Mehrschichtige Sicherheit aus Micro-Segmenten, Firewalls und einem Mesh

Regeln für den Datacenter-Verkehr von Nord nach Süd und West nach Ost Mehrschichtige Sicherheit aus Micro-Segmenten, Firewalls und einem Mesh

17.08.2020 Von Trevor Pott* |

Anbieter zum Thema

Dell GmbH

Schneider Electric GmbH

FNT GmbH

Juniper Networks GmbH

„Abstand halten!“ lautet die aktuelle Devise. Dank Mikrosegmentierung ist dies auch digital möglich.

Mikrosegmentierung ist für die Sicherheit des Datenverkehrs in Datacenter-Netzen kein Add-on, keine Nice-to-have-Option, sondern unabdingbar.
(Bild: © Emoji Smileys People - stock.adobe.com)

In jüngster Zeit ist „Social Distancing“ das Gebot – jeder hat sich an den Begriff gewöhnt und was er bedeutet: Abstand halten, um Gefahren zu reduzieren, die die Gesundheit beeinträchtigen würden. Es scheint aber so, dass es eine Reihe von Parallelen zwischen der Epidemiologie und der IT gibt – dazu gehört auch die Idee der „digitalen Distanzierung“. Die Schutzebene in der Technologie ist ein Äquivalent zum Sicherheitsabstand zwischen Menschen (und dessen Einhaltung).

Der Ansatz der Mikrosegmentierung wird beliebter, um eine digitale Distanzierung zu realisieren. Ähnlich wie beim Social Distancing besteht das Konzept darin, unnötige Kontakte so weit wie möglich einzuschränken. Die meisten Rechner und Server müssen nur mit einer sehr begrenzten Anzahl anderer Computer kommunizieren.

Mikrosegmentierung: Whitelist für den Netzwerkverkehr

Bei der Mikrosegmentierung handelt es sich effektiv um eine so genannte „Whitelist“ für den Netzwerkverkehr. Das bedeutet, dass Systeme in einem bestimmten Netzwerk nur mit den Systemen kommunizieren können, die sie wirklich benötigen – und zwar nur auf die Art und Weise, wie sie kommunizieren sollten. Die Kontrolle des Netzwerkverkehrs in und aus einer vorgegebenen Verbindung erhöht die Sicherheit des Rechenzentrums. Das Ziel der Mikrosegmentierung ist letztlich die Umsetzung von Zero Trust.

Anders ausgedrückt: Die Mikrosegmentierung gehört zu den besten Schutzmaßnahmen, die IT-Experten momentan zur Verfügung stehen, um den Datenbestand einer Organisation vor einem lateralen – oder Ost-West – Angriff zu schützen. Da das System nur sehr eingeschränkt mit anderen Rechnern im Netzwerk kommunizieren kann, wird die Möglichkeit, das Netzwerk zu kompromittieren deutlich eingeschränkt.

Zudem lässt sich die Angriffsfläche durch den selektiven Einsatz einer Quarantäne noch weiter einschränken: Kompromittierte Netzwerksegmente werden vollständig gesperrt und eine Ausbreitung so komplett verhindert.

Gibt es die Möglichkeit einer zu weitreichenden Isolierung?

Dies ist eine deutliche Veränderung zum traditionellen Computing, bei dem sich alle Security- und Abwehrmaßnahmen auf das Perimeter konzentrieren, der Rest der IT-Infrastruktur jedoch fast ungeschützt ist. Dieser Ansatz ist ineffektiv und Angreifer haben die seitliche Ausbreitung von einer einzigen Kompromittierung viele Jahre lang ausgenutzt. Daher ist es wichtig, dass auch laterale Security-Maßnahmen implementiert werden, neben der traditionelleren Nord-Süd-Verteidigung.

In fortgeschritteneren Implementierungen geht die Mikrosegmentierung über eine weitere Firewall hinaus, die von einem anderen Team betrieben wird, und fügt Netzwerk-Overlays hinzu. Eine Kombination aus Overlays und ACLs kann den gesamten Verkehr in und aus einem einzelnen System einschränken. Nur Systeme, die legitim Datenströme erhalten sollen, sind in der Lage, ihn zu sehen und darauf zu reagieren.

In Wirklichkeit können die meisten Systeme nicht so weit isoliert werden, dass sie nur in Ost-West-Richtung innerhalb des Rechenzentrums mit Peer-Systemen kommunizieren. Sie müssen ihre regelmäßigen Security-Updates aus einer anderen Quelle beziehen.

Die containerisierte Firewall

Dies kann zum Problem werden, vor allem aus regulatorischer Sicht: Viele Regulierungssysteme erfordern die Isolierung verschiedener Systeme. Wie lässt sich also ein System isolieren, das Segment-übergreifend kommunizieren muss?

Gut konzipierte Mikrosegmentierungssysteme bieten die Möglichkeit, virtuelle – oder in zunehmendem Maße containerisierte – Firewalls am Rand eines dedizierten Mikrosegments zu platzieren. Damit passiert jeglicher in das Segment ein- und ausfließende Verkehr diese Firewall.

