von Redaktion IT-A…
Lesezeit
3 Minuten
Mehr Cloudsicherheit durch Zero-Trust-Segmentierung
Die jüngsten Ransomware-Attacken lassen aufhorchen. Über Nacht wurden gut aufgestellte Firmen zu Fall gebracht und Millionenwerte vernichtet. Gerade wenn sich Lieferverträge in einer Just-in-time-Lieferkette nicht einhalten lassen, gerät der entstandene Schaden schnell zu einer Überlebensfrage. Warum Zero-Trust-Segmentierung der neue Standard gegen Erpresser ist und im Zusammenspiel mit einer Livekarte dabei hilft, Risiken zu minimieren und Applikationen gegen Angriffe zu sichern, verdeutlicht dieser Fachartikel.
Agiles arbeiten, ortsunabhängige Verfügbarkeit und eine kaum greifbare Datenflut – die virtuellen Umgebungen, in denen wir uns täglich bewegen, sorgen für große Herausforderungen in puncto Sicherheit. Hybride- und Multicloud-Umgebungen bieten zunehmend große Angriffsvektoren für Cyberangriffe. Steigende Datenströme und der damit einhergehende Ausbau von Infrastrukturen und IT-Systemen haben zu einem deutlich höheren Verwaltungsaufwand und wachsender Komplexität geführt. Eine Mikrosegmentierung indes bietet Hilfe und Sicherheit, diese Herausforderungen von Endpunkten über Server, Container, Rechenzentren bis in die Cloud zu bewältigen.
Neue Herausforderungen: Das Cloudrisiko
Die Cloudtransformation schreitet immer schneller voran, ebenso wie die Sicherheitsherausforderungen bei der Bereitstellung von Zero-Trust-Lösungen für eine immer vielfältigere digitale Infrastruktur. Ein ganzheitlicher Einblick in den Anwendungsverkehr, der sich über alle Cloud- und Rechenzentrumsumgebungen eines Unternehmens erstreckt, ist nach wie vor kaum zu erreichen. Gerade deswegen ist es für Unternehmen schwierig zu verstehen, wie sie Zero Trust-Sicherheitsrichtlinien für alle ihre Clouds und Rechenzentren implementieren und überwachen können.
Was das Problem noch verschlimmert: Ein Sammelsurium von Tools verschiedener Anbieter hat zu einer fragmentierten Sicht auf das Cloud-Sicherheitsrisiko geführt. Dies erschwert es Unternehmen, Schwachstellen, bösartige Aktivitäten oder Sicherheitsvorfälle in ihrer gesamten IT-Infrastruktur zu erkennen und zu beheben. Ohne eine umfassende Sichtbarkeit, die Klarheit und Einblicke in den gesamten Datenverkehr bietet, sind Clouds undurchsichtige Sicherheitsrisiken, die ein verheerendes Potenzial für Cyberangriffe bergen.
Risiken verstehen und minieren
Eine Livekarte, die sämtliche Kommunikation im Netzwerk abbildet, hilft Risiken zu minimieren und Applikationen gegen Angriffe zu sichern. Durch eine Abgrenzung in viele einzelne kleine Zonen und die automatische Erkennung von Attacken, wenn Angreifer eine dieser Zonen durchschreiten, lässt sich der Datenverkehr in Multicloud- und Hybrid-Cloud-Umgebungen problemlos einsehen und das Risiko für schwerwiegende Cyberangriffe deutlich verringern.
Dabei ist entscheidend, nicht nur von externen Gefahren auszugehen, sondern sich bewusst zu machen, dass diese auch im Inneren lauern. Das Zero-Trust-Prinzip prüft sämtliche Verbindungen, da auch dem internen Netzwerkverkehr ohne vorherige Autorisierung nicht vertraut werden kann. Während Benutzer sich zunehmend vom Firmennetzwerk wegbewegen und vermehrt dezentral aus dem Home Office arbeiten, gilt es, Zero Trust auf die Endpunkte auszudehnen, um die Angriffsfläche zu verringern.
Mikrosegmentierung schiebt den Riegel vor
Mikrosegmentierung ist eine Technologie, bei der sich Rechenzentren und Cloudumgebungen bis auf die Ebene der einzelnen Workloads und Applikationsprozesse in Segmente unterteilen lassen. Dies ermöglicht es Unternehmen, ihre möglichen Angriffsflächen gerade angesichts der aktuellen Ransomware- und Malwarebedrohung wie Emotet zu verringern, die Einhaltung von Compliance-Anforderungen zu gewährleisten und Sicherheitsvorfälle einzudämmen.
Das Ganze funktioniert wie folgt: Die Mikrosegmentierung löst die Segmentierung vom Netzwerk, indem sie die vorhandene Firewall des Betriebssystems nutzt, um Policies sowohl für den Nord-Süd-Traffic als auch zwischen den Anwendungs- und Storage-Servern überproportional zugenommenen Ost-West-Traffic durchzusetzen.
Dieser Ansatz hat sich in den letzten Jahren für eine bessere Visibilität in alle Verbindungen im Netz und effektivere Segmentierung entwickelt. Detaillierte Policies werden dabei mit einzelnen Workloads verknüpft, was dazu führt, dass die laterale Bewegungsfreiheit von Angreifern schrumpft. Sollte es beispielsweise zu einer Durchdringung des Perimeterschutzes kommen, lassen sich Bedrohungen dennoch vermeiden, da Workloads und Applikationen voneinander isoliert sind.
Die erhöhte Sichtbarkeit bildet die Grundlage für die Modellierung von Mikrosegmentierungs-Policies. Diese lässt sich durch die Livekarte zwischen allen Workloads in den Cloudumgebungen und Rechenzentren sowie den darauf basierenden Applikationen und Prozessen realisieren.
Host-basierte Segmentierung für mehr Sicherheit
Grundsätzlich sind bei der Mikrosegmentierung anstelle von Hardware-Firewalls die Host-Workloads der Bezugspunkt. Jedes Workload-Betriebssystem im Rechenzentrum oder in der Cloud enthält bereits eine hochperformante Stateful-Firewall, zum Beispiel iptables in Linux oder die Windows Filtering Platform in Windows. Diese Host-basierte Segmentierung nutzt die Traffic-Daten zur automatischen Erstellung einer Karte von Cloud- und On-Premises-Infrastrukturen sowie ihren Anwendungen. Die Karte findet zur Visualisierung schützenswerter Bereiche Verwendung und es werden automatisiert Segmentierungs-Policies mit Hilfe natürlich verständlicher Sprache erstellt – nicht IP-Adressen oder Firewall-Regeln.
Eine Mikrosegmentierung geht weit über die traditionelle Segmentierung hinaus. Der herkömmliche Ansatz zur Segmentierung geht viel zu oft davon aus, dass der innere Teil des Netzes vertrauenswürdig ist. VLANs und Subnetze müssen organisiert werden, der Traffic muss umständlich durch Hardware-Firewalls oder mit Hilfe eines SDNs geroutet werden. Oft erfolgt das Erstellen von Regeln mit diesem Ansatz noch IP-basiert und IT-Verantwortliche verlieren dadurch die Möglichkeit, schnell auf Änderungen reagieren zu können und sind auf viel fehleranfällige Handarbeit angewiesen.
Fazit
Herkömmliche Werkzeuge sind hinsichtlich des Grads an Granularität und Flexibilität oft unzureichend. Dies wäre aber erforderlich, um bösartige Aktivitäten zu verhindern und laterale Bewegung in einer dynamischen Bedrohungslage zu entsprechen. Die Mikrosegmentierung verbessert die herkömmlichen Methoden und erweitert die Segmentierung auf Cloud-Workloads und Container sowie auf Workloads im lokalen Rechenzentrum, um der heutigen hybriden Infrastruktur besser gerecht zu werden und sie effektiv gegen Malware- und Ransomware zu schützen.
ln/Paul Bauer, Regional Sales Director bei Illumio
Neue Herausforderungen: Das Cloudrisiko
Die Cloudtransformation schreitet immer schneller voran, ebenso wie die Sicherheitsherausforderungen bei der Bereitstellung von Zero-Trust-Lösungen für eine immer vielfältigere digitale Infrastruktur. Ein ganzheitlicher Einblick in den Anwendungsverkehr, der sich über alle Cloud- und Rechenzentrumsumgebungen eines Unternehmens erstreckt, ist nach wie vor kaum zu erreichen. Gerade deswegen ist es für Unternehmen schwierig zu verstehen, wie sie Zero Trust-Sicherheitsrichtlinien für alle ihre Clouds und Rechenzentren implementieren und überwachen können.
Was das Problem noch verschlimmert: Ein Sammelsurium von Tools verschiedener Anbieter hat zu einer fragmentierten Sicht auf das Cloud-Sicherheitsrisiko geführt. Dies erschwert es Unternehmen, Schwachstellen, bösartige Aktivitäten oder Sicherheitsvorfälle in ihrer gesamten IT-Infrastruktur zu erkennen und zu beheben. Ohne eine umfassende Sichtbarkeit, die Klarheit und Einblicke in den gesamten Datenverkehr bietet, sind Clouds undurchsichtige Sicherheitsrisiken, die ein verheerendes Potenzial für Cyberangriffe bergen.
Risiken verstehen und minieren
Eine Livekarte, die sämtliche Kommunikation im Netzwerk abbildet, hilft Risiken zu minimieren und Applikationen gegen Angriffe zu sichern. Durch eine Abgrenzung in viele einzelne kleine Zonen und die automatische Erkennung von Attacken, wenn Angreifer eine dieser Zonen durchschreiten, lässt sich der Datenverkehr in Multicloud- und Hybrid-Cloud-Umgebungen problemlos einsehen und das Risiko für schwerwiegende Cyberangriffe deutlich verringern.
