Netzwerksegmentierung gegen Angriffe
Teile und herrsche
Mit der Segmentierung von Netzwerken lassen sich Cyberangriffe isolieren und bekämpfen. Eine Segmentierungs-Firewall kann auf der Grundlage der Segmentprofile und anderer dynamischer Kriterien vielfältige Sicherheitskontrollen vornehmen. Dafür ist eine robuste und umfassende Firewall-Plattform erforderlich, die auch unter hoher Last keine Performance-Probleme kennt.
Auf den ersten Blick widerspricht eine Segmentierung des Netzwerks in mehrere Sicherheitsbereiche einem Grundgedanken, der die neuere IT ansonsten dominiert: Integration und Konsolidierung. Auf diese Weise versucht ja die IT unter zunehmend komplexen Bedingungen ihre Effizienz und Verwaltbarkeit zu verbessern. In einer Welt härter und intensiver werdender Cyberangriffe sind solche IT-Landschaften allerdings auch zu einem Risiko geworden: Der Gegner nutzt Integration und Konsolidierung für seine Zwecke aus.
Einmal eingedrungen - und die Bedrohungslage ist heute so, dass das niemand ausschließen kann - ist er in einer integrierten Szenerie in der Lage, sich nahezu beliebig zu bedienen. Die neueste Generation von Advanced Persistent Threats (APTs) nutzt schließlich sämtliche Bereiche eines Netzwerks, um eine Infrastruktur über mehrere Vektoren anzugreifen. Mit einer Segmentierung des Netzwerks in verschiedene Sicherheitsbereiche durch Segmentierungs-Firewalls kann man Angriffe isolieren, kapseln und auf diese Weise wirksam bekämpfen - es gilt, die gegnerischen Kräfte zu zerstreuen, um sie sukzessive zu schlagen.
Segmentbasierter Netzwerkschutz ist eine flexible Methode, um interne wie externe Netzwerksegmente zu verwalten. Netzwerksegmente schaffen Barrieren, die verhindern, dass sich Angreifer frei im Netzwerk bewegen, und begrenzen somit deren Wirken und Ausbreitung. Diese Segmente sind grundsätzlich logische Gruppierungen einer oder mehrerer Schnittstellen und machen die Definition, Verwaltung und Anwendung von Zugriffsregeln einfacher, als dies bei einem strengen physischen, netzwerkweiten Schnittstellenschema möglich wäre. Netzwerksegmentierung ist damit zunächst nur eine logische Methode zum Gruppieren einer oder mehrerer Schnittstellen mithilfe einfacher, benutzerdefinierter Namen. Administratoren können damit ähnliche Schnittstellen gruppieren und identische Regeln darauf anwenden, anstatt die gleichen Regeln für jede einzelne Schnittstelle separat einzurichten. Für eine wirkungsvolle Segmentierung ist zwar keine spezielle Firewall nötig, jedoch sollte die Segmentierungs-Firewall über zuverlässige Segmentierungs- und Sicherheitsfunktionen verfügen.
Um APTs abzuwehren, müssen bei der Netzwerksegmentierung integrierte, dynamische und durchsetzbare Barrieren zum Einsatz kommen. Zudem gilt es, die operativen Anforderungen an Performance, Verwaltbarkeit und Kosten zu erfüllen. Für eine erfolgreiche Implementierung von Netzwerksegmenten gibt es vier zentrale Komponenten: erstens eine flexible und skalierbare Segmentierungsarchitektur, zweitens die Durchsetzung von Segmentregeln, drittens hohe Performance in allen Segmenten sowie viertens die Implementierung und Verwaltung.
Segmentierungsarchitektur
Durch die Anwendung interner Sicherheitsregeln lassen sich die Netzwerkressourcen in unterschiedliche Segmente organisieren. Der Datenverkehr zwischen diesen Segmenten kann anschließend zugelassen oder eingeschränkt sein. So lässt sich der Zugriff auf kritische interne Ressourcen wie zum Beispiel auf Server mit Gehaltsabrechnungsdaten oder Code streng kontrollieren.
Eine effiziente Firewall kann Segmentierungsbeschränkungen auf der Grundlage dynamischer Kriterien - beispielsweise Anmeldedaten mit Informationen zur Benutzeridentität, Geo-IP-Standorte oder Sicherheitsstatus mobiler Endpunkte - automatisch durchsetzen. Für einen erweiterten Schutz sollte sie Multi-Gigabit-Switching bei der Erstellung und Durchsetzung von Segmentregeln liefern. Sie sollte diese Segmentregeln an Switching Points im ganzen Netzwerk auf den Verkehr anwenden können, und die Segmentregeln sollten von einer einzigen Konsole aus zentral zu verwalten sein.
Die einzelnen Segmente können nur so effektiv sein wie die Sicherheitsregeln, die sich zuverlässig zwischen ihnen anwenden lassen. Die Segmentierungs-Firewall muss beispielsweise mit einem IPS (Intrusion Prevention System) ein- und ausgehenden Verkehr im WLAN-Segment scannen. Für jedes Segment sollte es ein umfassendes Spektrum an Sicherheitsdiensten auf mehreren Schnittstellen mithilfe strenger Regeln geben.
Neben dem IPS sollten diese Sicherheitsdienste Funktionen für Content-Filtering, Antivirus, Anti-Spyware, applikationsbezogene Überwachung sowie SSL-Entschlüsselung und -Prüfung unterstützen. Für einen optimalen Schutz benötigt die Firewall außerdem Cloud-basierte Sandbox-Überwachungs- und Problemlösungstechniken. Um segmentbasierte Sicherheitsregeln durchzusetzen, müsste jedes Segment schließlich einem speziellen Sicherheitstyp oder einer speziellen Sicherheitskategorie entsprechen.
Die Segmentierungsfirewall muss in der Lage sein, internen ebenso wie Ost-West-Verkehr, also Traffic zwischen Servern oder virtuellen Maschinen innerhalb eines Rechenzentrums, zu verarbeiten, ohne dadurch die Netzwerk-Performance zu schmälern. Verteilte Unternehmensnetzwerke und Rechenzentrumsumgebungen können besonders anfällig für Verkehrsengpässe aufgrund von Sicherheitsfunktionen sein, was wiederum die Produktivität und Service-Levels beeinträchtigt. Hier ist es wichtig, dass die Firewall für die tiefergehende Paketanalyse (Deep Packet Inspection, DPI) von Verkehr zwischen den Segmenten bei Multi-Gigabit-Geschwindigkeiten konzipiert ist.
Segmentierungslösungen müssen wegen der aktuellen Anforderungen die Komplexität wie auch die Kosten reduzieren. Deshalb ist für eine effektive Segmentierungs-Firewall umfassende Kontrolle über den gesamten Verkehr, über alle Segmente hinweg und von einer einzigen Verwaltungskonsole aus erforderlich. Die Firewall sollte zudem in der Lage sein, Regeln dynamisch durchzusetzen, die Konfiguration per Funk angebundener und mobiler Endpunkte zu vereinfachen sowie Sicherheitsupdates durchzuführen.
Um die Implementierung zu erleichtern, Ausfallzeiten zu reduzieren und die Skalierbarkeit zu verbessern, sollte sie sich in einem bestehenden Netzwerk im Layer-2-Bridge-Modus oder einem transparenten Modus installieren lassen. Die Segmente müssen dabei so konfiguriert sein, dass die NAT-Tabelle (Network Address Translation) beim Verkehr von einem zum anderen Segment unbehindert Quell- und Zieladressen kontrollieren kann; das heißt, NAT kommt intern oder über VPN-Tunnel zu Einsatz. Die Firewalls sollten außerdem VPN-Verkehr mittels NAT- und Segmentregeln leiten können, da VPNs in ihrem eigenen VPN-Segment logisch gruppiert sind.
Robuste Plattform unverzichtbar
Ein Netzwerk wirkungsvoll in Sicherheitssegmente einzuteilen erfordert also eine robuste und umfassende Firewall-Plattform. Um die leidigen APTs in den Griff zu bekommen, muss eine Segmentierungs-Firewall in der Lage sein, vielfältige Sicherheitskontrollen auf der Grundlage definierter Segmentprofile und anderer dynamischer Kriterien durchzuführen. Allerdings können nicht alle Firewall-Lösungen alle dafür notwendigen Komponenten anbieten. Unternehmen sollten darauf achten, dass die gewählte Firewall sämtliche Anforderungen an ein sicheres, segmentiertes Netzwerk erfüllen kann - unabhängig davon, welche Konfiguration sie jeweils benötigen.
Lesen Sie mehr zum Thema