Dieser Ansatz erlaubt es, ein System so weit wie möglich zu isolieren. Nur Systeme, die unbedingt untereinander kommunizieren müssen, werden an ein bestimmtes Netzwerksegment angeschlossen. Die Firewall erlaubt ein Routing über dieses Segment hinaus.

Das Mögliche und Machbare

Datenverkehr in und aus diesem Segment durch eine Firewall (einschließlich der Prüfung und/oder Filterung aller anderen zur Unterstützung der Verkehrsanalyse notwendigen Netzwerk-Security-Funktionen, die den ein- und ausgehenden Datenverkehr unterstützen) bietet ein zusätzliches – und zunehmend notwendiges – Schutzniveau. Rein mit ACLs und Netzwerk-Overlays ist dies nicht leicht zu erreichen. Werden beide Ansätze kombiniert – das Außenperimeter gemeinsam mit den sorgfältig kuratierten ACLs – bieten sie Workloads einen maximalen Schutz.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Die ACLs beschränken die Kommunikation von und zu einem einzelnen Workload. Die Firewall und weitere fortschrittliche Security-Services am Segmentrand analysieren und beschränken den ein- und ausgehenden Datenverkehr in das Segment. Die Randverteidigungen des Rechenzentrums können jeden Datenstrom untersuchen, der das Rechenzentrum verlässt.

Dadurch entsteht ein mehrschichtiger Sicherheitsansatz, der Workloads vor Bedrohungen schützt, die außerhalb des Rechenzentrums (Data Center Edge Defences), innerhalb des Rechenzentrums, aber außerhalb des eigenen Netzwerksegments des Workloads (Segment Edge Defences) sowie innerhalb des Netzwerksegments selbst (ACLs) entstehen. Sind die Sicherheitskontrollen zu streng, können die verschiedenen Sicherheitsebenen dazu führen, dass IT-Manager mehr Zeit investieren müssen, um herauszufinden welche Security-Ebene eine Anwendung an der Ausführung hindert. Sie sind allerdings eine deutliche Verbesserung zur Herangehensweise eines „harten Äußeren und weichen Kerns“ des traditionellen Computing, das sich rein auf die Verteidigung über den Rechenzentrumsrand verlässt.

Das Flexi-Netz

Die Kombination von ACLs mit Netzwerk-Overlays ermöglicht eine flexible Workload-Verteilung. Dank Netzwerk-Overlays existiert ein Workload überall im Netzwerk, so das Netzwerk-Overlay erreichbar ist. Sind alle Switch-Ports in der Lage, einem Workload die Teilnahme am Overlay-Netzwerk zu erlauben, kann er überall im Netzwerk existieren. So lassen sich Workloads überall dort hinzufügen, wo und wann sie benötigt werden, ohne dass eine nennenswerte Planung notwendig ist.

Die Möglichkeit, einen Server oder eine virtuelle Maschine an einem beliebigen Ort im Netzwerk sicher hinzuzufügen, erhöht die Flexibilität der Workload-Platzierung erheblich. Erfahrungen mit der Mikrosegmentierung zeigen, dass die Akzeptanz häufig an die Popularität verteilter Anwendungen gebunden ist. In einigen Fällen treibt die Nachfrage nach verteilten Anwendungen sogar die Implementierung von Mikrosegmentierung voran. In anderen Fällen öffnet die Mikrosegmentierung die Tür zu verteilten Anwendungen, die vorher aufgrund des wahrgenommenen Risikos nicht in Betracht kamen.

Wie alle Anwendungen verfügen sie über ein unterschiedliches Maß an Ausfallsicherheit. Die weitverbreitete Einführung verteilter Anwendungen kann das Ausmaß eines Switch-Ausfalls vergrößern. Der Grund: Der Switch hostet Teile mehrerer Anwendungen oder Services. Vor diesem Hintergrund ist aktive Redundanz in der IT immer ein guter Plan. Sie gewinnt allerdings eine neue Dringlichkeit, wenn die Mikrosegmentierung ernsthaft eingesetzt wird.

Ein Mesh zur Kostensenkung

Diese Art der Workload-Agilität setzt das Netzwerk-Design unter Druck. Statt eines streng hierarchischen Netzwerks, das für Nord-Süd-Interaktionen ausgelegt ist, gewinnt der Ost-West-Verkehr an Bedeutung; vermaschte Netzwerke werden immer beliebter.

Während der Übergang zwischen diesen beiden Design-Philosophien oft eine Anpassungsphase erfordert, können Mesh-Netzwerk-Designs die Kosten senken. Sie ermöglichen eine organischere Kapazitätserweiterung, ohne dass Core Switches benötigt werden, die in der Lage sind, praktisch den gesamten Ost-West-Verkehr völlig eigenständig abzuwickeln.

