Mikrosegmentierung
Warum wir Mikrosegmentierung brauchen
Betrachten Sie dieses gängige Beispiel: Ein U-Boot verwendet eine in Abteilungen unterteilte Struktur, um im Falle eines Lecks seetüchtig zu bleiben. Wenn es zu einem Bruch kommt, bleibt dieser auf die einzelne Kammer beschränkt, in der er aufgetreten ist. Einfach ausgedrückt: Das U-Boot sinkt nicht, weil das Schiff in Abteilungen unterteilt ist (oder segmentiert).

Im Zusammenhang mit Ihren IT-Umgebungen verhindert die Mikrosegmentierung, dass sich Angreifer oder Bedrohungen in Rechenzentren, Clouds oder Campusnetzwerken ausbreiten oder seitlich verschieben. Eine Bedrohung wird durch die eingerichtete Mikrosegmentierungsrichtlinie eingedämmt, so dass Angreifer nicht in andere Teile einer Umgebung eindringen können. Kleine Sicherheitsvorfälle werden eingedämmt. Dadurch sind Unternehmen besser vor Sicherheitsverletzungen geschützt.
Vorteile der Mikrosegmentierung
- Reduzieren Sie die Angriffsfläche: Verschaffen Sie sich einen vollständigen Überblick über die Netzwerkumgebung und kontrollieren Sie den seitlichen Kommunikationszugang, um Angriffsmöglichkeiten zu verringern.
- Erreichen Sie die Einhaltung gesetzlicher Vorschriften: Isolieren Sie Systeme mit gesetzlichen Auflagen, um granulare Richtlinienkontrollen für die Einhaltung von Vorschriften zu ermöglichen.
- Verbessern Sie die Eindämmung von Sicherheitsverletzungen: Überwachen Sie den Datenverkehr anhand von Sicherheitsrichtlinien und kontrollieren Sie seitliche Bewegungen, um den Umfang von Sicherheitsverletzungen und die Reaktionszeit zu verringern.
Wie funktioniert die Mikrosegmentierung?
Die Mikrosegmentierung verwendet den Host-Workload anstelle von Subnetzen oder Firewalls. Jedes Workload-Betriebssystem im Rechenzentrum oder Cloud enthält eine native Stateful-Firewall, z. B. iptables in Linux oder Windows Filtering Platform in Windows.
Diese Host-basierte Segmentierung nutzt Workload-Telemetrie, um eine Karte von Cloud und On-Premise-Rechenumgebungen und Anwendungen zu erstellen. Die Karte wird verwendet, um zu visualisieren, was geschützt werden muss, und um automatisierte Segmentierungsrichtlinien mit von Menschen lesbaren Bezeichnungen - nicht IP-Adressen oder Firewall-Regeln - zu erstellen.
Mikrosegmentierung geht über die traditionelle Segmentierung hinaus
Andere herkömmliche Ansätze zur Segmentierung umfassen das Verlassen auf das Netzwerk selbst, indem VLANs oder Subnetze erstellt werden, Hardware-Firewall-Appliances eingesetzt werden oder die Segmentierung des Netzwerks mit Hilfe von Software-definierten Netzwerken versucht wird. Diese Lösungen sind durch Netzwerkkonstrukte und IP-basierte Regeln eingeschränkt, die umständlich, manuell und fehleranfällig sind. Alles in allem sind herkömmliche Lösungen grundsätzlich unzureichend, wenn es darum geht, die Granularität und Flexibilität zu erreichen, die erforderlich sind, um die Anforderungen an die Verhinderung bösartiger Aktivitäten und lateraler Bewegungen in der heutigen dynamischen Bedrohungslandschaft zu erfüllen. Die Mikrosegmentierung verbessert die herkömmlichen Methoden und erweitert die Segmentierung auf Cloud workloads und Container sowie auf das lokale Rechenzentrum workloads , um der heutigen hybriden IT Rechnung zu tragen.
Wer muss Netzwerke oder Umgebungen segmentieren?
Unternehmen müssen eine Mikrosegmentierung einrichten, um ihre Umgebungen vor Angriffen zu schützen, indem sie die seitliche Bewegung von Angreifern einschränken. Zwei Hauptbeispiele für die Notwendigkeit der Mikrosegmentierung sind:
Organisationen, die auf die Einhaltung von Vorschriften achten: Organisationen des Gesundheitswesens müssen beispielsweise PHI-Daten schützen und dabei die Rahmenwerke für die Einhaltung der Cybersicherheit im Gesundheitswesen einhalten. Es gibt gemeinsame Sicherheitsrahmen, die Organisationen des Gesundheitswesens und ihren Anbietern dabei helfen, ihre Sicherheit und Konformität auf einheitliche und rationalisierte Weise nachzuweisen. Zu den wichtigsten Sicherheitskontrollen, die implementiert werden müssen, gehören die Segmentierung oder Trennung von Netzwerken, die Isolierung sensibler Systeme, die genaue Zuordnung und die Kontrolle von Netzwerkverbindungen.
Sicherheitsbewusste Organisationen: So verlangen die PCI-Konformitätsstandards von Händlern und anderen Unternehmen einen sicheren Umgang mit Kreditkartendaten, um die Wahrscheinlichkeit von Datenschutzverletzungen bei sensiblen finanziellen Kontoinformationen der Karteninhaber zu verringern. Zu den Maßnahmen zur Einhaltung des Payment Card Industry Data Security Standard(PCI DSS) gehört die Segmentierung des Netzwerks, um die Systemkomponenten innerhalb einer Karteninhaberdaten-Umgebung (CDE) zu isolieren.
Merkmale der Mikrosegmentierung
Sichtbarkeit: Die Mikrosegmentierung beginnt mit einer Karte der Anwendungsabhängigkeit in Echtzeit, die die Kommunikation zwischen allen Cloud und dem Rechenzentrum workloads sowie den Anwendungen und Prozessen, die sie umfassen, visualisiert. Diese Transparenz dient als Basis für die Konnektivität einer Anwendung und ist die Grundlage für die Erstellung und Prüfung von Mikrosegmentierungsrichtlinien.
Einfach zu verwendende Kennzeichnungen: Die Segmentierung stützt sich traditionell auf IP-Adressen oder Firewall-Regeln, aber um die Effektivität zu erhöhen, stützt sich die Mikrosegmentierung stattdessen auf Bezeichnungen. Labels sollen die Segmentierung mit Hilfe der normalen IT-Sprache (AKA "human-readable labels") vereinfachen, z. B. durch Verwendung des Anwendungsnamens, des Stadiums im Entwicklungszyklus, des Standorts und der Rolle des Workloads. Diese mehrdimensionalen Beschriftungen werden an workloads angehängt, um eine kontextbezogene Karte der Anwendungsabhängigkeit zu erstellen, in der workloads auf der Grundlage ihrer Beschriftungssätze gruppiert wird. Diese visuelle Karte mit leicht verständlichen Bezeichnungen erleichtert die Zusammenarbeit zwischen Anwendungseigentümern, Sicherheit, IT-Betrieb und Compliance. Beschriftungen werden in der Regel aus Konfigurationsmanagement-Datenbanken (CMDBs), IP-Adressmanagement-Tools (IPAM) und Orchestrierungs-Tools importiert.
Automatisierte Segmentierung: Die Mikrosegmentierung verwendet die Map und die Labels, um automatisch granulare Whitelist-Segmentierungsrichtlinien für den Datenverkehr auf Umgebungs-, Anwendungs- und Rollen-/Tier-Ebene zu erstellen. Sie gleicht historische Verbindungen, die Prozesse, mit denen diese Ströme kommunizieren, und Workload-Labels ab, um automatisch Richtlinien zur Kontrolle des Datenverkehrs innerhalb und zwischen Anwendungen zu erstellen. Die Benutzer wählen lediglich die Granularität (oder den Grad der Einschränkung) der gewünschten organisatorischen Mikrosegmentierungsrichtlinie aus.
Minderung von Schwachstellenrisiken: Eine gewisse Mikrosegmentierung kann das Risiko von Softwareschwachstellen verringern. Der Ost-West-Workload-zu-Workload-Verkehr innerhalb Ihrer Rechenzentrums- und Cloud -Umgebungen stellt eine massive Angriffsfläche dar. Mikrosegmentierung, die mit Plattformen zur Verwaltung von Schwachstellen integriert werden kann, um die Anwendung workloads und die damit verbundenen Softwareschwachstellen über eine Schwachstellenkarte zu visualisieren. Diese Karte zeigt die potenziellen seitlichen Pfade eines Angreifers an. Nicht alle erkannten Schwachstellen können sofort durch Patches behoben werden. Die Sichtbarkeit des Datenverkehrs durch Mikrosegmentierung und die Daten über Sicherheitslücken von Drittanbietern werden verwendet, um dynamische Mikrosegmentierungsrichtlinien zu erstellen, die als kompensierende Kontrollen für ungepatchte workloads dienen.
Arten der Mikrosegmentierung
Anwendungssegmentierung: Diese Art der Segmentierung schützt hochwertige Anwendungen durch Umzäunung, um die sensible Ost-West-Kommunikation zwischen Anwendungen zu kontrollieren, die auf Bare-Metal, Hypervisoren oder in Containern workloads innerhalb oder zwischen privaten Rechenzentren, öffentlichen Clouds und hybriden Clouds unter Verwendung von Mikrosegmentierung ausgeführt werden.
Unternehmen müssen hochwertige Anwendungen schützen, die kritische Dienste bereitstellen, sensible Daten oder personenbezogene Daten enthalten oder durch Compliance-Vorschriften wie PCI DSS, HIPAA und SOX geregelt sind. Die Segmentierung von Anwendungen ist ein wirksames Mittel, um dies zu erreichen.
Segmentierung der Umgebung: Diese Art der Mikrosegmentierung trennt Softwareentwicklungsumgebungen wie Entwicklung, Staging, Test und Produktion von der Kommunikation untereinander. Herkömmliche Netzwerklösungen für die Segmentierung erschweren dies, da Ressourcen dynamisch über heterogene Rechenzentren sowie öffentliche und hybride Cloud Umgebungen verteilt ist.
Segmentierung auf Anwendungsebene: Wir sehen oft N-Tier-Anwendungen mit Web-, Anwendungs- und Datenbank-Tiers, die Unternehmen durch Segmentierung voreinander schützen möchten. Die Mikrosegmentierung auf Anwendungsebene unterteilt workloads nach Rollen, um seitliche Bewegungen zwischen den Schichten zu verhindern, es sei denn, sie sind ausdrücklich genehmigt. Beispielsweise würden Segmentierungsrichtlinien es der Verarbeitungsebene erlauben, nur mit der Datenbankebene zu kommunizieren, nicht aber mit dem Load Balancer oder der Web-Ebene, wodurch die Angriffsfläche verringert wird.
Prozessbasierte Nanosegmentierung: Dies ist die granularste Segmentierung, die es gibt. Sie erweitert die Segmentierung auf Anwendungsebene bis hinunter zum Prozess oder Dienst, der auf workloads läuft. Es werden nicht nur die workloads Schichten eingeschränkt, sondern nur ein bestimmter Dienst oder Prozess darf zwischen workloads kommunizieren. Im obigen Beispiel kann die Verarbeitungsebene nur mit der Datenbankebene kommunizieren, und nur MySQL kann über 3306 zwischen den workloads kommunizieren. Alles andere ist blockiert.
Benutzersegmentierung: Diese Art der Segmentierung schränkt die Sichtbarkeit von Anwendungen durch Gruppenmitgliedschaften in Microsoft Active Directory ein. Die Benutzersegmentierung wird auf der Grundlage der Identität des Benutzers und der Gruppenmitgliedschaften durchgesetzt - ohne Änderungen an der Infrastruktur. Benutzer in einem Netzwerk können versuchen, eine Verbindung zu einer beliebigen internen Anwendung herzustellen und so möglicherweise in das Rechenzentrum workloads eindringen, das sensible Daten enthält, indem sie gestohlene Anmeldeinformationen verwenden oder mit Brute-Force-Methoden an schwachen Passwörtern vorbeikommen oder eine Sicherheitslücke ausnutzen. So können beispielsweise zwei Benutzer im selben VLAN unterschiedliche Richtlinien haben und sich nur mit den Anwendungen verbinden, für die sie eine Zugriffsberechtigung haben.
MEHR ERFAHREN
Entdecken Sie, wie Illumio Zero Trust Segmentation einen konsistenten Ansatz zur Mikrosegmentierung über die gesamte hybride Angriffsfläche bietet - von MultiCloud über das Rechenzentrum bis hin zu entfernten Endpunkten und von der IT bis zur OT.