Adaptive Segmentationmicro-segmentation September 16, 2020

Was ist Netzwerk-Segmentierung?

Alex Goller, Senior Systems Engineer EMEA

Eine Einführung in die Netzwerk-Segmentierung

Netzwerk-Segmentierung bricht große Netzwerke oder Netzwerk-Umgebungen in kleinere Umgebungen, manchmal bis auf die Ebene des Hosts, auf.

Dazu gibt es verschiedene Möglichkeiten. Ein gängiger Ansatz wäre, die sowieso vorhandenen Netzwerk-Infrastruktur-Komponenten zu nutzen, eine andere Möglichkeit ist,  Hardware-Firewalls zu verwenden. Neuere Ansätze benutzen den Host selbst, um Segmentierung zu erreichen, ohne das Netzwerk oder die Netzwerk-Architektur ändern zu müssen.

Warum brauchen wir Netzwerk-Segmentierung?

Diese Frage beantwortet sich mit folgender Analogie: Schotten in einem U-Bott trennen dieses in Segmente auf, um das Boot im Fall eines Lecks seetauglich zu halten. Das Leck wird auf ein Abteil begrenzt und das U-Boot kann deshalb – wegen der Aufteilung (oder auch Segmentierung) nicht sinken.

Mit Mikro-Segmentierung

            Ohne Mikro-Segmentierung

submarine

Auf die IT übertragen bedeutet das, dass Netzwerk-Segmentierung Angreifer oder Bedrohungen stoppen oder an der Ausbreitung im Netz sowohl in Rechenzentren, Clouds oder auch Campus-Netzen hindern kann. Dies wird häufig auch Lateral Movement, Seitwärtsbewegung oder Ost-West Traffic genannt.

Eine Bedrohung wird auf das jeweilige Netzwerk-Segment oder Host-Segment beschränkt und Angreifer können nicht einfach in andere Segmente vordringen. Kleinere Sicherheits-Vorfälle können beschränkt und eingedämmt werden. Dies hilft Firmen dabei, keine größeren Schäden zu erleiden.

Verschiedene Arten der Netzwerk-Segmentierung

Netzwerk-Segmentierung mit Netzwerk-Infrastruktur:

Segmentierung im Netzwerk wird seit langer Zeit durch das Erstellen von VLANs oder Subnetzen gemacht. Virtual Local Area Networks (VLAN) schaffen kleinere Netzwerk-Segmente, in denen alle Hosts direkt miteinander verbunden sind, so als wären sie im gleichen Ethernet-Segment.

Subnetze teilen ein IP-Netz in kleinere Teile auf, die mit Netzwerk-Geräten (Switch, Router) miteinander verbunden werden. Ursprünglich wurde das gemacht, um die Performance im Ethernet zu erhöhen und Broadcast- und Collision Domains zu verkleinern, aber seit langer Zeit versucht man diese auch Methoden zu nutzen, um Bedrohungen auf kleinere Teile des Netzes (VLAN oder Subnetz) zu beschränken.

Dieser Ansatz hat jedoch zwei Schwachpunkte. Erstens muss zur Aufteilung des Netzes dieses oft neu geplant oder aufgebrochen werden, um die Anforderungen für die Sicherheit zu erfüllen. Zweitens kämpft dieser Ansatz mit einer steigenden Komplexität die vielen ACLs, also Zugriffsregeln, zu verwalten, die auf all den Netzwerk-Geräten verwaltet werden müssen.

Netzwerk-Segmentierung mit Firewalls

Statt Netzwerk-Infrastruktur wie Switche und Firewalls zu nutzen, werden auch oft Firewalls eingesetzt. Firewalls werden dazu im Netzwerk oder Rechenzentrum installiert, um interne Zonen zu bauen, die meist funktionalen Zonen entsprechen und dazu dienen die Angriffsoberfläche zu limitieren und Bedrohungen und Angriffe auf eine Zone zu beschränken. Typisch wäre auf diese Weise Engineering von Finanzen zu trennen. Ein anderes übliches Beispiel ist der Schutz sensibler Daten durch eine Zone, in der zum Beispiel PCI-DSS relevante Daten gehalten werden.

Netzwerk- und Sicherheits-Administratoren kennen sich mit Firewalls durch den Einsatz am Netzwerk-Perimeter bereits aus. Leider greift der Ansatz beim internen Segmentieren von Ost-West-Traffic nicht so einfach und führt eine exponentiell wachsende Komplexität ein.

Segmentation

Dies lässt sich auf die exponentiell vielen Firewall-Regeln zurückführen, die man braucht, um das interne Netz zu segmentieren. Zusätzlich sollte man auch das Risiko bedenken, dass eine einzige Fehlkonfiguration in diesem Konstrukt den Fortgang der internen IT Prozesse und letztendlich des Geschäftsbetriebes stoppen oder signifikant stören kann. Außerdem führt der Einsatz von Hardware-Firewalls zu nicht vernachlässigenden Kosten, die bis in die Millionen gehen können.

Netzwerk-Segmentierung mit SDN

Software Defined Networks (SDN) werden oft genutzt, um mehr Automatisierung und Orchestrierung im Netz zu ermöglichen. Zentrale, von der physikalischen Netzwerk-Hardware abstrahierte Controller können frei programmiert werden, um die Prozesse im Netzwerkbereich zu optimieren und zu beschleunigen. Oft wird dieser Ansatz auch genutzt, um den Traffic aus verschiedenen Segmenten durch verteilte Firewalls zu schleusen und so Kontrolle über diesen Netzwerkverkehr zu erlangen.

segmentation

Hier findet sich auch einer der Schwachpunkte dieser Architektur, nämlich die unglaubliche Komplexität, die notwendig wird, speziell, wenn Applikationen sich, wie es heute oft der Fall ist, nicht an Netzwerk-Grenzen halten. SDN ist eher auf Netzwerk-Policy ausgerichtet als auf Visibilität in Applikations-Flows.

