Netzwerk-Segmentierung gegen Hackerangriffe

Netzwerk (Bild: Shutterstock)

Auf Schiffen werden einzelne Bereiche durch Sicherheitstüren getrennt, um ein Sinken im Falle eines Lecks zu verhindern, sagt Professor Avisahi Wool von AlgoSec.

Die Netzwerksegmentierung eignet sich am besten für die Kontrolle des Nord-Süd-Verkehrs in einem Unternehmen. Ihr Hauptzweck besteht darin, wichtigen Unternehmensdaten in einzelnen Zonen einen sicheren Hafen zu bieten und die seitliche Bewegung von Angreifern im Netzwerk einzuschränken. Die Kür ist dabei die Mikro-Segmentierung. Sie geht noch einen Schritt weiter und bietet eine detailliertere Kontrolle, um auch Ost-West-Bewegungen einzudämmen. Sie schafft auf noch kleinerer und genauerer Ebene sichere Zonen in den Netzwerken, was es Unternehmen ermöglicht, Arbeitslasten zu isolieren und den internen Zugriff auf sensible Daten streng zu kontrollieren.

Vereinfacht ausgedrückt: Wenn die Netzwerk-Segmentierung die Böden, Decken und die schützende Außenhülle des Schiffes bildete, dann wäre die Mikro-Segmentierung sichtbar in Form der Stahltüren und Korridore, die den Zugang zu einzelnen Bereichen des Schiffes ermöglichen und zugleich einschränken. Beide Methoden können in Kombination eingesetzt werden, um die IT-Abwehr zu stärken.

Mikrosegmentierung hilft gegen Ransomware

Die Zahl der Ransomware-Angriffe auf Unternehmensnetzwerke scheint jedes Jahr neue Rekordhöhen zu erreichen. Ransomware ist für Hacker so attraktiv geworden, dass ein krimineller Industrie-Zweig für Ransomware-as-a-Service (RaaS) entstanden ist, der Möchtegern-Angreifern die Tools in Form einer Miete zur Verfügung stellt. Der Einsatz von Mikro-Segmentierung kann jedoch Ransomware bereits im Anfangsstadium eines Angriffs eindämmen. Wenn eine Sicherheitslücke auftritt und Malware einen Rechner in einem bestimmten Netzwerk übernimmt, sollte die in das mikro-segmentierte Netzwerk eingebettete Richtlinie die Fähigkeit der Malware blockieren, sich auf ein benachbartes Segment auszubreiten, was wiederum Unternehmen vor einer systemweiten Abschaltung schützen und ihnen einen großen finanziellen Verlust ersparen kann.

Zero Trust und Mikro-Segmentierung

Zero Trust ist eine Ausprägung des Prinzips der Geringsten Privilegien (Least Privilege). Es ist eine Denkweise, die Sicherheitskräften vorgibt, nicht davon auszugehen, dass digitale Identitäten jeder Art grundsätzlich vertrauenswürdig seien. Aus der Netzwerkperspektive bedeutet Zero Trust, dass interne Netzwerkbewegungen und -zugriffe nicht als vertrauenswürdiger angesehen werden sollten als externe. Daher ist die Mikro-Segmentierung der Königsweg, um Zero Trust auf der Netzwerkebene wirklich zu erreichen: durch den Einsatz restriktiver Filterrichtlinien innerhalb des internen Netzwerks, um den Ost-West-Verkehr zu kontrollieren. So, wie Einzelpersonen in einem Unternehmen nur dann Zugang zu Daten erhalten sollten, wenn sie diese benötigen, sollte auch der Datenverkehr nur dann von einem Unternehmensbereich in einen anderen gelangen dürfen, wenn die unterstützenden Anwendungen den Zugang zu diesen Bereichen benötigen, sprich: die Konnektivität verlangt wird.

Mikro-Segmentierung und die Public Cloud

Vor der Einführung der Mikro-Segmentierung war es sehr schwierig, Netzwerke in Bereiche und Unterbereiche zu teilen, da dies den physischen Einsatz von Geräten erforderte. Das Routing musste geändert werden, Firewalls mussten lokal installiert werden und der Segmentierungsprozess musste von einem Team sorgfältig überwacht und verwaltet werden. Zum Glück der SecOps-Teams ist dies aufgrund der schnellen Einführung der Cloud-Technologie nicht mehr der Fall.

Jedoch scheint es hier ein Missverständnis im Zusammenhang mit der Mikro-Segmentierung zu geben, da viele denken, dass es sich um eine reine Netzwerksicherheitslösung für private Cloud-Umgebungen handelt, während in Wirklichkeit die Mikro-Segmentierung in einer hybriden Cloud-Umgebung ebenso eingesetzt werden kann. Es spielt somit keine Rolle, ob es sich bei der IT-Umgebung um eine öffentliche Cloud, private Cloud, oder das Rechenzentrum vor Ort handelt. Tatsächlich bieten alle öffentlichen Cloud-Netzwerke, einschließlich derer von Microsoft Azure und Amazon AWS, eingebaute Filterfunktionen, welche die Kontrolle des Datenverkehrs erheblich erleichtern. Dies eignet sich gut für das Konzept der Mikro-Segmentierung, sodass auch Unternehmen, die eine hybride Cloud-Konfiguration verwenden, davon enorm profitieren.

Fazit

Die Mikro-Segmentierung ist eine praktikable und skalierbare Lösung zur Verschärfung von Netzwerksicherheitsrichtlinien, obwohl die Implementierung mit einigen Herausforderungen verbunden ist. Doch mag es für viele Unternehmen schwierig klingen, diese neue Sicherheitsmethode zu verwalten, so ist sie dennoch ein lohnendes Unterfangen, denn: Durch den Einsatz einer Mikro-Segmentierung als Teil der Netzwerk-Strategie kann ein Unternehmen seine Netzwerksicherheit äußerst effektiv gegen Hacker, Ransomware, sämtliche seitlichen Bewegungen und Zugriffsverletzungen erhöhen.

 

Professor Avisahi Wool

ist CTO und Mitgründer von AlgoSec.