/
Zero-Trust-Segmentierung

Netzwerk- und Sicherheitssegmentierung

Die Notwendigkeit der Segmentierung als Sicherheitsstrategie hat sich erheblich weiterentwickelt. Von den Anfängen der Netzwerke bis hin zu den komplexen Rechenzentrums- und Cloud-Umgebungen von heute hat der Ansatz, den Unternehmen bei der Segmentierung verfolgen, nicht Schritt gehalten. Jeder, der versucht, traditionelle Segmentierungsansätze zur Bewältigung neuer Sicherheitsherausforderungen zu verwenden, wird schnell feststellen, dass diese sowohl die Erwartungen als auch die Sicherheitsanforderungen nicht erfüllen.

Dies hat Anbieter und einige Organisationen jedoch nicht davon abgehalten, zu versuchen, den sprichwörtlichen quadratischen Netzwerkpflock in die runde Sicherheitslücke einzubauen. Spoiler-Alarm: Es wird einfach nicht passen.

Was du wirklich brauchst ist Sicherheitssegmentierung.

ill_blog_hero_img_network_vs_security_seg_v3.jpg


In diesem Beitrag werde ich den Unterschied zwischen Netzwerk- und Sicherheitssegmentierung untersuchen, wobei ich mich auf das Rechenzentrum konzentriere und wie Netzwerksegmentierung wurde fehlgeleitet, um Sicherheitsanforderungen zu erfüllen.

Bodenkontrolle für wichtige Anwendungen

Als ich mich zum ersten Mal mit Netzwerken beschäftigte, war ein Segment ein Strang von RG-58 COAX. Bin ich mit mir selbst zusammen? Ja.

Im Laufe meiner Karriere arbeitete ich bei Xylan, einem Pionier im Bereich „Emerging“ VLAN Technologie. Damals bestand die Herausforderung darin, alle Medien (Token Ring, FDDI, ATM, Ethernet) mit allen Medien zu verbinden und VLANs zu erweitern — nicht in erster Linie aus Sicherheitsgründen, sondern eher zur Reduzierung der Übertragungsdomänen —, um die Netzwerkleistung aufrechtzuerhalten und Netzwerke skalieren zu können. Es gab keine Layer-3-Switches, und die teuersten Elemente im Netzwerk waren die softwarebasierten Router. ¬†Im Grunde hatte sich ein Segment zu einer logischen (nicht physischen) Broadcast-Domäne entwickelt, und das blieb so ziemlich so, bis sich VLANs mit Sicherheitsfunktionen vermischten.

Obwohl ein Unternehmen heute viel Geld für ‚Erkennung'“ -Technologien ausgibt, sind die meisten Unternehmen der Ansicht, dass Sicherheitslücken in irgendeiner Form unvermeidlich sind.

Angesichts der Unvermeidlichkeit einer Sicherheitsverletzung besteht der einzig realistische Schutz darin, mehr Mauern um kritische Anwendungen zu errichten — oder „das Terrain zu kontrollieren“, sodass sich böswillige Akteure nicht frei in Ihrem Rechenzentrum und Ihrer Cloud bewegen können.

Die Kontrolle des Geländes erfordert eine neue Form der Segmentierung.

Das ist etwas, das ich bezeichne als Sicherheitssegmentierung, wobei ein Unternehmen den Datenverkehr filtern muss, um zu verhindern, dass sich ein böser Akteur innerhalb eines Rechenzentrums seitlich (Ost/West) bewegen kann. Das ist weitaus besser als eine „Retro-Segmentierung“ durch das Netzwerk, für die neue IPs, neue VLANs und neue Geräte erforderlich sind.

Kann oder sollte? Das ist eine große Sache

Bei der Sicherheitssegmentierung geht es nicht um Paketweiterleitung, sondern um Layer-2- und Layer-3-Netzwerke. Bei der Sicherheitssegmentierung geht es um Paketfilterung — Durchsetzung dessen, was zwischen zwei Punkten im Netzwerk erlaubt sein sollte und was nicht.

Ich sage immer, das ist der Unterschied zwischen Dose (Paketweiterleitung) und sollte (Paketfilterung). Bei allen Protokollen und Arbeiten, die in Layer-2- und Layer-3-Netzwerken durchgeführt wurden, ging es um die zuverlässige Paketzustellung.

  • Layer-2/3-Netzwerke Dose finde einen Pfad, um ein Paket zwischen zwei Standorten weiterzuleiten, falls einer existiert.
  • Layer-2/3-Netzwerke wissen nicht, ob sollte leite das Paket weiter. Es wurde nicht gebaut, um so zu funktionieren.

Tatsächlich wird ein Layer-2/3-Gerät gebeten, herauszufinden, was sollte passieren ist wie fragen Ron Burgundy soll nicht jedes Wort auf einem Teleprompter lesen.

Die Sicherheitssegmentierung hingegen weiß, was passieren sollte, und setzt Paketfilter ein, um sicherzustellen, dass das, was nicht passieren sollte, niemals passiert, wie etwa die Ausbreitung einer Sicherheitsverletzung.

Tatsächlich sind zuverlässige Paketzustellung — etwas, an dem wir seit 30 Jahren arbeiten — und Sicherheitssegmentierung wie Cousins ersten Grades: Sie sind verwandt, aber sie sollten nicht heiraten.

KISS: Du willst es einfach und dämlich halten (und jeden Tag filtern)

Eines der Dinge, die die Notwendigkeit einer Sicherheitssegmentierung in den Vordergrund gerückt haben, war das Aufkommen dessen, was ich gerne als „Firewall auf einem Stick“ bezeichne. Vor zehn Jahren haben wir nicht erlebt, dass viel Datenverkehr auf eine Firewall (oder Firewalls) in Rechenzentren gedrungen ist, da dies zu Datenverkehrsaufwand, Komplexität der Konfiguration und Skalierungsproblemen geführt hat. Im Laufe der Zeit gab es jedoch eine Zunahme dieser „Firewalls auf einem Stick“ -Designs.

PROFITIP: Jedes Mal, wenn Sie eine Technologie auf einem Stock sehen, seien Sie müde. Es wird im Weg stehen.

Im Unternehmen Softwaredefiniertes Netzwerk (SDN) Anbieter versuchen, die Komplexität der Firewall auf einmal anzugreifen, indem sie eine Überlagerung von Netzwerken erstellen, die Pakete durch eine verteilte Reihe von Firewalls leiten. SDN ist auf Underlays, Overlays und Tunneling angewiesen, damit es funktioniert. Dies hat zu einer völlig neuen Komplexität geführt, die wir uns für einen anderen Beitrag aufsparen können. Aber es genügt zu sagen, dass es kein erfolgreiches Unterfangen ist, Komplexität mit mehr Komplexität anzugreifen.

Komplexität ist der Feind vieler Dinge, und Sicherheit ist eine davon.

Im Gegensatz zu SDN basiert die Sicherheitssegmentierung (auch bekannt als Paketfilterung) auf dem KISS-Prinzip des Netzwerks: Keep It Simple Stupid. Wenn Sie etwas zu komplex machen, steigt die Wahrscheinlichkeit von Fehlern, ebenso wie die Wahrscheinlichkeit, dass Mitarbeiter nach Möglichkeiten suchen, an allen Ecken und Kanten zu sparen — das Letzte, was Sie als Teil Ihrer Sicherheitsstrategie wollen. Einfachheit hat dagegen eine bessere Chance, Zuverlässigkeit zu gewährleisten, und Zuverlässigkeit ist für die Sicherheit von entscheidender Bedeutung.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Illumio Innovation Lookback: Was wir 2024 gebaut haben
Zero-Trust-Segmentierung

Illumio Innovation Lookback: Was wir 2024 gebaut haben

Entdecken Sie die wichtigsten Innovationen von Illumio für 2024 in den Bereichen Zero Trust, KI-Automatisierung und Ransomware-Schutz.

5 Gründe, warum Ihr Cloud-Architekt die Mikrosegmentierung lieben wird
Zero-Trust-Segmentierung

5 Gründe, warum Ihr Cloud-Architekt die Mikrosegmentierung lieben wird

Für einen Cloud-Architekten ist der Wechsel in die Cloud mehr als nur ein Standortwechsel.

3 Dinge, auf die Sie bei der RSA Conference 2024 achten sollten
Zero-Trust-Segmentierung

3 Dinge, auf die Sie bei der RSA Conference 2024 achten sollten

Erfahren Sie auf der RSA Conference 2024, wie Sie über KI-Sicherheitsrisiken, Cloud-Sicherheit und Cybersicherheits-ROI nachdenken sollten.

5 Zero-Trust-Erkenntnisse von George Finney, CSO von Higher Ed
Zero-Trust-Segmentierung

5 Zero-Trust-Erkenntnisse von George Finney, CSO von Higher Ed

Die Cybersicherheitsherausforderungen für CSO an Hochschulen sind einzigartig. George Finney, CSO von SMU, spricht über die Implementierung der Zero-Trust-Segmentierung im Universitätsumfeld.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?