Netzwerk- oder Mikrosegmentierung
Netze sinnvoller unterteilen
Fortsetzung des Artikels von Teil 2
Mikrosegmentierung schafft Abhilfe
Die Mikrosegmentierung diente ursprünglich dazu, den lateralen Datenverkehr zwischen Servern desselben Segments zu limitieren. Sie hat sich aber im Laufe der Jahre weiterentwickelt und kommt heute auch zum Einsatz, um den Verkehr innerhalb von Segmenten zu moderieren. So kann Server A mit Server B sprechen oder Anwendung A mit Host B kommunizieren usw., wenn die Identität der anfordernden Ressourcen mit den Berechtigungen übereinstimmt, die man für einen bestimmten Server Host, Benutzer oder eine bestimmte Anwendung vorgegeben hat. Richtlinien und Berechtigungen für die Mikrosegmentierung basieren auf der Identität der Ressourcen (im Gegensatz zur Identität einer Person) und sind damit unabhängig von der zugrunde liegenden Infrastruktur. Das bedeutet, dass dadurch weniger Richtlinien zu verwalten sind und sich die Richtlinienverwaltung über Netzwerke hinweg zentralisieren lässt. Richtlinien sind dabei unabhängig von Veränderungen, was einen lückenlosen Schutz für Cloud-, Container- und lokale RZ-Ressourcen ermöglicht. Die Unterschiede zwischen Netzwerk- und Mikrosegmentierung stellt die Tabelle vereinfacht dar.
Auch wenn Mikrosegmentierung nicht ganz so schablonenhaft Verwendung finden kann, handelt es sich im Grunde genommen dabei um eine Methode zur intelligenten Workload-Gruppierung auf Basis der Merkmale der im RZ kommunizierenden Workloads. Dementsprechend ist die Mikrosegmentierung nicht von sich dynamisch verändernden Netzwerken oder den an sie gestellten Geschäfts- oder technischen Anforderungen abhängig. Dadurch kann diese Segmentierungsmethode eine stärkere und auch zuverlässige Sicherheit bieten.
Fazit: Keine Qual der Wahl
Wenn es um die Strategie der Netzwerksicherheit geht, sollten Organisationen nicht „entweder-oder“ wählen. Die Netzwerksegmentierung eignet für den Nord-Süd-Datenverkehr; Mikrosegmentierung wiederum führt eine weitere, zusätzliche Schutzschicht für den Ost-West-Verkehr ein, also für die Kommunikation von Server zu Server, Anwendung zu Server, Web zu Server usw. Um es in einer gängigen Analogie auf den Punkt zu bringen: Unter Netzwerksegmentierung versteht man die dicken Mauern und breiten Gräben einer Festung, während unter Mikrosegmentierung die Wachposten zu verstehen sind, die mit Lanzen und Messern bewaffnet an den Toren, auf den Zinnen sowie vor einzelnen Räumen postiert sind. Sicherheit an einem einzigen Punkt sorgt nur für begrenzten Schutz und lässt somit Flanken offen, die Angreifer ausnutzen können. Da dies auch für den digitalen Raum gilt, tun zusätzliche Sicherheitsvorkehrungen not.
Nagraj Seshadri ist Senior Director of Marketing bei Zscaler, www.zscaler.com.
- Netze sinnvoller unterteilen
- Unterschiede der Segmentierung bei der Cloud-Nutzung
- Mikrosegmentierung schafft Abhilfe
Lesen Sie mehr zum Thema
