Blog

Mikrosegmentierung: Vorteile und Herausforderungen

In einer sich schnell verändernden digitalen Welt funktionieren die herkömmlichen Netzwerkzonierungen und Segmentierungen nur noch bedingt, da Angreifer ihre Attacken mit ausgefeilten Tools und Techniken ausführen.

von Mario Homberger

Head of cyber security

19. März 2021

Mikrosegmentierung schützt die einzelnen Workloads, sorgt für mehr Transparenz und macht zudem die Compliance einfacher und effektiver. Nebst den technologischen müssen aber auch einige organisatorische Herausforderungen bei der Implementierung beachtet und gemeistert werden.

Wie die letzten Cyber-Vorfälle (u.a. Solarwinds) gezeigt haben, ist es Cyber-Kriminellen mit ihren riesigen Ressourcen möglich, alle Arten von Unternehmen in jeglichen Branchen und unabhängig davon, ob es eine On-Prem oder Cloud Infrastruktur ist, zu kompromittieren. Als Lösung für das Problem wird oft Mikrosegmentierung genannt: Verbesserte Sichtbarkeit der Netzwerk-Verbindungen, Schutz vor APTs (Advanced Persistent Threats), Unterbindung von lateral movement und durchgehende Einhaltung der Compliance.

Was ist Mikrosegmentierung?

Falls Ihnen dieser Begriff, beziehungsweise das Konzept völlig neu ist, möchte ich in diesem Absatz kurz darauf eingehen, was Mikrosegmentierung bedeutet und wie es ein Unternehmen implementieren kann, um die vertraulichen und sensiblen digitalen Assets zu schützen.

In wenigen Worten: Die Mikrosegmentierung ermöglicht es, das Netzwerk sehr feingranular und unabhängig von klassischen Netzwerksegmenten und IP-Adressen, typischerweise bis auf einzelne Workloads, zu unterteilen. Für jedes (Micro)Segment müssen dann Sicherheitskontrollen (Whitelist-Ansatz) definiert werden, die auf den Anforderungen der Datensicherheit basieren.

Traditionell waren Perimeter- und Zonen-Firewalls der primäre Verteidigungsmechanismus, um den unerlaubten Zugriff auf Systeme oder Applikationen zu unterbinden. Veraltete Regeln, Fehlkonfigurationen, offene Ports, wiederverwendete IP-Adressen usw. können es böswilligen Akteuren jedoch ermöglichen, in die Netzwerkinfrastruktur Ihres Unternehmens einzudringen. Das führt zur Kompromittierung wichtiger Anwendungen, Betriebssysteme oder Server und bedroht die Sicherheit der Daten. Bei der Mikrosegmentierung wird die Granularität der Filterung erhöht, es werden virtuelle oder host-based Firewalls für jeden Endpunkt im Netzwerk erstellt. Die gewonnene Transparenz und Möglichkeit, Verbindungen sehr granular zu definieren, unterstützt die Formulierung von strikten und spezifischen Sicherheitsrichtlinien und hilft dabei, die Angriffspunkte zu minimieren und das Ausbreiten im Netz zu erschweren.

Vorteile der Mikrosegmentierung

Es gibt verschiedene Vorteile der Mikrosegmentierung, von denen die wichtigsten im Folgenden aufgeführt sind:

  • Schützt einzelne Workloads: Die Sicherheit durch Mikrosegmentierung reduziert Angriffsflächen und schützt einzelne Anwendungen und Workloads, die auch über verschiedene Infrastrukturen, wie z. B. in einer Multi-Cloud-Umgebung, verteilt sein können. Durch die sehr granulare Einschränkung der Verbindungen kann ein lateral movement verhindert werden.
  • Erhöhte Automatisierung: Automatisierung mit starkem Fokus auf Integration über Schnittstellen (was neue Möglichkeiten der dynamischen Regelbildung ergibt), Zentralisierung und wiederverwendbare Sicherheitsrichtlinienvorlagen (vordefinierte und -bewilligte Verbindungen) sorgen für eine erhebliche Zeitersparnis und verhindern eine Überbeanspruchung von teuren Ressourcen.
  • Vereinfachte Compliance: Die Mikrosegmentierung vereinfacht die Einhaltung von Vorschriften wie PCI-DSS, HIPAA oder GDPR durch eine klare Definition des Anwendungsbereichs und der Möglichkeit, die Segmentierung über alle Environments wie Hybrid- und Multi-Cloud zu forcieren. So entsteht die Möglichkeit, plattformübergreifend auditierbare und automatisierte Prozesse zu implementieren, welche bei Bedarf schnell an neue Compliance Anforderungen angepasst werden können.
  • Infrastruktur-Übergreifende Segmentierung: Die Mikrosegmentierung bietet eine einfache, moderne und sichere Lösung zur Umgebungssegregation, egal wo und auf welcher Infrastruktur ihre Systeme laufen. So können zum Beispiel produktive Daten auf der on-prem Infrastruktur und Systeme von der Entwicklungsumgebung in der Public Cloud sehr granular getrennt werden.
  • Verbesserte Sichtbarkeit: Die Mikrosegmentierung-Tools, welche oft aus Analysetools entstanden und weiterentwickelt wurden, bieten eine zentralisierte, granulare Echtzeit-Transparenz für alle Verbindungen im Netzwerk und reduzieren den Zeitaufwand für die Bewertung und Behebung von Problemen in hybriden Umgebungen. Durch die gewonnene Transparenz können zudem Angriffe schneller erkannt und somit APTs besser abgewehrt werden.

