von Redaktion IT-A…
Lesezeit
2 Minuten
Häufige Hindernisse bei Mikrosegmentierungsprojekten
Die Übertragung von kritischen Workloads in virtuellen, hybriden Cloudlandschaften erfordert neue Sicherheitskonzepte, die über klassische Firewall- oder Endpoint-Kontrollen hinausgehen. Immer mehr Unternehmen schaffen deshalb mehrere Teile im Firmennetz, die nicht oder nur noch bedingt miteinander kommunizieren. Für Gartner zählt eine solche Mikrosegmentierung zu den zehn wichtigsten Sicherheitsprojekten für Security-Verantwortliche. Welche Hindernisse es dabei gibt und wie sie sich strategisch umschiffen lassen, erklärt dieser Artikel.
Durch Mikrosegmentierung erweitern IT-Abteilungen ihre Sicherheitsmaßnahmen und reduzieren die Angriffsfläche, indem sie separate Sicherheitszonen schaffen. Gartner empfiehlt, mit geschäftskritischen Applikationen zu beginnen und Dienstleister dann durch native Segmentierung schrittweise einzubinden. Organisationen mit flachen Netzwerktopologien — ob lokal oder als Infrastructure-as-a-Service (IaaS) — verschaffen sich so eine höhere Visibilität und Kontrolle über ihre Rechenzentren.
Host-basierte Security nicht mehr ausreichend
Die Unterteilung von Datacenter- und Cloudumgebungen in logische Teile ermöglicht es, wichtige Daten, Prozesse und Systeme gegen Hackerzugriffe zu härten. Ziel ist es, höchste Sicherheitsrichtlinien durchzusetzen, um Datenzugriffe isolieren und Datenströme zwischen Rechenzentren überwachen zu können. Für gesetzlich geforderte Auditierungs- und IT-Compliance-Vorgaben ist das in vielen Fällen ohnehin Pflicht. Durch immer neue Datenlecks, wie bei Equifax 2017 oder der NanshOu-Angriffswelle auf Windows-Datenbankserver im Frühjahr 2019, bleibt der Druck auf IT-Abteilungen jedenfalls hoch.
East-West-Traffic bildet mittlerweile den Hauptanteil des Enterprise-Datenverkehrs und übertrifft die klassische Client-Server-Kommunikation deutlich. Das erklärt, warum herkömmliche Netzwerksicherheit und Host-basierte Security-Systeme nicht mehr ausreichen. Selbst als virtuelle Lösungen bieten sie meist nicht die erforderliche Visibilitäts-, Konfigurations- und Schutzfunktionen für die mittlerweile größte Angriffsoberfläche moderner IT-Enterprise-Umgebungen. Punktlösungen von Cloud- und lokalen Anbietern greifen zu kurz und können die Komplexität aktueller Unternehmensnetze schlicht nicht mehr darstellen.
Cryptojacking auf dem Vormarsch
Das wissen auch die Angreifer und nutzen das gnadenlos aus. Sie arbeiten clever und zielgerichtet, indem sie unbeobachtete Teile des Unternehmensnetzes unterwandern und für eigene Zwecke missbrauchen. Cryptojacking, also das heimliche Schürfen nach Krypto-Geld, ist dafür ein gutes Beispiel, und verbreitet sich aktuell schneller als eingeschleuste Ransomware. Wie Advanced Persistent Threats (APT) auch nutzen sie dabei gefährliche Zero-Day-Sicherheitslücken oder bekannte Schwachstellen aus und richten ihre Attacken direkt gegen lokale Rechenzentren oder Cloudumgebungen.
Je dynamischer und komplexer die IT-Landschaften werden, umso schneller und effizienter kommen auch Hacker an ihr Ziel. Das trifft vor allem in hybriden IT-Umgebungen zu, weil der Mangel an nativen Sicherheitskontrollmöglichkeiten und die lange Verweildauer vor dem Entdecken ihnen in die Karten spielen. Letztendlich fällt damit die Verantwortung auf Netzwerkadministratoren und IT-Sicherheitsverantwortliche zurück. Sie müssen für den adäquaten Schutz gegen ausgefeilte Angriffsszenarien sorgen. Sicherheit ist nun einmal eine gemeinsame Verantwortung von Cloudnutzern und Cloudanbietern, lässt sich also nicht wegdelegieren. Unternehmen müssen ihre Workloads und Applikationen aktiv absichern, anstatt sich passiv auf Intrusion-Prevention-Werkzeuge zu verlassen.
Das Mikrosegmentierungsdilemma
Angesichts dieses Realitätsdrucks setzt sich Mikrosegmentierung als wirksamer Ansatz zur Absicherung von Rechenzentrumsumgebungen durch. In Gesprächen mit IT-Entscheidern auf Unternehmensseite wird aber auch schnell klar, wo es bei der Implementierung haken kann. Häufig auftretende Hindernisse lassen sich indes schnell identifizieren und überwinden. Im Folgenden nennen wir fünf Beispiele befinden sich unten – mit diesen Tipps und Tricks setzen Sie Mikrosegmentierungsprojekte erfolgreich um:
1. Fehlende Visibilität
Ohne eine umfassende Sicht auf Datenströme im Data Center lassen sich Mikrosegmentierungsprojekte nicht implementieren. Selbst nach langwierigen Arbeitssitzungen zur Erfassung und Analyse des Datenverkehrs samt manueller Mapping-Prozesse verbleiben mitunter noch unter blinde Flecken im Unternehmensnetz. Automatisiertes Datenmapping leistet hervorragende Dienste, aber auf der Prozessebene fehlt es trotzdem noch an der erforderlichen Visibilität und Erfassung von kontextbezogenen Daten. Die Abbildung von Applikations-Workflows auf feingranularer Ebene ist aber die notwendige Voraussetzung, um eine logische Gruppierung der Anwendungen für Segmentierungszwecke durchführen zu können.
2. Alles-oder-nichts-Starre
Zu viele Administratoren glauben, dass sie wirklich alles segmentieren müssen, so dass die ersten Schritte oft gar nicht erst begonnen werden. Das jeweilige IT-Projekt droht deshalb, sich als zu arbeitsintensiv zu erweisen. Mikrosegmentierung ist aber ein schrittweiser Prozess, der sich in mehreren Phasen unterteilt. Der richtige Provider kann dabei helfen, die passenden Anwendungsszenarien zu finden, um schnellen Mehrwert für das eigene Geschäftsumfeld zu generieren.
ln/Martin Dombrowski, Senior Security Engineer bei Guardicore
Host-basierte Security nicht mehr ausreichend
Die Unterteilung von Datacenter- und Cloudumgebungen in logische Teile ermöglicht es, wichtige Daten, Prozesse und Systeme gegen Hackerzugriffe zu härten. Ziel ist es, höchste Sicherheitsrichtlinien durchzusetzen, um Datenzugriffe isolieren und Datenströme zwischen Rechenzentren überwachen zu können. Für gesetzlich geforderte Auditierungs- und IT-Compliance-Vorgaben ist das in vielen Fällen ohnehin Pflicht. Durch immer neue Datenlecks, wie bei Equifax 2017 oder der NanshOu-Angriffswelle auf Windows-Datenbankserver im Frühjahr 2019, bleibt der Druck auf IT-Abteilungen jedenfalls hoch.
East-West-Traffic bildet mittlerweile den Hauptanteil des Enterprise-Datenverkehrs und übertrifft die klassische Client-Server-Kommunikation deutlich. Das erklärt, warum herkömmliche Netzwerksicherheit und Host-basierte Security-Systeme nicht mehr ausreichen. Selbst als virtuelle Lösungen bieten sie meist nicht die erforderliche Visibilitäts-, Konfigurations- und Schutzfunktionen für die mittlerweile größte Angriffsoberfläche moderner IT-Enterprise-Umgebungen. Punktlösungen von Cloud- und lokalen Anbietern greifen zu kurz und können die Komplexität aktueller Unternehmensnetze schlicht nicht mehr darstellen.
Cryptojacking auf dem Vormarsch
Das wissen auch die Angreifer und nutzen das gnadenlos aus. Sie arbeiten clever und zielgerichtet, indem sie unbeobachtete Teile des Unternehmensnetzes unterwandern und für eigene Zwecke missbrauchen. Cryptojacking, also das heimliche Schürfen nach Krypto-Geld, ist dafür ein gutes Beispiel, und verbreitet sich aktuell schneller als eingeschleuste Ransomware. Wie Advanced Persistent Threats (APT) auch nutzen sie dabei gefährliche Zero-Day-Sicherheitslücken oder bekannte Schwachstellen aus und richten ihre Attacken direkt gegen lokale Rechenzentren oder Cloudumgebungen.
Je dynamischer und komplexer die IT-Landschaften werden, umso schneller und effizienter kommen auch Hacker an ihr Ziel. Das trifft vor allem in hybriden IT-Umgebungen zu, weil der Mangel an nativen Sicherheitskontrollmöglichkeiten und die lange Verweildauer vor dem Entdecken ihnen in die Karten spielen. Letztendlich fällt damit die Verantwortung auf Netzwerkadministratoren und IT-Sicherheitsverantwortliche zurück. Sie müssen für den adäquaten Schutz gegen ausgefeilte Angriffsszenarien sorgen. Sicherheit ist nun einmal eine gemeinsame Verantwortung von Cloudnutzern und Cloudanbietern, lässt sich also nicht wegdelegieren. Unternehmen müssen ihre Workloads und Applikationen aktiv absichern, anstatt sich passiv auf Intrusion-Prevention-Werkzeuge zu verlassen.
Das Mikrosegmentierungsdilemma
Angesichts dieses Realitätsdrucks setzt sich Mikrosegmentierung als wirksamer Ansatz zur Absicherung von Rechenzentrumsumgebungen durch. In Gesprächen mit IT-Entscheidern auf Unternehmensseite wird aber auch schnell klar, wo es bei der Implementierung haken kann. Häufig auftretende Hindernisse lassen sich indes schnell identifizieren und überwinden. Im Folgenden nennen wir fünf Beispiele befinden sich unten – mit diesen Tipps und Tricks setzen Sie Mikrosegmentierungsprojekte erfolgreich um:
1. Fehlende Visibilität
Ohne eine umfassende Sicht auf Datenströme im Data Center lassen sich Mikrosegmentierungsprojekte nicht implementieren. Selbst nach langwierigen Arbeitssitzungen zur Erfassung und Analyse des Datenverkehrs samt manueller Mapping-Prozesse verbleiben mitunter noch unter blinde Flecken im Unternehmensnetz. Automatisiertes Datenmapping leistet hervorragende Dienste, aber auf der Prozessebene fehlt es trotzdem noch an der erforderlichen Visibilität und Erfassung von kontextbezogenen Daten. Die Abbildung von Applikations-Workflows auf feingranularer Ebene ist aber die notwendige Voraussetzung, um eine logische Gruppierung der Anwendungen für Segmentierungszwecke durchführen zu können.
2. Alles-oder-nichts-Starre
Zu viele Administratoren glauben, dass sie wirklich alles segmentieren müssen, so dass die ersten Schritte oft gar nicht erst begonnen werden. Das jeweilige IT-Projekt droht deshalb, sich als zu arbeitsintensiv zu erweisen. Mikrosegmentierung ist aber ein schrittweiser Prozess, der sich in mehreren Phasen unterteilt. Der richtige Provider kann dabei helfen, die passenden Anwendungsszenarien zu finden, um schnellen Mehrwert für das eigene Geschäftsumfeld zu generieren.
ln/Martin Dombrowski, Senior Security Engineer bei Guardicore
