von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Häufige Hindernisse bei Mikrosegmentierungsprojekten
3. Layer-4-Begrenzungen
In einigen Organisationen herrscht die Meinung vor, dass eine klassische Netzwerksegmentierung vollkommen ausreicht. Die Frage stellt sich allerdings, wann eine Perimeter-Firewall sich wirklich ausschließlich auf Layer-4-Port-Forwarding beschränken kann? In den zurückliegenden 15 Jahren gelangten viele Attacken über Port Hijacking zum Ziel – dabei wurde ein zulässiger Netzwerk-Port genutzt, um Kommunikationsverbindungen zu verschleiern und Daten unbemerkt abzuschöpfen. Angreifer nutzen offene Ports und erlaubte Protokolle aus, um bei Lateral-Movement-Attacken den gewünschten Effekt zu erzielen.
Die für viele Punktlösungen typische Layer-4-Filterung bietet natürlich einen gewissen Schutz. Effektive Mikrosegmentierung muss aber stets die passende Balance zwischen Applikationssicherheit und Geschäftsagilität finden. Die Durchsetzung strenger Sicherheitsregeln darf sich nicht disruptiv auf wichtige Business-Anwendungen auswirken. Entscheidend ist, dass eine engmaschige IT-Sicherheitspolicy nicht zu Lasten der geschäftlichen Flexibilität geht. In dynamischen IT-Infrastrukturen gibt es auch Fälle, dass Workloads über Einzelsegmente hinweg kommunizieren und migrieren. Und hier empfiehlt sich dann schon eine feinstufigere Richtlinienkontrolle bis auf Layer 7.
4. Fehlende Multi-Cloud-Konvergenz
Hybride Cloudrechenzentren zeichnen sich durch Agilität, Autoskalierung und Workload-Mobilität aus. Als technische Grundlage dienen indes heterogene IT-Architekturen, für die jeder Cloudanbieter unterschiedliche Punktlösungen und Sicherheitsmethodiken anbietet. Schnell führt der Einsatz mehrerer Lösungen zu ungewollt hoher Komplexität. Für eine erfolgreiche Mikrosegmentierung bedarf es dagegen einer Lösung, die Konvergenz für alle IT-Architekturen offeriert. Ein konvergenter Ansatz lässt sich schneller und einfacher implementieren, weil nicht die einzelnen Sicherheitstechnologien der Cloudprovider berücksichtigt werden müssen.
5. Unflexible Policy-Engine
Als Schwachstelle vieler Lösungen erweist sich, dass Policy-Engines wenig durchdacht sind. Die meisten Punktlösungen bauen auf "Allow-Only"-Regeln, obwohl die Mehrzahl der Sicherheitsadministratoren eine "Global-Deny"-Liste bevorzugt, um unternehmensweit einen Basisschutz gegen nicht genehmigte Aktivitäten einzurichten zu können. Mit solchen Sicherheitsrichtlinien könnten sich Unternehmen passgenau auf gesetzliche und branchenspezifische Compliance-Anforderungen einstellen.
Hinzu kommt, dass Punktlösungen in der Regel keine IT-Policies unterstützen, die eine dynamische Provisionierung oder Aktualisierung ermöglichen, um Workflows automatisch zu skalieren, Dienste zu erweitern und einzugrenzen oder IT-Prozesse anzupassen. Dabei sind es genau diese Vorteile, die Unternehmen zum Wechsel auf hybride Clouddatacenter-Umgebungen animieren.
Wie eine erfolgreiche Mikrosegmentierung abläuft
Die genannten Schwierigkeiten dokumentieren, warum Mikrosegmentierungsprojekte unter langwierigen Implementierungszeiten, Kostenüberschreitungen und Überlastung der IT-Ressourcen leiden können. Aber es geht auch anders: Bei sorgfältiger Planung und Ausführung sorgt Mikrosegmentierung für die gewünschte Reduzierung von Risiken. Jeder erfolgreiche Umsetzungsprozess beginnt mit der Identifizierung aller Applikationen im eigenen Netzwerk und der visuellen Darstellung aller Kommunikationsverbindungen und Abhängigkeiten.
Eine feinstufige Sicht auf die gesamte IT-Umgebung beinhaltet dabei den Datenfluss im Netzwerk sowie IT-Assets und detaillierte Orchestrierungsinformationen von unterschiedlichen Drittanbieterplattformen inklusive IT-Workloads. Nach Identifizierung der kritischen IT-Systeme werden sie logischen Gruppen zugeordnet, um die Erstellung einer wirksamen IT-Policy zu vereinfachen. Visibilität auf der Anwendungsschicht (Layer 7) ermöglicht ein schnelleres Erkennen und Zuordnen der Workflows, um Sicherheitsrichtlinien effektiver durchsetzen zu können.
Konvergente Mikrosegmentierungsstrategien erlauben ein nahtloses, und damit leichteres und schnelleres Arbeiten über die gesamte, heterogene IT-Landschaft hinweg — angefangen von lokalen Rechnernetzen bis hin zu Cloudumgebungen. Wenn IT-Policy-Regeln tatsächlich Workloads unabhängig von der zugrundeliegenden Plattform folgen können, fallen Implementierung und IT-Management leichter (ganz abgesehen vom höheren Sicherheitsniveau). Automatisches Skalieren ist eine der zentralen Funktionen in hybriden Cloudumgebungen, um Workloads dynamisch und regelbasiert steuern zu können.
Fazit
Für die Operationalisierung empfiehlt sich ein schrittweiser Ablauf in mehreren Phasen. Mikrosegmentierung beginnt mit der Erfassung kritischer IT-Geräte und Applikationen, die zur Einhaltung von Gesetzes- und Branchenvorgaben besonders geschützt werden müssen. Welche Ziele sind aus Sicht der Angreifer am attraktivsten? Welche Systeme arbeiten mit sensiblen Kundendaten oder sind häufige Angriffsziele? Für diese Gruppen schaffen Sie am besten als erstes eine passende Security-Policy. Nach und nach können Sie die Sicherheitsregeln dann immer weiter verfeinern, um wachsenden Risiken gerecht zu werden, eine Least-Privilege-Strategie durchzusetzen, zusätzliche Compliance-Anforderungen abzudecken oder ganz spezifische Geschäftsziele im Unternehmen abzusichern.
ln/Martin Dombrowski, Senior Security Engineer bei Guardicore
In einigen Organisationen herrscht die Meinung vor, dass eine klassische Netzwerksegmentierung vollkommen ausreicht. Die Frage stellt sich allerdings, wann eine Perimeter-Firewall sich wirklich ausschließlich auf Layer-4-Port-Forwarding beschränken kann? In den zurückliegenden 15 Jahren gelangten viele Attacken über Port Hijacking zum Ziel – dabei wurde ein zulässiger Netzwerk-Port genutzt, um Kommunikationsverbindungen zu verschleiern und Daten unbemerkt abzuschöpfen. Angreifer nutzen offene Ports und erlaubte Protokolle aus, um bei Lateral-Movement-Attacken den gewünschten Effekt zu erzielen.
Die für viele Punktlösungen typische Layer-4-Filterung bietet natürlich einen gewissen Schutz. Effektive Mikrosegmentierung muss aber stets die passende Balance zwischen Applikationssicherheit und Geschäftsagilität finden. Die Durchsetzung strenger Sicherheitsregeln darf sich nicht disruptiv auf wichtige Business-Anwendungen auswirken. Entscheidend ist, dass eine engmaschige IT-Sicherheitspolicy nicht zu Lasten der geschäftlichen Flexibilität geht. In dynamischen IT-Infrastrukturen gibt es auch Fälle, dass Workloads über Einzelsegmente hinweg kommunizieren und migrieren. Und hier empfiehlt sich dann schon eine feinstufigere Richtlinienkontrolle bis auf Layer 7.
4. Fehlende Multi-Cloud-Konvergenz
Hybride Cloudrechenzentren zeichnen sich durch Agilität, Autoskalierung und Workload-Mobilität aus. Als technische Grundlage dienen indes heterogene IT-Architekturen, für die jeder Cloudanbieter unterschiedliche Punktlösungen und Sicherheitsmethodiken anbietet. Schnell führt der Einsatz mehrerer Lösungen zu ungewollt hoher Komplexität. Für eine erfolgreiche Mikrosegmentierung bedarf es dagegen einer Lösung, die Konvergenz für alle IT-Architekturen offeriert. Ein konvergenter Ansatz lässt sich schneller und einfacher implementieren, weil nicht die einzelnen Sicherheitstechnologien der Cloudprovider berücksichtigt werden müssen.
5. Unflexible Policy-Engine
Als Schwachstelle vieler Lösungen erweist sich, dass Policy-Engines wenig durchdacht sind. Die meisten Punktlösungen bauen auf "Allow-Only"-Regeln, obwohl die Mehrzahl der Sicherheitsadministratoren eine "Global-Deny"-Liste bevorzugt, um unternehmensweit einen Basisschutz gegen nicht genehmigte Aktivitäten einzurichten zu können. Mit solchen Sicherheitsrichtlinien könnten sich Unternehmen passgenau auf gesetzliche und branchenspezifische Compliance-Anforderungen einstellen.
Hinzu kommt, dass Punktlösungen in der Regel keine IT-Policies unterstützen, die eine dynamische Provisionierung oder Aktualisierung ermöglichen, um Workflows automatisch zu skalieren, Dienste zu erweitern und einzugrenzen oder IT-Prozesse anzupassen. Dabei sind es genau diese Vorteile, die Unternehmen zum Wechsel auf hybride Clouddatacenter-Umgebungen animieren.
Wie eine erfolgreiche Mikrosegmentierung abläuft
Die genannten Schwierigkeiten dokumentieren, warum Mikrosegmentierungsprojekte unter langwierigen Implementierungszeiten, Kostenüberschreitungen und Überlastung der IT-Ressourcen leiden können. Aber es geht auch anders: Bei sorgfältiger Planung und Ausführung sorgt Mikrosegmentierung für die gewünschte Reduzierung von Risiken. Jeder erfolgreiche Umsetzungsprozess beginnt mit der Identifizierung aller Applikationen im eigenen Netzwerk und der visuellen Darstellung aller Kommunikationsverbindungen und Abhängigkeiten.
Eine feinstufige Sicht auf die gesamte IT-Umgebung beinhaltet dabei den Datenfluss im Netzwerk sowie IT-Assets und detaillierte Orchestrierungsinformationen von unterschiedlichen Drittanbieterplattformen inklusive IT-Workloads. Nach Identifizierung der kritischen IT-Systeme werden sie logischen Gruppen zugeordnet, um die Erstellung einer wirksamen IT-Policy zu vereinfachen. Visibilität auf der Anwendungsschicht (Layer 7) ermöglicht ein schnelleres Erkennen und Zuordnen der Workflows, um Sicherheitsrichtlinien effektiver durchsetzen zu können.
Konvergente Mikrosegmentierungsstrategien erlauben ein nahtloses, und damit leichteres und schnelleres Arbeiten über die gesamte, heterogene IT-Landschaft hinweg — angefangen von lokalen Rechnernetzen bis hin zu Cloudumgebungen. Wenn IT-Policy-Regeln tatsächlich Workloads unabhängig von der zugrundeliegenden Plattform folgen können, fallen Implementierung und IT-Management leichter (ganz abgesehen vom höheren Sicherheitsniveau). Automatisches Skalieren ist eine der zentralen Funktionen in hybriden Cloudumgebungen, um Workloads dynamisch und regelbasiert steuern zu können.
Fazit
Für die Operationalisierung empfiehlt sich ein schrittweiser Ablauf in mehreren Phasen. Mikrosegmentierung beginnt mit der Erfassung kritischer IT-Geräte und Applikationen, die zur Einhaltung von Gesetzes- und Branchenvorgaben besonders geschützt werden müssen. Welche Ziele sind aus Sicht der Angreifer am attraktivsten? Welche Systeme arbeiten mit sensiblen Kundendaten oder sind häufige Angriffsziele? Für diese Gruppen schaffen Sie am besten als erstes eine passende Security-Policy. Nach und nach können Sie die Sicherheitsregeln dann immer weiter verfeinern, um wachsenden Risiken gerecht zu werden, eine Least-Privilege-Strategie durchzusetzen, zusätzliche Compliance-Anforderungen abzudecken oder ganz spezifische Geschäftsziele im Unternehmen abzusichern.
ln/Martin Dombrowski, Senior Security Engineer bei Guardicore