Mikro-Segmentierung

Eine Alternative, um zu einer guten und verlässlichen Segmentierung zu gelangen, ist den Verkehr direkt auf dem Host zu limitieren, anstatt das mit VLANs, Subnetzen oder Firewalls zu versuchen. Jeder Host im Rechenzentrum, Cloud oder Private Cloud hat bereits im Betriebssystem eine Stateful Firewall eingebaut, dies wäre IPtables unter Linux oder die Windows Filtering Platform unter Windows. Dieser Ansatz nutzt eine Liste erlaubter Verbindungen, so dass alle Verbindungen gestoppt werden, die nicht explizit erlaubt sind.

Mikro-Segmentierung wird oft auch als Host-basierte Segmentierung oder Security-Segmentierung bezeichnet.

micro-segmentation

Host-basierte Segmentierung nutzt Telemetrie direkt von den Hosts, um daraus eine Karte von allen lokalen Systemen, Cloud- und Container-Umgebungen und Anwendungen zu erstellen. Diese Karte hilft nun, um zu visualisieren welche Applikationen und Daten geschützt werden müssen und ermöglicht automatisiert erstellte Segmentierungsregeln umzusetzen. Dieser Ansatz benutzt verständliche Label anstatt von IP-Adressen, um eine geeignete Policy zu beschreiben. Ein Vorteil der Technologie ist es, dass Segmentierung hier bis auf Prozessebene möglich ist, viel feingranularer, als das nur mit Ports möglich wäre.

Benutzer der host-basierten Segmentierung müssen sich normalerweise nur kurz an die neuen Gegebenheiten anpassen. Die meisten Anwender kennen Firewalls und Netzwerk-Geräte, aber finden es anfangs ungewöhnlich Policy auf diese neue, bessere und logische Art zu beschreiben.

Wer muss Netzwerke oder Umgebungen segmentieren?

Organisationen, die erhöhte Sicherheits- und Compliance-Anforderungen haben müssen ihr Netzwerk ausreichend segmentieren, um erfolgreiche Attacken so klein wie irgend möglich zu halten und „lateral movement“ zu begrenzen.

Typisch sind die Anforderungen an Segmentierung von Firmen, die Compliance im Gesundheits-Bereich erreichen müssen oder einem PCI Mandat unterliegen:

  • Organisationen im Gesundheits-Bereich müssen persönliche und Gesundheitsdaten schützen und sich an Cybersicherheits-Compliance Frameworks halten. Es existieren mehrere Frameworks, um diesen Organisationen und ihren Dienstleistern zu helfen, ihre Sicherheit konsistent und konsequent umzusetzen. Eine Schlüsselrolle fällt hierbei auf die Segmentierung oder die Segregierung bestimmter Netzbereich, die Isolation sensibler Daten und Systeme, eine akkurate Karte sowie die Kontrolle von Netzwerkverbindungen.
  • PCI-Compliance ist ein Standard, der es erfordert, dass Händler und andere am Zahlungsprozess beteiligte Stellen Kreditkartendaten sicher verarbeiten, um die Gefahr und die Wahrscheinlichkeit von erfolgreichen Attacken zu verringern und so keine sensiblen Daten der Karteninhaber öffentlich werden zu lassen. Der Payment Card Industry Data Security Standard (PCI DSS) verlangt Netzwerk-Segmentierung, um Systeme zu isolieren, die in einem Cardholder Data Environment (CDE) liegen. Zum Beispiel kann das bedeuten, dass Systeme im Fokus der PCI DSS von Systemen, die nicht im Fokus der PCI DSS Compliance liegen, getrennt werden müssen. Durch den Nachweis der Segmentierung kann auch eine signifikante Reduzierung der Zahl der Systeme im sog. Scope der PCI DSS erreicht werden.

Welche Beispiele für Netzwerk-Segmentierung gibt es?

Es gibt viele gute Beispiele wie Netzwerk-Segmentierung helfen kann, die Angriffsfläche, und damit die Wahrscheinlichkeit eines erfolgreichen Angriffs, zu reduzieren. Organisationen können durch die Segmentierung einzelner Anwendungen (Application Segmentation) eine Anwendung vom Rest trennen und den Zugang begrenzen. Wie bereits erwähnt kann Segmentierung ebenfalls benutzt werden, um ganze Umgebungen wie zum Beispiel eine PCI oder Swift Umgebung zu separieren. Die Trennung von Umgebungen ist auch in Organisationen üblich, die strikt Produktions- und Entwicklungsdaten trennen müssen.

Welche Vorteile habe ich durch Netzwerk-Segmentierung?

Bessere Netzwerk-Performance: ein segmentiertes Netz kann den Durchsatz im Netz signifikant erhöhen, weil Flaschenhälse wie Firewalls auf dem Weg entfallen können.

Reduzierte Angriffsfläche: die Seitwärtsbewegung des Angreifers wird durch Netzwerk-Segmentierung erfolgreich begrenzt und Attacken können so verhindert werden. So sichert die Segmentierung, dass eine Malware nicht durch das ganze Netz andere Systeme infizieren kann.

Reduzierter Scope für die Compliance: Segmentierung reduziert die Systeme, die unter die Compliance fallen und reduziert somit die durch Compliance-Maßnahmen entstehenden Kosten.

Adaptive Segmentationmicro-segmentation
Share this post:

Try Illumio Edge