Mikrosegmentierung ist eine Methode zum Erstellen granularer Sicherheitszonen in Rechenzentren und Cloud-Bereitstellungen bis hin zu einzelnen Workloads mithilfe der Virtualisierungstechnologie zur Überwachung und zum Schutz des seitlichen Datenverkehrs. Herkömmliche Sicherheitslösungen wie Firewalls, VPNs und Network Access Control (NAC) konzentrieren sich hauptsächlich auf den Schutz des Umfangs eines Netzwerks, das auch als Nord-Süd-Verkehr bezeichnet wird. Die Mikrosegmentierung hingegen überwacht und sichert den Ost-West- oder Seitenverkehr. Dies umfasst Server-zu-Server-, Anwendungs-zu-Server- und Web-zu-Server-Verbindungen innerhalb des Netzwerks.
Die zunehmende Akzeptanz softwaredefinierter Netzwerke und die Netzwerkvirtualisierung haben dazu geführt, dass detailliertere interne Sicherheitsmaßnahmen erforderlich sind. Die Mikrosegmentierung ist das Kernstück der Zero Trust-Sicherheit.
Mikrosegmentierung vs. Netzwerksegmentierung
Unternehmen mit hardwarebasierten Umgebungen verwenden Firewalls, VPNs und VLANs zur Netzwerksegmentierung. Diese Methode schützt den Perimeter, sichert jedoch nicht den internen Datenverkehr. Es stützt sich auf grobe Richtlinien, die eine eingeschränkte Kontrolle des Datenverkehrs bieten. Wenn ein Angreifer Zugriff erhalten kann, kann er sich frei im gesamten Netzwerk bewegen. Die Mikrosegmentierung zielt darauf ab, diese nicht autorisierten Verbindungen zu blockieren.
Jedem Segment werden granulare Sicherheitsrichtlinien mit Mikrosegmentierung zugewiesen, um Sicherheitsparameter von Netzwerken und IP-Adressen zu entfernen und sie auf Benutzeridentität und Anwendungen zu konzentrieren. Diese Richtlinien verhindern, dass sich nicht autorisierte Benutzer und Anwendungen seitlich in einem Netzwerk bewegen. Richtlinien können anhand realer Konstrukte wie Benutzergruppen, Zugriffsgruppen und Netzwerkgruppen definiert werden. Wenn ein Richtlinienverstoß festgestellt wird, senden Mikrosegmentierungs-Tools eine Warnung und blockieren in einigen Fällen nicht genehmigte Aktivitäten. Tausende von groben Richtlinien für jedes Segment wären erforderlich, um den gleichen seitlichen Verkehrsschutz zu erzielen, den die Mikrosegmentierung bieten kann.
Core to Zero Trust-Sicherheit
Die Mikrosegmentierung ist der Schlüssel zur Implementierung eines Zero-Trust-Frameworks. Dieses Modell basiert auf dem Konzept „Vertraue nichts und überprüfe alles“. Ziel ist es, jede einzelne im Netzwerk hergestellte Verbindung zu authentifizieren, um zu verhindern, dass Angreifer von einer gefährdeten Arbeitslast zu einer anderen wechseln. Durch die Segmentierung von Workloads und die Anwendung detaillierter Sicherheitsrichtlinien bis hin zu einzelnen Computern und Anwendungen wird die gesamte Angriffsfläche eines Netzwerks reduziert.