Herausforderungen bei der Implementierung

Die Implementierung von Mikrosegmentierung ist auch mit Herausforderungen verbunden:

  • Anpassung der Infrastruktur: Die Implementierung wird Änderungen an der Netzwerktopologie und -architektur erfordern. Um den finanziellen Aufwand und das Risiko von Ausfällen zu minimieren, ist ein definiertes Vorgehen notwendig, das auf der Analyse der Verkehrsbeziehungen basiert.
  • Anpassung der Prozesse: Sei es der Prozess für neue Systeme oder aber auch der Prozess für den Antrag neuer Verbindungen, es braucht eine gesamtheitliche Sicht und Optimierung der Prozesse. Die Prozesse müssen so weit optimiert und automatisiert sein, dass die zusätzlichen Massnahmen operativ auch umgesetzt werden können. Die teilweise neu benötigten oder neu zugeteilten Rollen müssen vom Management getragen und unterstützt werden. So müssen alle Kommunikationsbeziehungen vom Applikationsverantwortlichen definiert und erfasst werden, was teilweise einen Paradigmenwechsel im Mindset der Mitarbeiter bedeutet – hier können Automatisierung und der Einsatz von entsprechenden Tools helfen.
  • Integration in die bestehende Tool-Landschaft: Die Automatisierung und das Einsetzen entsprechender Tools soll dabei helfen, die zusätzlichen Sicherheitsmassnahmen so einfach wie möglich umzusetzen und die Mitarbeiter bei ihren neuen Aufgaben zu unterstützen. Die Mikrosegmentierung funktioniert nur mit einer guten Orchestration und Integration in die bestehenden Tools über offene Schnittstellen.
  • Lifcyle von Richtlinien: Durch die erhebliche Zunahme von Informationssicherheitsrichtlinien und Security-Policies ist ein entsprechendes Lifecycle-Management erforderlich. Auch hier können die entsprechenden Tools helfen und unterstützen, jedoch müssen die in allenfalls bestehenden Systemen integriert werden.
  • Know-how über die Applikationen: Es ist notwendig, dass die Applikationsverantwortlichen ihre Applikation und vor allem deren Netzwerkverbindungen kennen und verstehen. Es reicht nicht das die Systeme mal bereitgestellt werden und dann anhand der analysierten Verbindungen die entsprechenden Rules erstellt werden. Grundsätzlich gilt, es gibt keine Verbindung, wenn diese nicht vorher definiert wurde. Die Unterstützung erfolgt mit entsprechenden Tools und Analysen, jedoch spielt auch hier der Mindset der Mitarbeiter eine Rolle.

Wie wir Sie unterstützen können

Die Anpassung der Strategie der herkömmlichen Zonierung hin zur Mikrosegmentierung erfordert nicht nur technische Anpassungen und die Einführung von neuen Tools zum Verwalten der hybriden Umgebungen (inkl. bestehenden klassischen Firewalls für Perimeter- oder Clientschutz). Es ist vielmehr eine Anpassung des Mindsets, eine Anpassung der Prozesse wie Systeme und Applikationen bereitgestellt werden, wie Verbindungen beantragt werden, eine Verschiebung von Verantwortlichkeiten und ein Weg in die Automatisierung der Netzwerkinfrastruktur. Es geht darum, den ganzen Lifecycle einer Applikation miteinzubeziehen, von der Entwicklung zum Release bis hin zum Abbau. Es geht um die Orchestration von verschiedenen Infrastrukturen (on-prem, hybrid- oder multi-cloud) und die technologieübergreifende Implementierung von Policies (host-based, network-based, cloud native).

Wie bei jeder technologischen Umstellung müssen jedoch auch bei der Implementierung von Mikrosegmentierung einige technische, administrative sowie operative Hürden überwunden werden – wir können Sie dabei unterstützen.

Mit unserem breiten Know-how und den Erfahrungen aus verschiedenen Projekten bei verschiedenen Firmen können wir Ihrem Unternehmen helfen, die Herausforderungen zu meistern und dank den Vorteilen die Sicherheit zu verbessern. Wir sind in der Lage die richtigen Mitarbeiter entsprechend abzuholen und einzubeziehen, so dass der Wechsel zur Mikrosegmentierung ein Erfolg wird. Nur mit den richtigen Rollen, den richtigen Prozessen, dem entsprechenden Engagement und einem durchdachten Konzept können die zusätzlichen Sicherheitsmassnahmen auch operativ in einem sinnvollen Rahmen betrieben werden.


Zögern Sie nicht, Ihr Vorgehen und Ihre Pläne unverbindlich mit uns zu diskutieren und profitieren Sie von unseren Erfahrungen. Wir unterstützen Sie mit einer umfassenden Beratung, von der Erstellung der Strategie, dem Erstellen eines technischen Konzepts, der Einführung und Projektleitung sowie der Evaluation der entsprechenden Hersteller. Mit unseren verschiedenen Practice Areas unterstützen wir Sie in allen relevanten Bereichen – cyber security, cio advisory, it sourcing, cloud und datacenter & connectivity.