Dabei ist entscheidend, nicht nur von externen Gefahren auszugehen, sondern sich bewusst zu machen, dass diese auch im Inneren lauern. Das Zero-Trust-Prinzip prüft sämtliche Verbindungen, da auch dem internen Netzwerkverkehr ohne vorherige Autorisierung nicht vertraut werden kann. Während Benutzer sich zunehmend vom Firmennetzwerk wegbewegen und vermehrt dezentral aus dem Home Office arbeiten, gilt es, Zero Trust auf die Endpunkte auszudehnen, um die Angriffsfläche zu verringern.
Mikrosegmentierung schiebt den Riegel vor
Mikrosegmentierung ist eine Technologie, bei der sich Rechenzentren und Cloudumgebungen bis auf die Ebene der einzelnen Workloads und Applikationsprozesse in Segmente unterteilen lassen. Dies ermöglicht es Unternehmen, ihre möglichen Angriffsflächen gerade angesichts der aktuellen Ransomware- und Malwarebedrohung wie Emotet zu verringern, die Einhaltung von Compliance-Anforderungen zu gewährleisten und Sicherheitsvorfälle einzudämmen.
Das Ganze funktioniert wie folgt: Die Mikrosegmentierung löst die Segmentierung vom Netzwerk, indem sie die vorhandene Firewall des Betriebssystems nutzt, um Policies sowohl für den Nord-Süd-Traffic als auch zwischen den Anwendungs- und Storage-Servern überproportional zugenommenen Ost-West-Traffic durchzusetzen.
Dieser Ansatz hat sich in den letzten Jahren für eine bessere Visibilität in alle Verbindungen im Netz und effektivere Segmentierung entwickelt. Detaillierte Policies werden dabei mit einzelnen Workloads verknüpft, was dazu führt, dass die laterale Bewegungsfreiheit von Angreifern schrumpft. Sollte es beispielsweise zu einer Durchdringung des Perimeterschutzes kommen, lassen sich Bedrohungen dennoch vermeiden, da Workloads und Applikationen voneinander isoliert sind.
Eine Livekarte bildet sämtliche Kommunikation in Netzwerk und Cloud ab und minimiert Sicherheitsrisiken.
Die erhöhte Sichtbarkeit bildet die Grundlage für die Modellierung von Mikrosegmentierungs-Policies. Diese lässt sich durch die Livekarte zwischen allen Workloads in den Cloudumgebungen und Rechenzentren sowie den darauf basierenden Applikationen und Prozessen realisieren.
Host-basierte Segmentierung für mehr Sicherheit
Grundsätzlich sind bei der Mikrosegmentierung anstelle von Hardware-Firewalls die Host-Workloads der Bezugspunkt. Jedes Workload-Betriebssystem im Rechenzentrum oder in der Cloud enthält bereits eine hochperformante Stateful-Firewall, zum Beispiel iptables in Linux oder die Windows Filtering Platform in Windows. Diese Host-basierte Segmentierung nutzt die Traffic-Daten zur automatischen Erstellung einer Karte von Cloud- und On-Premises-Infrastrukturen sowie ihren Anwendungen. Die Karte findet zur Visualisierung schützenswerter Bereiche Verwendung und es werden automatisiert Segmentierungs-Policies mit Hilfe natürlich verständlicher Sprache erstellt – nicht IP-Adressen oder Firewall-Regeln.
Eine Mikrosegmentierung geht weit über die traditionelle Segmentierung hinaus. Der herkömmliche Ansatz zur Segmentierung geht viel zu oft davon aus, dass der innere Teil des Netzes vertrauenswürdig ist. VLANs und Subnetze müssen organisiert werden, der Traffic muss umständlich durch Hardware-Firewalls oder mit Hilfe eines SDNs geroutet werden. Oft erfolgt das Erstellen von Regeln mit diesem Ansatz noch IP-basiert und IT-Verantwortliche verlieren dadurch die Möglichkeit, schnell auf Änderungen reagieren zu können und sind auf viel fehleranfällige Handarbeit angewiesen.
Fazit
Herkömmliche Werkzeuge sind hinsichtlich des Grads an Granularität und Flexibilität oft unzureichend. Dies wäre aber erforderlich, um bösartige Aktivitäten zu verhindern und laterale Bewegung in einer dynamischen Bedrohungslage zu entsprechen. Die Mikrosegmentierung verbessert die herkömmlichen Methoden und erweitert die Segmentierung auf Cloud-Workloads und Container sowie auf Workloads im lokalen Rechenzentrum, um der heutigen hybriden Infrastruktur besser gerecht zu werden und sie effektiv gegen Malware- und Ransomware zu schützen.
ln/Paul Bauer, Regional Sales Director bei Illumio
