Mikrosegmentierung
Bloß nichts überstürzen
Mikrosegmentierung wird bei Unternehmen jeder Größe immer beliebter, lässt sich die Netzwerksicherheit damit doch nachhaltig erhöhen. Doch eine vorausschauende Planung und Ausführung dieses hochgranularen Ansatzes ist geboten, soll die Unternehmenssicherheit auf lange Sicht davon profitieren.
Ziel einer jeden Netzwerk-Segmentierung ist es, Transparenz und Kontrolle über die Dienste zwischen den verschiedenen Zonen zu erlangen. Auf diese Weise kann man den Zugriff zwischen einzelnen Zonen, die aus Identifikatoren wie IP-Adressen, Subnetzen oder Sicherheitsgruppen bestehen, kontrolliert gewähren und einschränken. Die Technik der Mikrosegmentierung geht dabei über herkömmliche Netzwerk-Segmentierung hinaus, indem hochgranulare Zonen auf anwendungsspezifischer oder enger sicherheitsgruppenspezifischer Ebene angewendet werden. Dies bietet den Netzwerkteams noch mehr Kontrollmöglichkeiten.
Segmentierung ist gut, Mikrosegmentierung ist besser?
Netzwerk- und Sicherheitsteams werden sich nun fragen: Wenn Segmentierung eine bewährte Methode zur Verbesserung von Konnektivität, Compliance und Sicherheit ist, ist Mikrosegmentierung dann nicht zwangsläufig immer besser? Die Antwort darauf lautet „jein“, denn Mikrosegmentierung ist zwar in der Tat ein empfehlenswerter Sicherheitsansatz, muss aber zum richtigen Zeitpunkt umgesetzt werden. Sie zu früh zu implementieren, könnte Herausforderungen nach sich ziehen, die das Team überfordern und den aktuellen Compliance- und Sicherheitszustand möglicherweise sogar gefährden. Dies wäre, als würde man mit dem Bau eines Hauses beginnen ohne zuvor ein Fundament gelegt zu haben.
Warum zu granulare Kontrollebenen einen Kontrollverlust begünstigen
Angenommen, das Sicherheitsteam eines Unternehmens segmentiert die Buchhaltungsabteilung in eine eigene Zone, so dass ausschließlich die Mitarbeiter der Buchhaltung auf sensible Anwendungen für Lohnabrechnung und Gehaltsüberweisungen zugreifen können. Gleichzeitig existiert eine HR-Anwendung, die Zugriff auf hochsensible Personaldaten wie Arbeitszeugnisse oder die Vergütungen ermöglicht. Hierauf dürfen nur ausgewählte Personen der Gehaltsabrechnung sowie der Personalabteilung zugreifen und keinesfalls die gesamte Buchhaltung.
Um diese Einschränkung wirksam umzusetzen, muss ein Mikrosegment definiert werden. Hierfür wird eine Zone erstellt, die nur aus dieser betreffenden Anwendung besteht. Ferner braucht es eine weitere Zone, die die Personengruppe umfasst, der Zugriff auf diese Anwendung gewährt wird. Das Ergebnis ist eine granulare Sicherheitsgruppe, die vom Sicherheitsteam verwaltet wird und auf dem Zero Trust-Modell basiert. So kann sichergestellt werden, dass die hochsensiblen personenbezogenen Daten nicht böswillig oder versehentlich von den falschen Personen eingesehen werden können und die Compliance des Unternehmens eingehalten wird.
Das mag auf den ersten Blick alles umsetzbar klingen, funktioniert in der Praxis tatsächlich aber nur, wenn ein kleines und eher überschaubares Netzwerk vorliegt. Für ein Unternehmen mit 200 kritischen Geschäftsanwendungen, von denen viele hochsensible Daten verarbeiten, und das jedes Jahr circa weitere 30 neue Anwendungen einführt, sieht die Sache schon ganz anders aus. Wird in diesem Unternehmen unmittelbar mikrosegmentiert, müssen sowohl für die Anwendung als auch für die Benutzer neue Sicherheitsgruppen erstellt (400 insgesamt) und jedes Jahr 60 weitere Zonen hinzugefügt werden. Das Ergebnis sind Hunderte von Zonen, jede mit ihrer eigenen nuancierten Sicherheitsrichtlinie. Dies stellt das Security-Team vor die große Herausforderung, Änderungen verlässlich zu dokumentieren und jede Sicherheitsgruppe sowie zulässige Dienste effektiv wiederzuverwenden. Sofern das Team nicht bestens mit den Prozessen vertraut ist, die für die Verwaltung von Sicherheitsrichtlinien im großen Maßstab erforderlich sind, ist die schiere Menge der einzelnen Sicherheitsgruppen schlicht nicht zu bewältigen.
Und die Situation wird noch komplizierter, wenn man bedenkt, dass sich die Zugriffsrichtlinien ständig ändern. Neue Mitarbeiter kommen hinzu und andere verlassen das Unternehmen, neue Anwendungen werden eingeführt und später wieder deaktiviert, neue Server werden in und wieder außer Betrieb genommen. All dies erfordert eine kontinuierliche Modifikation der Sicherheitsgruppen und deren Richtlinien durch die Sicherheitsmitarbeiter. Diese Prozesse sind enorm zeitaufwendig und erhöhen das Risiko, dass Änderungen nicht vorschriftmäßig dokumentiert oder abgelaufene Zugriffsregeln nicht unmittelbar entfernt werden. Kurz gesagt, können zu granulare Kontrollebenen dafür sorgen, dass die Teams den Überblick und die Handhabbarkeit ihrer Sicherheitsgruppen allmählich verlieren.
- Bloß nichts überstürzen
- Auch kleine Schritte führen zum Ziel
Lesen Sie mehr zum Thema
