Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Segmentierung
Christer Swartz
Marketingdirektor für Lösungen
Illumio Editorial
29August 2024
23 min. lesen

Was Sie erwartet, wenn Sie mit der Mikrosegmentierung beginnen

Laut Gartner "werden bis 2026 60 % der Unternehmen, die auf eine Zero-Trust-Architektur hinarbeiten, mehr als eine Form der Mikrosegmentierung verwenden, gegenüber weniger als 5 % im Jahr 2023."  

Mikrosegmentierung ist die Grundlage für Zero Trust. Ohne sie kann man Zero Trust nicht erreichen.  

John Kindervag, der Erfinder von Zero Trust, befasste sich im zweiten Bericht, der jemals zu diesem Thema verfasst wurde, mit dem Zusammenhang zwischen Zero Trust und Segmentierung, Build Security Into Your Network's DNA: The Zero Trust Network Architecture. In dem Bericht sagte er: "Es müssen neue Wege zur Segmentierung von Netzwerken geschaffen werden, da alle zukünftigen Netzwerke standardmäßig segmentiert werden müssen."  

Wenn Sie eine Zero-Trust-Architektur aufbauen, sollte die Mikrosegmentierung ein entscheidender Bestandteil Ihrer Planung sein. Hier sind die 10 Dinge, die Sie beim Einstieg in die Mikrosegmentierung erwarten können .

1. Verschaffen Sie sich einen Überblick über den gesamten Workload-Datenverkehr in jeder Umgebung

Der erste – und einer der wichtigsten – Schritte beim Aufbau einer Mikrosegmentierung besteht darin, zu wissen, was in allen Segmenten Ihres Netzwerks vor sich geht. Wie behalten Sie den Überblick über den gesamten Datenverkehr zwischen allen Workloads in Ihren Cloud-, Endpunkt- und Rechenzentrumsumgebungen? Es ist entscheidend, diese Transparenz in jedem Umfang ohne übermäßig komplexen Arbeitsablauf erreichen zu können.  

Sie können versuchen, für verschiedene Segmente in Ihrem Netzwerk unterschiedliche Sichtbarkeitstools zu verwenden. Die Verwendung mehrerer Tools führt jedoch zu einer fragmentierten Sichtweise. Dies kann es erschweren, das Verhalten in allen Segmenten überall zu verstehen.  

Suchen Sie stattdessen nach einer Lösung, die den Datenverkehr über alle Segmente hinweg erfassen und in einer einzigen Ansicht darstellen kann. Illumio kann Ihnen beispielsweise dabei helfen, zu sehen, wer mit wem über welche Ports kommuniziert, sodass Sie alle Abhängigkeiten aufdecken können.       

Ein Diagramm eines NetzwerksBeschreibung wird automatisch generiert

Mit diesen Informationen können Sie die "offenen Türen" in Ihrem Netzwerk finden, entscheiden, welcher Datenverkehr erforderlich ist, und dann standardmäßig den gesamten anderen Datenverkehr ablehnen.  

2. Verstehen, wie Apps kommunizieren

Die meisten Menschen sind sich einig, dass Zero Trust eine gute Idee ist, aber wie können Sie verstehen, welcher Datenverkehr erforderlich ist, bevor Sie entscheiden, was Sie schützen möchten? Es ist nicht immer einfach zu erkennen, welche Apps in Ihrem Netzwerk ausgeführt werden und welche Ports sie verwenden müssen.  

Mit einer Lösung wie Illumio können Sie herausfinden, welche Anwendungen auf allen Workloads ausgeführt werden und welche Ports sie verwenden. Dies bietet eine umfassende Bestandsaufnahme aller Anwendungen und ihrer Abhängigkeiten in Ihrem Netzwerk, sodass Sie entscheiden können, wie die Segmentierungsrichtlinie durchgesetzt werden soll.  

3. Sperren Sie Ihre kritischsten und risikoreichsten Ressourcen

Nicht alle Einstiegspunkte in Ihr Netzwerk stehen unter Ihrer direkten Kontrolle. Während ein Rechenzentrum für ein Campus-Netzwerk über strenge Kontrollen verfügen kann, sind Ressourcen in der Cloud oder der Zugriff von Partnern durch Dritte oft weniger sicher.  

