Klein aber fein Mehr Sicherheit durch Micro-Segmentierung im Rechenzentrum

Netzwerksegmentierung gehört zu den Best Practices, um in Rechenzentren die Angriffsfläche der Netzwerke zu reduzieren. Ähnlich wie die Schotten eines Schiffs bei einem Leck das eindringende Wasser eindämmen, bilden die einzelnen Segmente für Server und Systeme getrennte Zonen, um der Malware von Eindringlingen Einhalt zu gebieten und mögliche Schäden zu begrenzen.

Anbieter zum Thema

Schneider Electric GmbH

Rosenberger-OSI GmbH & Co. OHG

DC-Datacenter-Group GmbH

AlgoSec

Der Trend zu softwaredefinierten Netzwerken (SDNs) steigert die Möglichkeiten, die Organisationen haben, sich durch Micro-Segmentierung einen Sicherheitsvorteil zu verschaffen. Um eine solche in Rechenzentren mit SDNs effektiv zu planen und zu implementieren, müssten Unternehmen jedoch eine durchdachte Strategie verfolgen, damit sie den potenziellen Sicherheitsvorteil nicht verspielen.

Bislang sind die geplanten Strategien allerdings unausgereift. So gilt die unzureichende Netzwerksegmentierung bislang als eine Ursache für eine ganze Reihe großer Datenpannen, von der Attacke auf Target im Jahr 2013 bis hin zum Equifax-Hack.

Segmentierung verbessert einerseits die Sicherheit von Unternehmen; zugleich erhöht sie allerdings vor allem in traditionellen On Premises Datacenter auch die Komplexität und die Kosten. In diesen hardwarebasierten Umgebungen bedeutet die Einrichtung abgeschotteter Bereiche normalerweise, dass zusätzliche Firewall-Appliances (-Geräte) installiert werden müssen, um die Datenströme zwischen den Zonen zu überwachen. Das ist teuer und zeitaufwendig. Deshalb beschränkt sich die Segmentierung in traditionellen Rechenzentren meistens auf einige wenige Untergliederungen.

SDN als Motor der Micro-Segmentierung

Die Untergliederung von Netzwerken wird mittlerweile durch virtualisierte Rechenzentren, die auf anpassungsfähigen SDNs basieren, vorangetrieben. Die Flexibilität ermöglicht eine erweiterte, granulare Zonenbildung, bei der die Netzwerke von Rechenzentren in hunderte oder tausende Microsegmente unterteilt werden. Dies schafft ein Sicherheitsniveau, dessen Umsetzung bislang unerschwinglich war.

Daher überrascht es nicht, wenn der ESG-Analyst Jon Oltsik im vergangenen Jahr berichtete, dass 68 Prozent der Unternehmen eine Technologie für die softwarebasierte Segmentierung einsetzen, um Seitwärtsbewegungen von Hackern bei der Erkundung von Netzwerken einzuschränken und den Schutz der Anwendungen und Daten zu erleichtern. Nachdem SDN die Chancen eröffnet, stellen sich zwei wesentliche Fragen zur Strategie:

• 1. Die Grenzsetzung: Wo sollen die Grenzen zwischen den Microsegmenten im Rechenzentrum gezogen werden?

• 2. Die Verwaltung: Wie können Sicherheitsrichtlinien für jedes Segment der Netzwerkumgebung erstellt und verwaltet werden?

Um reibungslose Abläufe für die Anwendungen zu gewährleisten, wird der Netzwerk- und Anwendungsverkehr im Rechenzentrum die Sicherheitskontrollen zahlreicher Segmente passieren müssen. Die Richtlinien an jedem Kontrollpunkt, die bösartigen Netzwerkverkehr stoppen sollen, müssen die gutartigen Datenströme also zulassen, weil die Anwendung sonst nicht funktioniert. Und je stärker ein Netzwerk untergliedert ist, umso komplexer müssen die Richtlinien sein, wenn sie die Geschäftsanwendungen wirksam unterstützen und illegalen Datenverkehr blocken sollen.

Der erste Schritt: Datenströme werden ermittelt

Mit dem richtigen Ansatz werden diese Herausforderungen deutlich leichter bewältigt. Der erste Schritt muss darin bestehen, alle Anwendungsströme im Rechenzentrum zu ermitteln. Effizient erreichen lässt sich dies mit einer Discovery-Engine, die alle Datenflüsse identifiziert und zusammenfasst, zwischen denen eine logische Verbindung besteht – zum Beispiel solche, die auf gemeinsamen IP-Adressen basieren, was nahelegt, dass sie dieselbe Geschäftsanwendung unterstützen.