Architektur und Planung sind der Schlüssel zu einer erfolgreichen Implementierung von Mikrosegmentierung. Unternehmen, die bislang noch nicht darauf setzen, sollten zunächst ihre Infrastruktur so ausbauen, dass sie eine höhere Anzahl von Mikrosegmenten als geplant unterstützen kann.

Die Möglichkeit für ein neues Paradigma

Häufig wird eine Vielzahl neuer, zuvor nicht eingeplanter Funktionen implementiert. Daher muss gewährleistet sein, dass alle relevanten Komponenten, und die entsprechende Management-Software, entsprechend skalierbar sind.

Netzwerkgeräte, Switches, Router und virtuelle Switches, sind nur begrenzt in der Lage, den Datenverkehr zu filtern, einzuschränken oder zu verkapseln. Deep Packet Inspection (DPI), SSL/TLS-Proxying und eine Reihe anderer Security-Funktionen erfordern es immer noch, dass der Datenverkehr durch leistungsfähigere Abwehrmechanismen, wie eine Enterprise-Firewall geleitet, oder zumindest gespiegelt, wird.

Auch der Verwaltungsaufwand des geplanten Mikrosegmentierungsschemas muss beachtet werden. Wenn der gesamte Netzwerk-Management-Ansatz unterbrochen werden soll, ist es sinnvoll, die gesamte Automatisierung und Orchestrierung in einem Zug anzugehen.

Dann stehen die Chancen aber gut, dass es keine großen Veränderungen im kommenden Jahrzehnt geben wird. Ähnlich wie Versorgungsunternehmen ihre Großprojekte so weit wie möglich koordinieren, ist Mikrosegmentierung die Chance, einen Paradigmenwechsel einzuläuten.

Mikrosegmentierung ist kein Luxus

Es heißt – richtigerweise – dass die Mikrosegmentierung schwierig umzusetzen, schwer zu verwalten und infolgedessen ziemlich kostspielig ist. Diese Einstellung hat sich über einen längeren Zeitraum verfestigt und ist auch heute noch zutreffend, wenn die Mikrosegmentierung nicht umsichtig und sorgfältig umgesetzt wird.

Von erfahrenen Experten geplante Implementierungen sind nicht nur erfolgreich, sondern ermöglichen Organisationen auch, schneller auf unerwartete Veränderungen zu reagieren. Diese wirken sich letztlich auch positiv auf den Umsatz aus.

Compliance ist eine zunehmend wichtigere Überlegung hinsichtlich der Vorteile von Mikrosegmentierung. Sie ist nicht nur wichtig, um Compliance-Richtlinien einzuhalten, in der Regel gilt: Je isolierter und sicherer Unternehmen ihre Arbeit erledigen, desto zufriedener sind die Regulierungsbehörden.

Meine Empfehlung

Unternehmen, die über ein massives, weitläufiges Netzwerk mit einer jahrzehntelangen technischen Verschuldung verfügen, haben oftmals noch keine Mikrosegmentierung eingeführt. Vor der Security-Perspektive aus sollte jedoch kein Unternehmen neue Netzwerke ohne Mikrosegmentierung implementieren. Es handelt sich nicht mehr um eine Nische, sondern um eine Notwendigkeit. Sie sollte als eine grundlegende Fähigkeit sowohl für die Netzwerkagilität als auch für die Informationssicherheit angesehen werden.

Der Kampf von Angreifer und Verteidiger im IT-Bereich nimmt noch lange kein Ende: Die Angreifer werden immer besser und können sich enorm schnell in einem Netzwerk verbreiten. Den Kontakt zwischen Systemen durch digitale Distanzierung zu reduzieren ist eines der offensichtlichen Tools, das Unternehmen zur Verfügung steht. Wenn unvermeidliche Kompromittierungen auftreten, lässt sich so deren Anzahl reduzieren.

Allerdings erfordert Mikrosegmentierung auch funktional eine zentralisierte Management-Plattform. Eine von einer zentralen Verwaltungsplattform orchestrierte Netzwerk-Security gewährleistet, dass sich alle Regeln dafür an einem einzigen Ort befinden.

Auf diese Weise lässt sich einfach und schnell über sie Bericht erstatten, was Prüfungen vereinfacht. Ein einziger Bericht kann dann das eigene Security-Design nachweisen, insbesondere im Falle der Mikrosegmentierung. Es lässt sich die exakte Liste der Einschränkungen des Netzwerkverkehrs untersuchen – von individuellen Workloads bis zum Rechenzentrumsrand, von Edge Computing Workloads und über jede Cloud hinweg.

* Trevor Pott nimmt bei Juniper Networks die Position Technical Security Lead ein.

Artikelfiles und Artikellinks

Link: Klein aber fein: Mehr Sicherheit durch Micro-Segmentierung im Rechenzentrum

Link: SDDC für eine „Zero-Trust“-Sicherheitsstrategie, Mikro-Segmentierung des Datacenter

(ID:46806240)

Merkliste