicherheitskontrollen auf Anwendungsebene durchgeführt werden, die die strengsten Authentifizierungs- und Autorisierungsmaßnahmen mit minimaler Rechtevergabe für in der Hybrid Cloud kommunizierende Anwendungen und Services durchsetzen.
 

Wie unterscheidet sich diese Methode von der herkömmlichen Netzwerkmikrosegmentierung?

Mikrosegmentierung bezieht sich in der Regel auf die Segmentierung auf Grundlage von Netzwerkkonstrukten – IP-Adressen, Ports und Protokollen. Mit anderen Worten: Die Sicherheitskontrollen basieren auf der Umgebung und nicht auf den Anwendungen oder Services, die Angreifer auszunutzen versuchen. Mit Zscaler wird die Sicherheit von der Netzwerkumgebung abstrahiert. Es spielt keine Rolle, wo Ihre Anwendungen und Services ausgeführt werden, denn die Umgebung ist nicht das Problem, sondern die Daten.
 

Was sind Identitätsattribute?

Um das Risiko kompromittierter Anwendungen und Services und die Verbreitung von Malware zu reduzieren, erstellt Zscaler Sicherheitsrichtlinien, die an die kryptografische Identität der Anwendungen und Services gebunden sind, die in Ihren Netzwerken kommunizieren. Bei Zscaler besteht die kryptografische Identität („Fingerabdruck“) aus 30 Attributen, wie dem SHA256-Hash, der UUID des BIOS, dem Dateinamen, dem Dateipfad, dem Produktnamen, der Versionsnummer usw. Die Datenquelle des Fingerabdrucks ist die Software selbst und nicht ihr Herkunfts- oder Zielort. Aus diesem Fingerabdruck ergeben sich Richtlinien, die der Workload folgen und bei Änderungen der Umgebung nicht unterbrochen werden. Softwarebasierte Identität ist also der entscheidende Faktor, um sicherzustellen, dass Ihre Workloads vor Malware geschützt sind.

Ein weiterer Faktor, der die Zero-Trust-Mikrosegmentierung von Zscaler so effektiv macht, ist unser einzigartiges Nutzenversprechen: Ein System zur symmetrischen Validierung der Kommunikation. Keine Anwendung, kein Service und kein Host darf Informationen senden oder empfangen, bevor eine Verifizierung anhand des entsprechenden Fingerabdrucks erfolgt ist – bei jedem Kommunikationsversuch und an beiden Enden der Verbindung. Mithilfe der softwaredefinierten Kontrolle auf Anwendungsebene von Zscaler, dem Zugriff mit minimaler Rechtevergabe und der erforderlichen symmetrischen Verifizierung können Sie die Kommunikation in Ihrem Rechenzentrum oder in der Cloud vollständig gegen laterale Bewegungen und die Verbreitung von Malware absichern.
 

So einfach wie noch nie

Wie bereits erwähnt ist die herkömmliche Mikrosegmentierung sehr komplex und umständlich. Die Zero-Trust-Mikrosegmentierung von Zscaler hingegen ist einfach: Alle Richtlinienempfehlungen werden automatisch auf Grundlage der Identität Ihrer kommunizierenden Software generiert und können mit einem Klick angewendet (oder entfernt) werden. User müssen sich nicht mit dem Netzwerktraffic auseinandersetzen und es ist nicht nötig, Subnetze manuell zu erstellen. Die Berechtigungen werden anhand der Fingerabdrücke Ihrer Anwendungen festgelegt, nicht anhand von Netzwerkkonstrukten. Außerdem werden alle Anwendungspfade automatisch zugeordnet und dargestellt, sodass Sie immer einen vollständigen Überblick über Ihre Anwendungstopologie haben und problemlos aktuelle Risiken melden können. Einfacher kann es kaum sein.

Weitere Ressourcen:

Blog: Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?

Blog: Mikrosegmentierung als Grundlage der Cloud-Sicherheit: Tipps zur Verhinderung von Spoof-Angriffen

Datenblatt: Automatische Zero-Trust-Mikrosegmentierung mit nur einem Klick (PDF)

 

form submtited
Danke fürs Lesen

War dieser Beitrag nützlich?

vote yes
Ja, sehr hilfreich!
vote no
Nicht wirklich

Weitere Zscaler-Blogs erkunden

Erstklassige Kundenerfahrungen beginnen im Homeoffice
Erstklassige Kundenerfahrungen beginnen im Homeoffice
Blog lesen
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
Blog lesen
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Blog lesen
Cloud Compliance
The Impact of Public Cloud Across Your Organization
Blog lesen
01 / 02
dots pattern

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.