Viele Bedrohungen gehen von diesen weniger sicheren Umgebungen aus, da sie oft aufgrund menschlichen Versagens offen bleiben. Jeder dieser Access Points kann der erste Schritt eines Angreifers sein, der es Bedrohungen ermöglicht, sich über Ihr Netzwerk auf Ihre hochwertigen Assets auszubreiten.  

Ein Diagramm eines NetzwerksBeschreibung wird automatisch generiert
Die gestrichelten Linien stellen offene Ports zwischen Umgebungen dar, die es Malware ermöglichen, sich über das Netzwerk zu verbreiten.

Hier kann eine Mikrosegmentierungslösung wie Illumio Ihnen helfen, diese anfälligen Teile Ihres Netzwerks zu sichern. Unabhängig davon, wo eine Sicherheitsverletzung stattfindet, wird die Mikrosegmentierung verhindern, dass sie kritische Ressourcen erreicht, die Sie segmentiert haben. Der Verstoß wird auf die andere Seite dieses Segments isoliert, sodass er keinen weiteren Schaden anrichten kann.

4. Kennzeichnen Sie Workloads nach Geschäftsfunktionen, nicht nach Netzwerkadressen.

In den modernen Netzwerken von heute werden Workloads in einer hybriden Multi-Cloud-Architektur bereitgestellt. Dadurch werden Netzwerkadressen kurzlebig. Die Netzwerkadresse eines Workloads kann sich je nach zugrunde liegender Hosting-Umgebung dynamisch ändern.  

Deshalb sollten Sie Workloads mit für Menschen lesbaren Bezeichnungen anstatt mit herkömmlichen IP-Adressen kennzeichnen. Mit einer Lösung zur Eindämmung von Sicherheitsvorfällen wie Illumio können Sie Workloads anhand ihrer Geschäftsfunktion oder ihres Eigentümers identifizieren – beispielsweise anhand ihrer Rolle, Anwendung, Umgebung, ihres Standorts, Betriebssystems oder ihrer Geschäftseinheit – was wesentlich aussagekräftiger ist als die Verwendung
IP-
.Die Beschriftungswerkzeuge von Illumio können:

  • Dynamisches Ändern von Workload-Bezeichnungen
  • Importieren von Beschriftungen aus vorhandenen Beschriftungsstrukturen, z. B. einer Konfigurationsmanagement-Datenbank (CMDB)
  • Empfehlen von Bezeichnungen basierend auf Anwendungen und Datenverkehr, die in verwalteten Umgebungen erkannt werden
Illumio bietet einen strukturierten Satz von Labels in einfacher Sprache, um Kontext für jeden Workload bereitzustellen und das Verständnis und die Anwendung von Richtlinien zu erleichtern.

Durch die Verwendung von menschenlesbaren Bezeichnungen erhalten Sie eine metadatengesteuerte Lösung, mit der Sie sehen können, wie Segmente zwischen Workloads erzwungen werden, die vollständig von der Netzwerkadresse entkoppelt ist.

5. Entscheiden Sie sich für einen agenten- und agentenlosen Ansatz

Beim Aufbau einer Mikrosegmentierung ist es wichtig zu verstehen, wann ein agentenloser oder agentenloser Ansatz am besten funktioniert. Einige Lösungen wie Illumio geben Ihnen die Wahl zwischen der Verwendung von Agenten oder nicht, so dass Sie Transparenz und Segmentierung über alle Workloads in jeder Umgebung erhalten.  

Agenten-Ansatz

Der Illumio Virtual Enforcement Node (VEN)-Agent sammelt Telemetriedaten über die Anwendungsnutzung auf und zwischen Workloads. Auf diese Weise können Sie den Zugriff auf Segmente direkt an der Arbeitslast steuern.

Agentenloser Ansatz

Illumio kann auch die Verwendung von Segmenten ohne Agenten erkennen und durchsetzen.  

Dies ist entscheidend in Umgebungen, die Agenten nicht unterstützen können, wie z. B. IoT-Geräte in der Fertigungs- oder Gesundheitsbranche. Dies ist auch in Umgebungen von entscheidender Bedeutung, in denen Agents aufgrund von Complianceanforderungen nicht verwendet werden können.  

  • In einem Rechenzentrum: Illumio kann Netzwerk-Switches absichern, die vor Geräten eingesetzt werden, die keine Agenten unterstützen. Illumio erfasst Netzwerktelemetriedaten von den Switches und wandelt labelbasierte Richtlinien in Zugriffslisten um, die von den Switches verwendet werden können.
  • In der Cloud: Illumio kann das Anwendungs- und Netzwerkverhalten ohne Agenten erfassen. Die bezeichnungsbasierte Richtlinie wird konvertiert und auf vorhandene Netzwerkdurchsetzungspunkte angewendet, die sich bereits in der Cloud befinden.

6. Beginnen Sie mit einem Denylist-Modell und wechseln Sie dann zu einem Positivlistenmodell

Eine häufige Herausforderung für Teams beim Aufbau von Mikrosegmentierung besteht darin, dass sie die Ports kennen, die sie verweigern möchten, aber nicht alle Ports vollständig verstehen, die sie für Anwendungen zulassen müssen.

Ransomware nutzt häufig Ports wie Remote Desktop Protocol (RDP) und Server Message Block (SMB), um sich zwischen Workloads und Segmenten zu bewegen. Wir wissen aber, dass diese Ports zwischen den Workloads nur selten geöffnet sein müssen.  

Deshalb ist es am besten, mit einem Denylist-Modell zu beginnen. Blockieren Sie nur die Ports, von denen Sie wissen, dass sie nicht geöffnet sein sollten, und lassen Sie alle anderen zu. Sobald Sie ein umfassendes Verständnis davon haben, welche Ports die Anwendungen benötigen, können Sie auf ein Zulassungslistenmodell umstellen.

Halten Sie nur die benötigten Ports offen und blockieren Sie alle anderen. Dieser Ansatz ermöglicht es Ihnen, bereits heute mit dem Aufbau einer Mikrosegmentierung nach Ransomware zu beginnen und die Richtlinien zu verschärfen, wenn Sie bereit sind.  

7. Modellieren von Richtlinien vor der Bereitstellung

Cybersicherheit beruht seit langem auf einem Deploy-and-Pray-Ansatz. Sicherheitsteams erstellen ein Richtlinienmodell und ändern es, bis es korrekt aussieht. Wenn es dann bereitgestellt wird, beten sie, dass das Telefon nicht aufgrund fehlerhafter Anwendungsabhängigkeiten klingelt.

Aus diesem Grund ist es am besten, Ihre Richtlinie zu testen, bevor sie vollständig bereitgestellt wird. Mit Illumio können Sie Richtlinien erstellen und diese dann in den Überwachungsmodus versetzen. Dadurch werden alle Probleme hervorgehoben, die die Richtlinie nach der Bereitstellung verursachen könnte, damit Sie sie beheben können, bevor sie den Betrieb unterbrechen.  

Die Modellierung stellt sicher, dass Ihre Richtlinie sicher bereitgestellt werden kann, ohne dass das Risiko besteht, dass Anwendungsabhängigkeiten versehentlich unterbrochen werden.  

8. Erweitern Sie die konsistente Segmentierung in der hybriden Multi-Cloud

Wenn Sie eine Lösung verwenden, die nur im Rechenzentrum eine Segmentierung realisieren kann, ist es unwahrscheinlich, dass Sie in anderen Umgebungen wie der Cloud eine konsistente Sicherheit erreichen.

Die Segmentierung sollte niemals von einer einzigen Umgebung abhängig sein. Dies wird zu einem isolierten Segmentierungsansatz führen, der lediglich Schwachstellen hinterlässt und es erschwert, Sicherheitslücken zu schließen und einzudämmen.

Stattdessen muss die Mikrosegmentierung der Arbeitslast bei der Migration zwischen verschiedenen Umgebungen folgen. Dadurch wird sichergestellt, dass die Segmentierung nicht unterbrochen wird, wenn Workloads in unterschiedlichen Umgebungen ausgeführt werden.

Mit Illumio können Sie eine konsistente Segmentierungsrichtlinie für Ihre Cloud-, Endpunkt- und Rechenzentrumsumgebungen erstellen. Dies ermöglicht die Migration von Arbeitslasten zwischen Umgebungen mit einem einheitlichen Mikrosegmentierungsmodell, das in der gesamten Architektur gleich funktioniert.  

9. Automatisieren Sie Sicherheitsänderungen, ohne sich auf menschliche Entscheidungen verlassenzu müssen

Malware verbreitet sich schneller, als ein Mensch auf einer Tastatur tippen kann. Es ist von entscheidender Bedeutung, eine Mikrosegmentierungslösung zu haben, die Richtlinienänderungen so schnell automatisieren kann, wie sich eine Sicherheitsverletzung ausbreiten kann.

Mithilfe der umfangreichen Bibliothek der Illumio-APIs können Sie Illumio in Ihre SOAR-Lösung integrieren. Das SOAR-Tool erkennt offene Ports, die Schadsoftware zur Verbreitung im Netzwerk nutzt. Anschließend sendet das Tool einen API-Aufruf an Illumio, um gefährdete Ports sofort zu schließen.  

All dies geschieht, ohne auf menschliches Eingreifen angewiesen zu sein.  

10. Weisen Sie nach, dass die Sicherheit konform ist

Die Quantifizierung von Risiken kann eine Herausforderung sein, da die Sicherung von Anwendungen und Segmenten viele bewegliche Teile umfassen kann. Während eines Audits ist es nicht immer einfach, sich ein klares Bild von den bestehenden Risiken zu machen und zu zeigen, wie sie nach der Anwendung von Sicherheitsrichtlinien gesenkt werden. Es ist wichtig, Tools zu verwenden, die dies vor und nach dem Vergleich zeigen.

Mit den Vulnerability Maps von Illumio können Sie das Risiko mit einem Score quantifizieren, der die von Illumio und externen Scannern entdeckten Risiken kombiniert. Das Tool empfiehlt dann eine geänderte Richtlinie, die das Risiko reduziert.  

Auf diese Weise erhalten Auditoren eine klare Vorher-Nachher-Bewertung für das Gefährdungsrisiko einer Umgebung und eliminieren so das Rätselraten Ihres Teams bei der Einhaltung der Vorschriften.  

Möchten Sie mehr über Illumio erfahren? Kontaktieren Sie uns noch heute für eine kostenlose Beratung und Demo.

Verwandte Themen

Mikrosegmentierung

Verwandte Artikel

Top-Nachrichten zur Cybersicherheit vom Juli 2025
Segmentierung

Top-Nachrichten zur Cybersicherheit vom Juli 2025

Erfahren Sie, warum Security Graphs die Zukunft der Cyberabwehr sind, was der Salt Typhoon-Angriff für die nationale Sicherheit bedeutet und wie Illumio als Finalist des CRN Award Innovationen vorantreibt.

Mehr lesen
Ein Leitfaden für Architekten zum Einsatz von Mikrosegmentierung: Auswirkungen der Änderung des Sicherheitsmodells
Segmentierung

Ein Leitfaden für Architekten zum Einsatz von Mikrosegmentierung: Auswirkungen der Änderung des Sicherheitsmodells

Wie wirkt sich die Implementierung der Mikrosegmentierung auf Ihr Unternehmen aus? Erfahren Sie mehr über die Auswirkungen einer Änderung Ihres Sicherheitsmodells.

Mehr lesen
5 Gründe, warum DevOps Mikrosegmentierung lieben wird
Segmentierung

5 Gründe, warum DevOps Mikrosegmentierung lieben wird

Wenn die Segmentierung über dieselben Metadatenquellen wie die Anwendungsautomatisierung ausgeführt wird, ist es für DevOps-Teams einfach, die Segmentierung in automatisierte Workflows zu integrieren.

Mehr lesen
10 Gründe, Illumio für die Segmentierung zu wählen
Segmentierung

10 Gründe, Illumio für die Segmentierung zu wählen

Erfahren Sie, wie Illumio die Segmentierung als Teil Ihrer Zero-Trust-Sicherheitsstrategie intelligenter, einfacher und stärker macht.

Mehr lesen
Warum es kein Zero Trust ohne Mikrosegmentierung gibt
Segmentierung

Warum es kein Zero Trust ohne Mikrosegmentierung gibt

Erfahren Sie vom Erfinder von Zero Trust, John Kindervag, warum Mikrosegmentierung für Ihr Zero-Trust-Projekt unerlässlich ist.

Mehr lesen
John Kindervag erzählt die Entstehungsgeschichte von Zero Trust
Segmentierung

John Kindervag erzählt die Entstehungsgeschichte von Zero Trust

Erfahren Sie, wie John Kindervag mit Zero Trust begann, seine frühen Forschungen zu Zero Trust Best Practices und seine Ratschläge für Unternehmen auf ihrem Weg zu Zero Trust.

Mehr lesen

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren