Fachartikel

Häufige Hindernisse bei Mikrosegmentierungsprojekten

Die Übertragung von kritischen Workloads in virtuellen, hybriden Cloudlandschaften erfordert neue Sicherheitskonzepte, die über klassische Firewall- oder Endpoint-Kontrollen hinausgehen. Immer mehr Unternehmen schaffen deshalb mehrere Teile im Firmennetz, die nicht oder nur noch bedingt miteinander kommunizieren. Für Gartner zählt eine solche Mikrosegmentierung zu den zehn wichtigsten Sicherheitsprojekten für Security-Verantwortliche. Welche Hindernisse es dabei gibt und wie sie sich strategisch umschiffen lassen, erklärt dieser Artikel.
Mit Hilfe von Mikrosegmentierung lassen sich gerade Compliance-Vorgaben oft besser einhalten.
Durch Mikrosegmentierung erweitern IT-Abteilungen ihre Sicherheitsmaßnahmen und reduzieren die Angriffsfläche, indem sie separate Sicherheitszonen schaffen. Gartner empfiehlt, mit geschäftskritischen Applikationen zu beginnen und Dienstleister dann durch native Segmentierung schrittweise einzubinden. Organisationen mit flachen Netzwerktopologien — ob lokal oder als Infrastructure-as-a-Service (IaaS) — verschaffen sich so eine höhere Visibilität und Kontrolle über ihre Rechenzentren.

Host-basierte Security nicht mehr ausreichend
Die Unterteilung von Datacenter- und Cloudumgebungen in logische Teile ermöglicht es, wichtige Daten, Prozesse und Systeme gegen Hackerzugriffe zu härten. Ziel ist es, höchste Sicherheitsrichtlinien durchzusetzen, um Datenzugriffe isolieren und Datenströme zwischen Rechenzentren überwachen zu können. Für gesetzlich geforderte Auditierungs- und IT-Compliance-Vorgaben ist das in vielen Fällen ohnehin Pflicht. Durch immer neue Datenlecks, wie bei Equifax 2017 oder der NanshOu-Angriffswelle auf Windows-Datenbankserver im Frühjahr 2019, bleibt der Druck auf IT-Abteilungen jedenfalls hoch.

East-West-Traffic bildet mittlerweile den Hauptanteil des Enterprise-Datenverkehrs und übertrifft die klassische Client-Server-Kommunikation deutlich. Das erklärt, warum herkömmliche Netzwerksicherheit und Host-basierte Security-Systeme nicht mehr ausreichen. Selbst als virtuelle Lösungen bieten sie meist nicht die erforderliche Visibilitäts-, Konfigurations- und Schutzfunktionen für die mittlerweile größte Angriffsoberfläche moderner IT-Enterprise-Umgebungen. Punktlösungen von Cloud- und lokalen Anbietern greifen zu kurz und können die Komplexität aktueller Unternehmensnetze schlicht nicht mehr darstellen.
Cryptojacking auf dem Vormarsch
Das wissen auch die Angreifer und nutzen das gnadenlos aus. Sie arbeiten clever und zielgerichtet, indem sie unbeobachtete Teile des Unternehmensnetzes unterwandern und für eigene Zwecke missbrauchen. Cryptojacking, also das heimliche Schürfen nach Krypto-Geld, ist dafür ein gutes Beispiel, und verbreitet sich aktuell schneller als eingeschleuste Ransomware. Wie Advanced Persistent Threats (APT) auch nutzen sie dabei gefährliche Zero-Day-Sicherheitslücken oder bekannte Schwachstellen aus und richten ihre Attacken direkt gegen lokale Rechenzentren oder Cloudumgebungen.

Je dynamischer und komplexer die IT-Landschaften werden, umso schneller und effizienter kommen auch Hacker an ihr Ziel. Das trifft vor allem in hybriden IT-Umgebungen zu, weil der Mangel an nativen Sicherheitskontrollmöglichkeiten und die lange Verweildauer vor dem Entdecken ihnen in die Karten spielen. Letztendlich fällt damit die Verantwortung auf Netzwerkadministratoren und IT-Sicherheitsverantwortliche zurück. Sie müssen für den adäquaten Schutz gegen ausgefeilte Angriffsszenarien sorgen. Sicherheit ist nun einmal eine gemeinsame Verantwortung von Cloudnutzern und Cloudanbietern, lässt sich also nicht wegdelegieren. Unternehmen müssen ihre Workloads und Applikationen aktiv absichern, anstatt sich passiv auf Intrusion-Prevention-Werkzeuge zu verlassen.

Das Mikrosegmentierungsdilemma
Angesichts dieses Realitätsdrucks setzt sich Mikrosegmentierung als wirksamer Ansatz zur Absicherung von Rechenzentrumsumgebungen durch. In Gesprächen mit IT-Entscheidern auf Unternehmensseite wird aber auch schnell klar, wo es bei der Implementierung haken kann. Häufig auftretende Hindernisse lassen sich indes schnell identifizieren und überwinden. Im Folgenden nennen wir fünf Beispiele befinden sich unten – mit diesen Tipps und Tricks setzen Sie Mikrosegmentierungsprojekte erfolgreich um:

1. Fehlende Visibilität
Ohne eine umfassende Sicht auf Datenströme im Data Center lassen sich Mikrosegmentierungsprojekte nicht implementieren. Selbst nach langwierigen Arbeitssitzungen zur Erfassung und Analyse des Datenverkehrs samt manueller Mapping-Prozesse verbleiben mitunter noch unter blinde Flecken im Unternehmensnetz. Automatisiertes Datenmapping leistet hervorragende Dienste, aber auf der Prozessebene fehlt es trotzdem noch an der erforderlichen Visibilität und Erfassung von kontextbezogenen Daten. Die Abbildung von Applikations-Workflows auf feingranularer Ebene ist aber die notwendige Voraussetzung, um eine logische Gruppierung der Anwendungen für Segmentierungszwecke durchführen zu können.

2. Alles-oder-nichts-Starre
Zu viele Administratoren glauben, dass sie wirklich alles segmentieren müssen, so dass die ersten Schritte oft gar nicht erst begonnen werden. Das jeweilige IT-Projekt droht deshalb, sich als zu arbeitsintensiv zu erweisen. Mikrosegmentierung ist aber ein schrittweiser Prozess, der sich in mehreren Phasen unterteilt. Der richtige Provider kann dabei helfen, die passenden Anwendungsszenarien zu finden, um schnellen Mehrwert für das eigene Geschäftsumfeld zu generieren.
26.06.2019/ln/Martin Dombrowski, Senior Security Engineer bei Guardicore

Nachrichten

Schutz und Kontrolle für macOS-Rechner [13.12.2019]

Mit der neusten Version des Privilege Managers von Thycotic lassen sich Least-Privilege-Zugriffskontrollen ab sofort auch auf Workstations und Laptops umsetzen, die auf macOS laufen. [mehr]

Deutliche Zunahme an Bedrohungen [12.12.2019]

Im Jahr 2019 ist die Zahl einzigartiger, schädlicher Bedrohungsobjekte, die durch die webbasierten Antivirenlösungen von Kaspersky identifiziert wurden, im Vergleich zum Vorjahr um knapp 13,7 Prozent angestiegen, so das Ergebnis der im Rahmen des Kaspersky Security Bulletin 2019/2020 veröffentlichten Jahresstatistik. [mehr]

Kampf der Schatten-IT [9.12.2019]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen