Rückblick auf den Breakfast Event: Zonierung mittels Microsegmentation (5.12.2017, Zürich)

Am 5.12.2017 haben 15 ICT-Vertreter aus Industrie, Banken, Versicherungen und der Bundesverwaltung das hochaktuelle Thema Microsegmentation zusammen mit unseren atrete Consultants vertieft. Dabei standen in der von Michael Kaufmann moderierten Veranstaltung die folgenden Fragen im Raum:  

  1. Brauche ich mit Microsegmentation überhaupt noch ein Zonenkonzept?
  2. Gibt mir Microsegmentation mehr Flexibilität oder macht es alles komplizierter?
  3. Ist Microsegmentation bereits marktreif?

 

Adrian Schmidlin führte in einem spannenden Eingangsreferat ins Thema ein. Dabei stellte er klar, dass ein Zonenkonzept die Grundlage ist, auf deren die Anforderungen an Microsegmentation für eine Umsetzung diskutiert werden können.  Mittels Microsegmentation kann der Schutz durch eine feingranulare Segmentierung und Kontrolle erhöht werden. Die dadurch weiter erhöhte Komplexität kann durch Standardisierung und Automatisierung (SDx und zentralisierte Controller) verringert werden. Weiter resümierte er, dass Microsegmentation zusammen mit Netzwerk-Virtualisierung einhergeht und die Zonenbildung weitgehend von der Netzwerktopologie entkoppelt wird. 

 

Das nächste Referat von Mario Homberger und Stefan Müller zeigte die verfügbaren Modelle für die Umsetzung von Microsegmentation auf. Die Modelle reichen dabei von der Vollintegration ins Hypervisor Management, einer Kombination mit virtuellen 3rd Party Firewalls, bis hin zu Agent-basierten Lösungen. Welches Modell für den jeweiligen Einsatz das richtige ist, hängt sehr von den Anforderungen und der Umgebung ab. Modelle werden oft auch in einer Mischform eingesetzt. Dazu wurden auch gleich noch ein paar Lösungen vorgestellt, u.a. Cisco ACI, Palo Alto VM-Series, Checkpoint, Illumio und die Lösung des Start-ups ShieldX mit seiner Cloud-native Lösung. 

 

Die Teilnehmer diskutierten danach aufgrund von vorgegeben Fragestellung an drei Tischen zum Thema. Es wurden bei dieser durch die Referenten moderierten Tischdiskussion interessante Aussagen erarbeitet zu Organisation, Technik, Sicherheit und Betrieb. Durchgehend einig waren sich die Teilnehmer zu folgenden Punkten: 

a) Die Sicherheit muss erhöht werden 

b) Die zukünftige Organisation muss näher zusammenrücken 

c) Eine Automatisierung ist anzustreben, damit der Betriebsaufwand bei der höheren Komplexität unter  

     Kontrolle bleibt.  

 

Zum Schluss wurden die Eingangsfragen im Referat von Manuel Zoro beantwortet:  

1. Brauche ich mit Microsegmentation überhaupt noch ein Zonenkonzept?  

Es braucht weiterhin ein übergeordnetes Zonenkonzept für Vorgaben und Platzierungen. Dieses soll jedoch «Instanzierung» von Zonen/Microsegmenten vorsehen (d.h. grössere Anzahl). Klassische Netzwerkzonen werden, aktuell, für Systeme ausserhalb des DC weiter benötigt (Bsp. Clients) 

 

2. Gibt mir Microsegmentation mehr Flexibilität oder macht es alles komplizierter?  

Jein, Verwendung von EPG/SG kann aber den Pflegeaufwand signifikant reduzieren. Ein «Vollausbau» mit klassischen Methoden der Regelverwaltung ist kaum zu bewältigen. Ein beschränkter Einsatz eines feingranularen Regelsets auf einzelne wenige Zonen oder System hilft die Komplexität zu reduzieren.  

 

3. Ist Microsegmentation bereits marktreif?  

Aktuell haben Early Adopters solche Microsegmentation Lösungen erfolgreich implementiert. Eine Gesamtlösung beinhaltet jedoch in der Regel eine Integration mehrerer Systeme und ggf. eine Prozessintegration via API, was die Komplexität stark erhöht. Erfahrungswerte in hoch komplexen Umgebungen sind bisher nur wenige vorhanden. Für einen punktuellen oder spezifischen Einsatz können wir Microsegmentation empfehlen. Das Thema sollte unbedingt in die nächste Überarbeitung des Netzwerkzonierungskonzepts mit einfliessen. 

 

Über atrete: 

at rete ag (atrete) ist eine führende unabhängige ICT Beratungsfirma mit Sitz in Zürich, Schweiz.  

Mehr Informationen dazu unter www.atrete.ch   

weitere Information

Email: info@atrete.ch | Tel: +41 44 266 55 55