Diese Informationen können um zusätzliche Daten ergänzt werden, wie um Label für Geräte- oder Anwendungsnamen, die mit den Datenströmen in Zusammenhang stehen. So entsteht eine vollständige Darstellung aller Datenflüsse, Server und Sicherheitsgeräte im Rechenzentrum, die von den Geschäftsanwendungen benötigen, um richtig zu funktionieren.

Schritt zwei: Segmente werden voneinander abgegrenzt

Auf Basis der Datenstromanalyse wird ein Segmentierungsschema erstellt, um festzulegen, welche Server und Systeme in welcher Netzwerkzone enthalten sein soll. Dazu werden die Server ermittelt und gruppiert, die die gleichen Geschäftsziele oder Anwendungen unterstützen. Diese Server kommunizieren wahrscheinlich regelmäßig miteinander – typischerweise über einen ähnlichen Datenverkehr – und können im gleichen Segment platziert werden, um die Interaktion zwischen ihnen zu erleichtern.

Sobald das Schema steht, werden die Sicherheitsfilter platziert. Dazu ist eine Auswahl der besten Knotenpunkte für virtuelle Firewalls oder ähnliche Sicherheitskontrollen notwendig, um zwischen den Einzelsegmenten sichere Übergänge einzurichten.

Bei der Platzierung von Filtergeräten oder der Aktivierung einer Virtualisierungstechnologie für die Mikrosegmentierung, um zwischen Segmenten eine Grenze zu ziehen, ist zu bedenken, dass bestimmte Daten des segmentüberschreitenden Netzwerkverkehrs diese Grenzen passieren müssen. Deshalb müssen explizite Regeln erstellt werden, um diese Datenflüsse zuzulassen, weil sie anderenfalls blockiert werden und die davon abhängigen Applikationen ausfallen.

Dritter Schritt: Filter zwischen den Segmenten justieren

Um festzustellen, ob bestimmte Regeln hinzugefügt oder geändert werden müssen, und zu klären, wie diese Regeln aussehen sollten, müssen die zuvor identifizierten Datenströme zwischen den Anwendungen darauf geprüft werden, ob sie bereits eine vorhandene Sicherheitskontrolle durchlaufen. Falls sie derzeit keine Kontrolle passieren und ein neues Netzwerksegment erstellt werden soll, ist eine Prüfung notwendig, ob der ungefilterte Datenstrom nach Festlegung der Unterteilung blockiert werden könnte. In diesem Fall wird eine neue, explizite Regel hinzugefügt, damit gutwillige Datensignale die Zone wechseln kann.

Wenn dagegen ein bestimmter Datenstrom bereits gefiltert wird, ist es normalerweise nicht notwendig, zusätzlich einen Filter einzurichten. Der beschriebene Prozess kann so lange wiederholt werden, bis das Netzwerk in eine sinnvolle Anzahl getrennter Bereiche unterteilt und die notwendige Prüfung der Netzwerkbewegungen gewährleistet ist.

Zum Abschluss: Die Micro-Segmentierung ist ganzheitlich zu verwalten

Nach der Implementierung des Segmentierungsschemas muss eine kontinuierliche Evaluation stattfinden, dass das Schema mit der Compliance des gesamten Netzwerks in Einklang steht. Die Datenübertragungen müssen nahtlos durch das gesamte SDN und über lokale sowie Cloud-Umgebungen hinweg fließen können. Daher muss durchgängig dafür gesorgt werden, dass die Richtlinien die Einstellung unterstützen.

Am effektivsten können IT-Teams das erreichen, wenn sie mit einer automatisierten Anwendung arbeiten, die alle Sicherheitskontrollen in der SDN-Umgebung sowie die herkömmlichen, lokalen Firewalls ganzheitlich verwalten. Das gewährleistet, dass die Sicherheitsrichtlinien, die der Segmentierungsstrategie zugrunde liegen, im gesamten Netzwerk konsequent angewandt, verwaltet und zentral überwacht werden können. Zudem sind sämtliche Änderungen zu Auditzwecken nachzuverfolgen.

Netzwerksegmentierung ist eine wirkungsvolle Sicherheitsmaßnahme, die verhindert, dass sich böswillige Akteure ungehindert im Unternehmensnetzwerk Daten ausspionieren und Malware verbreiten können. Software-definierte Netzwerke unterstützen die Unterteilung und Abgrenzung einzelner Netzwerkbereiche, wenn die Implementierung strategisch geplant und umgesetzt wird. In vier klaren Schritten gewinnt die Sicherheit der Firma deutlich, denn manchmal ist klein eben fein.

* Robert Blank ist Regional Sales Manager in der Region Deutschland, Östrreich und Schweiz bei Algosec.

(ID:45767785)