consigliere of your IT administrationABOVE IT
Abonnieren Sie unseren Newsletter

Mikrosegmentierung – kleine Netzwerke, aber große Sicherheit

Die Segmentierung von lokalen Netzwerken ist ein Bereich der IT-Sicherheit, über den zu wenig gesprochen wird. Mikrosegmentierung mag technisch zu schwierig erscheinen, um sie umzusetzen. Andererseits, da Dienste in die Cloud verlagert werden, könnte man meinen, dass eine Organisation nichts weiter als eine Internetverbindung benötigt. Warum ist es also wichtig, noch über die Mikrosegmentierung von Netzwerken zu sprechen? Der ‚Consigliere‘ von Above IT Oy, Matias Haapaniemi, hat sich in seinem aktuellen Blogbeitrag diesem zu wenig beachteten Thema gewidmet. Lesen Sie also weiter!

Wenn eine Firewall allein nicht mehr ausreicht

Traditionell werden Unternehmensnetzwerke durch eine Firewall am Netzwerkrand geschützt, die wie ein starkes Burgtor funktioniert. Sie lässt nur den erlaubten Datenverkehr herein und heraus. Doch was passiert, wenn ein Angreifer irgendwie in die Burgmauern gelangt? Stellen Sie sich eine Situation vor, in der ein Mitarbeiter auf einen Link in einer Phishing-Nachricht klickt und versehentlich Malware auf seinem Computer installiert. Der Angreifer befindet sich nun innerhalb des Netzwerks, hinter der Firewall. Ohne interne Beschränkungen kann sich diese Malware schnell im gesamten lokalen Netzwerk verbreiten. Die Situation ist vergleichbar mit einem Bürogebäude, in dem nur die Außentür verschlossen ist. Sobald man drinnen ist, sind alle Räume und Bereiche ohne Einschränkungen frei zugänglich.

Was ist Mikrosegmentierung?

Mikrosegmentierung bedeutet, ein Netzwerk in kleinere, isolierte Teile zu unterteilen, von denen jeder separat geschützt wird. Diese Strategie schafft im Netzwerk quasi mehrere „Fächer“ und „Innentüren“, die die laterale Bewegung eines potenziellen Angreifers im lokalen Netzwerk einschränken. Selbst wenn es gelingt, in einen Teil des Netzwerks einzudringen, kann der Angreifer von dort aus nicht so leicht in andere Teile vordringen. Schäden können auf nur einen Teil des Netzwerks isoliert werden. Mikrosegmentierung hat sich auch für kleine und mittlere Unternehmen zu einer wichtigen Sicherheitsmethode entwickelt, da in modernen Netzwerken eine herkömmliche Firewall am Netzwerkrand allein nicht mehr ausreicht, um Bedrohungen unter Kontrolle zu halten.

Layer-2-Segmentierung mittels VLANs

Die Netzwerksegmentierung kann auf verschiedenen Ebenen implementiert werden. Layer-2-Segmentierung bedeutet Segmentierung auf der Datenverbindungsschicht, d.h. praktisch die Isolierung von Geräten in ihren eigenen lokalen Netzwerken auf Switch- und MAC-Adressenebene. Mithilfe von VLANs (Virtual Local Area Network) können Geräte, die physisch mit demselben Switch verbunden sind, logisch in verschiedene Netzwerksegmente unterteilt werden, als ob sie sich in verschiedenen Switches befänden. Zum Beispiel können alle Bürodrucker in VLAN 10 und die Computer der Mitarbeiter in VLAN 20 platziert werden. Obwohl sie physisch mit demselben Netzwerkgerät verbunden wären, gehören sie nicht zum selben „lokalen Netzwerk“ und können ohne eine Firewall nicht direkt miteinander kommunizieren.

Welche Arten von VLANs sollte ein Unternehmen haben?
Es hängt stark von den Organisationen ab, aber hiermit können Sie zumindest beginnen:

  • Arbeitsplatznetzwerk
  • Servernetzwerk
  • Management-Netzwerk für IT-Dienste
  • Gästenetzwerk
  • IoT-Gerätenetzwerk

In Cisco Meraki Netzwerken wird die VLAN-basierte Mikrosegmentierung am besten durch adaptive Richtlinien erreicht, die mit ihrer dynamischen Funktionalität die Architektur von der traditionellen VLAN-Definition auf die nächste Ebene heben.

ZTNA-Produkte als Unterstützung für die Mikrosegmentierung

Die Layer-2-Segmentierung (VLANs) schafft eine gute „Raumaufteilung“ im internen Netzwerk, aber die Beschränkung des Zugriffs von Benutzern und Geräten basierend auf Personen- und Gerätekennungen wird durch Zero Trust Network Access (ZTNA)-Lösungen erleichtert. Stellen Sie sich ZTNA als ein identitätsbasiertes, verschlüsseltes Overlay-Netzwerk vor, dessen Datenverkehr nur dann und dorthin fließt, wo der Zugriff explizit gewährt wurde. „Vertraue niemandem, überprüfe immer“ beschreibt ZTNA sehr treffend.

Mit ZTNA-Produkten kann das lokale Netzwerk von der Gesamtstruktur abstrahiert und die Segmentierung präziser zentralisiert werden. Eine ZTNA-Regel könnte lauten: „Erlaube Matias, sich per RDP mit dem HyperV-Server zu verbinden“, während eine lokale Netzwerkregel lautet: „Erlaube 10.0.20.2, sich mit der IP-Adresse 10.0.10.3 auf Port 3389 zu verbinden“. Bei ZTNA-Produkten werden also keine IP-Adressen berücksichtigt, sondern sie basieren vollständig auf der Identität des Benutzers oder Geräts. ZTNA bietet heutzutage eine erhebliche Unterstützung für die Mikrosegmentierung, da der Netzwerkstandort eines Benutzers am selben Tag Starbucks, Homeoffice, Restaurant, Büro und Hotel sein kann. Mit herkömmlichen Lösungen ist es schwierig, präzise Beschränkungen für Geräte zu erstellen, aber mit ZTNA ist dies nicht einmal eine Herausforderung.

Benötigen Sie Unterstützung oder Sparring, wie Ihre Organisation Mikrosegmentierung oder Zero-Trust-Architektur im Allgemeinen angehen sollte? Als auf Umweltverantwortung spezialisierter Netzwerkexperte von Cisco Meraki und als auf Microsoft-Sicherheitslösungen spezialisierter Partner haben wir die passende Unterstützung für die Lösungsbedürfnisse Ihrer IT-Abteilung. Kontaktieren Sie uns unten, um mehr zu besprechen!

Hae sivuilta:

Auf Seiten suchen: