Blog
/
Zero-Trust-Segmentierung

Netzwerk- und Sicherheitssegmentierung

Illumio Editorial
,
April 5, 2017
23 min. Lesedauer

Die Notwendigkeit der Segmentierung als Sicherheitsstrategie hat sich erheblich weiterentwickelt. Von den Anfängen der Netzwerke bis hin zu den komplexen Rechenzentrums- und Cloud-Umgebungen von heute hat der Ansatz, den Unternehmen bei der Segmentierung verfolgen, nicht Schritt gehalten. Jeder, der versucht, traditionelle Segmentierungsansätze zur Bewältigung neuer Sicherheitsherausforderungen zu verwenden, wird schnell feststellen, dass diese sowohl die Erwartungen als auch die Sicherheitsanforderungen nicht erfüllen.

Dies hat Anbieter und einige Organisationen jedoch nicht davon abgehalten, zu versuchen, den sprichwörtlichen quadratischen Netzwerkpflock in die runde Sicherheitslücke einzubauen. Spoiler-Alarm: Es wird einfach nicht passen.

Was du wirklich brauchst ist Sicherheitssegmentierung.

ill_blog_hero_img_network_vs_security_seg_v3.jpg


In diesem Beitrag werde ich den Unterschied zwischen Netzwerk- und Sicherheitssegmentierung untersuchen, wobei ich mich auf das Rechenzentrum konzentriere und wie Netzwerksegmentierung wurde fehlgeleitet, um Sicherheitsanforderungen zu erfüllen.

Bodenkontrolle für wichtige Anwendungen

Als ich mich zum ersten Mal mit Netzwerken beschäftigte, war ein Segment ein Strang von RG-58 COAX. Bin ich mit mir selbst zusammen? Ja.

Im Laufe meiner Karriere arbeitete ich bei Xylan, einem Pionier im Bereich „Emerging“ VLAN Technologie. Damals bestand die Herausforderung darin, alle Medien (Token Ring, FDDI, ATM, Ethernet) mit allen Medien zu verbinden und VLANs zu erweitern — nicht in erster Linie aus Sicherheitsgründen, sondern eher zur Reduzierung der Übertragungsdomänen —, um die Netzwerkleistung aufrechtzuerhalten und Netzwerke skalieren zu können. Es gab keine Layer-3-Switches, und die teuersten Elemente im Netzwerk waren die softwarebasierten Router. ¬†Im Grunde hatte sich ein Segment zu einer logischen (nicht physischen) Broadcast-Domäne entwickelt, und das blieb so ziemlich so, bis sich VLANs mit Sicherheitsfunktionen vermischten.

Obwohl ein Unternehmen heute viel Geld für ‚Erkennung'“ -Technologien ausgibt, sind die meisten Unternehmen der Ansicht, dass Sicherheitslücken in irgendeiner Form unvermeidlich sind.

Angesichts der Unvermeidlichkeit einer Sicherheitsverletzung besteht der einzig realistische Schutz darin, mehr Mauern um kritische Anwendungen zu errichten — oder „das Terrain zu kontrollieren“, sodass sich böswillige Akteure nicht frei in Ihrem Rechenzentrum und Ihrer Cloud bewegen können.

Die Kontrolle des Geländes erfordert eine neue Form der Segmentierung.

Das ist etwas, das ich bezeichne als Sicherheitssegmentierung, wobei ein Unternehmen den Datenverkehr filtern muss, um zu verhindern, dass sich ein böser Akteur innerhalb eines Rechenzentrums seitlich (Ost/West) bewegen kann. Das ist weitaus besser als eine „Retro-Segmentierung“ durch das Netzwerk, für die neue IPs, neue VLANs und neue Geräte erforderlich sind.

Kann oder sollte? Das ist eine große Sache

Bei der Sicherheitssegmentierung geht es nicht um Paketweiterleitung, sondern um Layer-2- und Layer-3-Netzwerke. Bei der Sicherheitssegmentierung geht es um Paketfilterung — Durchsetzung dessen, was zwischen zwei Punkten im Netzwerk erlaubt sein sollte und was nicht.

Ich sage immer, das ist der Unterschied zwischen Dose (Paketweiterleitung) und sollte (Paketfilterung). Bei allen Protokollen und Arbeiten, die in Layer-2- und Layer-3-Netzwerken durchgeführt wurden, ging es um die zuverlässige Paketzustellung.

  • Layer-2/3-Netzwerke Dose finde einen Pfad, um ein Paket zwischen zwei Standorten weiterzuleiten, falls einer existiert.
  • Layer-2/3-Netzwerke wissen nicht, ob sollte leite das Paket weiter. Es wurde nicht gebaut, um so zu funktionieren.

Tatsächlich wird ein Layer-2/3-Gerät gebeten, herauszufinden, was sollte passieren ist wie fragen Ron Burgundy soll nicht jedes Wort auf einem Teleprompter lesen.

