Fachartikel

Häufige Hindernisse bei Mikrosegmentierungsprojekten

Die Übertragung von kritischen Workloads in virtuellen, hybriden Cloudlandschaften erfordert neue Sicherheitskonzepte, die über klassische Firewall- oder Endpoint-Kontrollen hinausgehen. Immer mehr Unternehmen schaffen deshalb mehrere Teile im Firmennetz, die nicht oder nur noch bedingt miteinander kommunizieren. Für Gartner zählt eine solche Mikrosegmentierung zu den zehn wichtigsten Sicherheitsprojekten für Security-Verantwortliche. Welche Hindernisse es dabei gibt und wie sie sich strategisch umschiffen lassen, erklärt dieser Artikel.
Mit Hilfe von Mikrosegmentierung lassen sich gerade Compliance-Vorgaben oft besser einhalten.
Durch Mikrosegmentierung erweitern IT-Abteilungen ihre Sicherheitsmaßnahmen und reduzieren die Angriffsfläche, indem sie separate Sicherheitszonen schaffen. Gartner empfiehlt, mit geschäftskritischen Applikationen zu beginnen und Dienstleister dann durch native Segmentierung schrittweise einzubinden. Organisationen mit flachen Netzwerktopologien — ob lokal oder als Infrastructure-as-a-Service (IaaS) — verschaffen sich so eine höhere Visibilität und Kontrolle über ihre Rechenzentren.

Host-basierte Security nicht mehr ausreichend
Die Unterteilung von Datacenter- und Cloudumgebungen in logische Teile ermöglicht es, wichtige Daten, Prozesse und Systeme gegen Hackerzugriffe zu härten. Ziel ist es, höchste Sicherheitsrichtlinien durchzusetzen, um Datenzugriffe isolieren und Datenströme zwischen Rechenzentren überwachen zu können. Für gesetzlich geforderte Auditierungs- und IT-Compliance-Vorgaben ist das in vielen Fällen ohnehin Pflicht. Durch immer neue Datenlecks, wie bei Equifax 2017 oder der NanshOu-Angriffswelle auf Windows-Datenbankserver im Frühjahr 2019, bleibt der Druck auf IT-Abteilungen jedenfalls hoch.

East-West-Traffic bildet mittlerweile den Hauptanteil des Enterprise-Datenverkehrs und übertrifft die klassische Client-Server-Kommunikation deutlich. Das erklärt, warum herkömmliche Netzwerksicherheit und Host-basierte Security-Systeme nicht mehr ausreichen. Selbst als virtuelle Lösungen bieten sie meist nicht die erforderliche Visibilitäts-, Konfigurations- und Schutzfunktionen für die mittlerweile größte Angriffsoberfläche moderner IT-Enterprise-Umgebungen. Punktlösungen von Cloud- und lokalen Anbietern greifen zu kurz und können die Komplexität aktueller Unternehmensnetze schlicht nicht mehr darstellen.
Cryptojacking auf dem Vormarsch
Das wissen auch die Angreifer und nutzen das gnadenlos aus. Sie arbeiten clever und zielgerichtet, indem sie unbeobachtete Teile des Unternehmensnetzes unterwandern und für eigene Zwecke missbrauchen. Cryptojacking, also das heimliche Schürfen nach Krypto-Geld, ist dafür ein gutes Beispiel, und verbreitet sich aktuell schneller als eingeschleuste Ransomware. Wie Advanced Persistent Threats (APT) auch nutzen sie dabei gefährliche Zero-Day-Sicherheitslücken oder bekannte Schwachstellen aus und richten ihre Attacken direkt gegen lokale Rechenzentren oder Cloudumgebungen.

Je dynamischer und komplexer die IT-Landschaften werden, umso schneller und effizienter kommen auch Hacker an ihr Ziel. Das trifft vor allem in hybriden IT-Umgebungen zu, weil der Mangel an nativen Sicherheitskontrollmöglichkeiten und die lange Verweildauer vor dem Entdecken ihnen in die Karten spielen. Letztendlich fällt damit die Verantwortung auf Netzwerkadministratoren und IT-Sicherheitsverantwortliche zurück. Sie müssen für den adäquaten Schutz gegen ausgefeilte Angriffsszenarien sorgen. Sicherheit ist nun einmal eine gemeinsame Verantwortung von Cloudnutzern und Cloudanbietern, lässt sich also nicht wegdelegieren. Unternehmen müssen ihre Workloads und Applikationen aktiv absichern, anstatt sich passiv auf Intrusion-Prevention-Werkzeuge zu verlassen.

Das Mikrosegmentierungsdilemma
Angesichts dieses Realitätsdrucks setzt sich Mikrosegmentierung als wirksamer Ansatz zur Absicherung von Rechenzentrumsumgebungen durch. In Gesprächen mit IT-Entscheidern auf Unternehmensseite wird aber auch schnell klar, wo es bei der Implementierung haken kann. Häufig auftretende Hindernisse lassen sich indes schnell identifizieren und überwinden. Im Folgenden nennen wir fünf Beispiele befinden sich unten – mit diesen Tipps und Tricks setzen Sie Mikrosegmentierungsprojekte erfolgreich um:

1. Fehlende Visibilität
Ohne eine umfassende Sicht auf Datenströme im Data Center lassen sich Mikrosegmentierungsprojekte nicht implementieren. Selbst nach langwierigen Arbeitssitzungen zur Erfassung und Analyse des Datenverkehrs samt manueller Mapping-Prozesse verbleiben mitunter noch unter blinde Flecken im Unternehmensnetz. Automatisiertes Datenmapping leistet hervorragende Dienste, aber auf der Prozessebene fehlt es trotzdem noch an der erforderlichen Visibilität und Erfassung von kontextbezogenen Daten. Die Abbildung von Applikations-Workflows auf feingranularer Ebene ist aber die notwendige Voraussetzung, um eine logische Gruppierung der Anwendungen für Segmentierungszwecke durchführen zu können.

2. Alles-oder-nichts-Starre
Zu viele Administratoren glauben, dass sie wirklich alles segmentieren müssen, so dass die ersten Schritte oft gar nicht erst begonnen werden. Das jeweilige IT-Projekt droht deshalb, sich als zu arbeitsintensiv zu erweisen. Mikrosegmentierung ist aber ein schrittweiser Prozess, der sich in mehreren Phasen unterteilt. Der richtige Provider kann dabei helfen, die passenden Anwendungsszenarien zu finden, um schnellen Mehrwert für das eigene Geschäftsumfeld zu generieren.
26.06.2019/ln/Martin Dombrowski, Senior Security Engineer bei Guardicore

Nachrichten

Vertrauliche Dienstgespräche mit dem iPhone [16.09.2019]

Das Bundesamt für Sicherheit in der Informationstechnik ermöglicht Behörden zum ersten Mal vertrauliche Telefonate mit dem iPhone. Das Amt gibt die Mobile Encryption App für Ende-zu-Ende verschlüsseltes Telefonieren frei. Die Anwendung ist für Gespräche der Geheimhaltungsstufe "Nur für den Dienstgebrauch" freigegeben. Aktuell nutzen Behörden vorwiegend Spezialgeräte für vertrauliche Gespräche. [mehr]

Cloud: Viel genutzt, wenig gesichert [11.09.2019]

Unternehmen haben mit der rasanten Expansion der Cloud zu kämpfen. Dies geht aus dem neuen Cloud Security Threat Report (CSTR) von Symantec hervor. Dabei geben 53 Prozent der Organisationen in Deutschland an, dass ihre Cloudsicherheit nicht ausgereift genug ist, um mit der rasanten Expansion von Cloudanwendungen Schritt zu halten. [mehr]

Ungleicher Kampf [6.09.2019]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Anzeigen