Netzwerk- oder Mikrosegmentierung

Netze sinnvoller unterteilen

10. Februar 2021, 07:00 Uhr   |  Nagraj Seshadri/wg

Netze sinnvoller unterteilen
© Bild: Zscaler

Beispiel einer Segmentierung nach Host-Systemen.

Mikrosegmentierung als Begriff und Konzept für Netzwerksicherheit ist seit Jahren gängige Praxis von Netzwerkspezialisten. Der Hauptzweck besteht darin, die Angriffsfläche zu verringern, indem man die Ost-West-Kommunikation durch granulare Sicherheitskontrollen auf Workload-Ebene einschränkt. Es ist schwieriger zu bestimmen, was Mikrosegmentierung nicht ist, als was sie eigentlich ist. Für Sicherheitsexperten und Netzwerkarchitekten ist es dennoch bedeutend, die Unterschiede zwischen Mikro- und Netzwerksegmentierung zu verstehen, um das passende Konzept für die eigene Unternehmensumgebung auszuwählen.

Unter Netzwerksegmentierung versteht man in der Praxis die Schaffung von Teilnetzwerken innerhalb eines Gesamtnetzwerks. Dies soll verhindern, dass sich Angreifer lateral durch das Netzwerk bewegen können, sobald sie sich einmal Zugang verschafft haben und sich innerhalb des Perimeters befinden. Außerdem erhöht dieser Ansatz die Netzwerk-Gesamtleistung, indem man den Netzwerkverkehr durch Aufteilung auf Kollisions- und Broadcast-Domänen besser lenken und somit verteilen kann. So lassen sich Kollisionen von Datenpaketen ebenso verhindern wie Bandbreitenengpässe, die beispielsweise durch hohes Aufkommen von Broadcast-Verkehr entstehen können. Typischerweise etablierten Unternehmen Netzwerksegmente mittels VLANs oder Firewalls. Die so geschaffenen Zonen bilden die geografischen Region ab oder bauen auf vorhandene Ebenen (Daten-, Anwendungs- und Netzwerkebene) auf. Administratoren können ähnliche Ressourcen nach Typ und Sensibilität gruppieren und Kontrollmechanismen festlegen, die nur eine bestimmte Netzwerkkommunikation zwischen den Zonen zulassen.

Netzwerksegmentierung gelten im Allgemeinen als Kontrollinstanz für den Nord-Süd-Datenverkehr. Das bedeutet, dass innerhalb einer bestimmten Zone die Kommunikation, Software oder Benutzer als vertrauenswürdig eingestuft werden. Ein auf Vertrauen basiertes Modell kann zu Sicherheitsverstößen führen, was ein Grund für die Weiterentwicklung des Konzepts in Richtung der Mikrosegmentierung war. Außerdem sind VLANs und Firewalls netzwerkbasierte Konstrukte – doch die Verwaltung der Netzwerksicherheit anhand von Netzwerkmerkmalen ist in heutigen Public-Cloud- und Container-Umgebungen keine praktikable Lösung mehr.

Aufgrund der Vorteile der Cloud geht nicht nur die Nutzung physischer Rechenzentren im Unternehmensnetz zurück. Auch Sicherheitsgründe sprechen für eine Neuausrichtung, denn Angreifer können IP-Adressen, Ports und Protokolle missbrauchen, um in ein Unternehmensnetz einzudringen. Wenn sich Unbefugte in den normalen Verkehr einschleichen können, stellt sich die Frage, wie effektiv herkömmliche Sicherheitskontrollen heute noch sind.

Seite 1 von 3

1. Netze sinnvoller unterteilen
2. Unterschiede der Segmentierung bei der Cloud-Nutzung
3. Mikrosegmentierung schafft Abhilfe

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Zscaler GmbH

Netzwerk-Management