Die Sicherheitssegmentierung hingegen weiß, was passieren sollte, und setzt Paketfilter ein, um sicherzustellen, dass das, was nicht passieren sollte, niemals passiert, wie etwa die Ausbreitung einer Sicherheitsverletzung.

Tatsächlich sind zuverlässige Paketzustellung — etwas, an dem wir seit 30 Jahren arbeiten — und Sicherheitssegmentierung wie Cousins ersten Grades: Sie sind verwandt, aber sie sollten nicht heiraten.

KISS: Du willst es einfach und dämlich halten (und jeden Tag filtern)

Eines der Dinge, die die Notwendigkeit einer Sicherheitssegmentierung in den Vordergrund gerückt haben, war das Aufkommen dessen, was ich gerne als „Firewall auf einem Stick“ bezeichne. Vor zehn Jahren haben wir nicht erlebt, dass viel Datenverkehr auf eine Firewall (oder Firewalls) in Rechenzentren gedrungen ist, da dies zu Datenverkehrsaufwand, Komplexität der Konfiguration und Skalierungsproblemen geführt hat. Im Laufe der Zeit gab es jedoch eine Zunahme dieser „Firewalls auf einem Stick“ -Designs.

PROFITIP: Jedes Mal, wenn Sie eine Technologie auf einem Stock sehen, seien Sie müde. Es wird im Weg stehen.

Im Unternehmen Softwaredefiniertes Netzwerk (SDN) Anbieter versuchen, die Komplexität der Firewall auf einmal anzugreifen, indem sie eine Überlagerung von Netzwerken erstellen, die Pakete durch eine verteilte Reihe von Firewalls leiten. SDN ist auf Underlays, Overlays und Tunneling angewiesen, damit es funktioniert. Dies hat zu einer völlig neuen Komplexität geführt, die wir uns für einen anderen Beitrag aufsparen können. Aber es genügt zu sagen, dass es kein erfolgreiches Unterfangen ist, Komplexität mit mehr Komplexität anzugreifen.

Komplexität ist der Feind vieler Dinge, und Sicherheit ist eine davon.

Im Gegensatz zu SDN basiert die Sicherheitssegmentierung (auch bekannt als Paketfilterung) auf dem KISS-Prinzip des Netzwerks: Keep It Simple Stupid. Wenn Sie etwas zu komplex machen, steigt die Wahrscheinlichkeit von Fehlern, ebenso wie die Wahrscheinlichkeit, dass Mitarbeiter nach Möglichkeiten suchen, an allen Ecken und Kanten zu sparen — das Letzte, was Sie als Teil Ihrer Sicherheitsstrategie wollen. Einfachheit hat dagegen eine bessere Chance, Zuverlässigkeit zu gewährleisten, und Zuverlässigkeit ist für die Sicherheit von entscheidender Bedeutung.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Was macht Illumios Agent zuverlässiger als Inline-Agenten
Zero-Trust-Segmentierung

Was macht Illumios Agent zuverlässiger als Inline-Agenten

Illumio konzentriert sich auf Ziele zur Risikominderung und verfolgt einen unkomplizierten Umgang mit Paketen. So können Sie über Sicherheit nachdenken, ohne sich Gedanken über einen zuverlässigen Agenten machen zu müssen.

Lesen Sie mehr
4 Best Practices, die NIBE verwendet hat, um den Einsatz von Mikrosegmentierung zum Erfolg zu führen
Zero-Trust-Segmentierung

4 Best Practices, die NIBE verwendet hat, um den Einsatz von Mikrosegmentierung zum Erfolg zu führen

Erfahren Sie, wie der globale Hersteller NIBE mit Illumio in nur 6 Monaten erfolgreich eine Zero-Trust-Segmentierung zu 98 Prozent eingeführt hat.

Lesen Sie mehr
Ein Leitfaden für Architekten zur Bereitstellung von Mikrosegmentierung: Aufbau des Bereitstellungsteams
Zero-Trust-Segmentierung

Ein Leitfaden für Architekten zur Bereitstellung von Mikrosegmentierung: Aufbau des Bereitstellungsteams

Der beste Ansatz für den Einsatz von Mikrosegmentierung besteht darin, ein funktionsübergreifendes Team zusammenzustellen.

Lesen Sie mehr
5 Zero-Trust-Erkenntnisse von George Finney, CSO von Higher Ed
Zero-Trust-Segmentierung

5 Zero-Trust-Erkenntnisse von George Finney, CSO von Higher Ed

Die Cybersicherheitsherausforderungen für CSO an Hochschulen sind einzigartig. George Finney, CSO von SMU, spricht über die Implementierung der Zero-Trust-Segmentierung im Universitätsumfeld.

Lesen Sie mehr

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr