Einfach ausgedrückt wird bei der Netzwerksegmentierung ein Computernetzwerk in kleinere physische bzw. logische Komponenten aufgeteilt. Zwei Geräte, die sich im gleichen Netzwerksegment befinden, können direkt miteinander kommunizieren. Damit die Kommunikation mit Geräten in einem anderen Segment stattfinden kann, muss der Traffic über einen externen Demarkationspunkt (in der Regel ein Router oder eine Firewall) laufen. So kann der Traffic untersucht und Sicherheitsrichtlinien können angewandt werden, was die Sicherheit allgemein erhöht. Netzwerksegmentierung ist eine der besten Schutzmaßnahmen gegen Datenlecks, Ransomware-Infektionen und andere Cybersicherheitsbedrohungen. In einem ordnungsgemäß segmentierten Netzwerk verfügen Gruppen von Endgeräten wie Server und Workstations nur über die, für die jeweilige betriebliche Nutzung erforderliche, Konnektivität. So kann Ransomware sich weniger ausbreiten, und Angreifer können nicht ohne Weiteres von System zu System wechseln. Dennoch nutzen viel zu viele Unternehmen ein unsegmentiertes oder „flaches“ Netzwerk. Deshalb wollen wir uns im Folgenden diese Themen anschauen:
Implementierung der Netzwerksegmentierung
Es gibt viele Möglichkeiten, ein Netzwerk effektiv zu segmentieren, aber virtuelle LANs (VLANs) und Subnets sind in der Regel die beliebtesten Möglichkeiten.
- Ein VLAN ist ein logisches Konstrukt, das den Datenverkehr auf der Switch-Ebene trennt.
- Subnets funktionieren hingegen auf IP-Adressebene und Router-Ebene.
Beide werden häufig zusammen in einer Eins-zu-eins-Anordnung verwendet. Es gibt viele verschiedene Ansätze für eine Architektur der Netzwerksegmentierung. Es ist üblich, dass Unternehmen Teile eines Netzwerks nach Geschäftsabteilungen abtrennen und unterschiedliche VLANs für Finanzabteilung, technische Abteilung usw. zuweisen. Der Verkehr zwischen den Abteilungen kann dann je nach Geschäftsanforderungen kontrolliert oder eingeschränkt werden. Der Zugriff auf eine interne Personaldatenbank könnte z.B. auf die Geräte im Subnet oder VLAN der Personalabteilung beschränkt werden. Ein weiterer gängiger Ansatz umfasst die Bereitstellung unterschiedlicher Zonen mit unterschiedlichen Sicherheitsanforderungen. Server und Datenbanken werden beispielsweise in der Regel in einer „demilitarisierten Zone“ (Demilitarized Zone, DMZ) mit viel strengeren Sicherheitsmaßnahmen als in anderen Teilen des Netzwerks platziert. Dadurch kann verhindert werden, dass sich eine Malware-Infektion auf einem Unternehmensgerät auf Server weiterverbreitet, auf denen kritische Daten gehostet werden. Die Segmentierung kann auch auf Basis des Gerätetyps erfolgen. IoT-Geräte werden häufig in einer eigenen Netzwerkpartition platziert, um die Sicherheit zu erhöhen. Im Gesundheitswesen können beispielsweise Röntgengeräte und andere verbundene medizinische Geräte getrennt vom übrigen Netzwerk betrieben werden. Je nach technischen und betrieblichen Anforderungen können verschiedene Ansätze zur Segmentierung gemischt werden.
Was sind die Vorteile einer Netzwerksegmentierung?
Die Architektur eines Netzwerks spielt eine Schlüsselrolle dabei, wie effektiv eine Organisation sich gegen Sicherheitsvorfälle verteidigen, diese identifizieren und sich von ihnen erholen kann. Statistiken über Datenlecks zeigen, dass Bedrohungsakteure immer geschickter darin werden, den „Perimeter“ eines Netzwerks zu durchbrechen, an dem normalerweise die Abwehrmaßnahmen ansetzen. Ein gut unterteiltes Netzwerk mit isolierten Netzwerksegmenten kann die Möglichkeiten eines Angreifers einschränken, sich lateral zu bewegen und von System zu System zu „schwenken“. Um die Risiken eines unsegmentierten, also flachen, Netzwerks zu verstehen, können wir uns das tatsächliche Beispiel des Datenlecks bei “Target” im Jahr 2013 ansehen. Nachrichtenberichten (KrebsOnSecurity) zufolge begann der Angriff, als ein Mitarbeiter eines Kühlungs-Subunternehmens von Target auf eine Phishing-E-Mail hereinfiel. Nachdem die Angreifer in die Systeme des Subunternehmens eingedrungen waren, hatten sie es auf ein Vendor-Management-Portal abgesehen, über das Target die Rechnungsstellung an Dritte abwickelt. Von hier aus konnten sie sich lateral durch das interne Netzwerk von Target bewegen und schafften es schließlich, Malware auf POS-Terminals (Point-of-Sale) in allen Filialen des Unternehmens zu installieren. Direkt nach dem Angriff implementierte Target eine verbesserte Segmentierung, um die laterale Bewegung zu unterbinden, die die Angreifer verwendet hatten. Eine effektive Netzwerksegmentierung kann auch die Erkennung von Anzeichen eines Angriffs erleichtern. Es ist nicht ungewöhnlich, dass das Intrusion Detection System (IDS) eines Unternehmens so viele Warnungen generiert, dass viele davon unbemerkt bleiben. Durch die Konzentration von Ressourcen in vertraulicheren Teilen des Netzwerks können Sicherheitsteams Vorfälle priorisieren, die wahrscheinlich die größten Auswirkungen auf das Unternehmen haben werden. Traffic-Flüsse zwischen verschiedenen Netzwerksegmenten können auch auf Muster überwacht werden, wobei ungewöhnliche Aktivitäten potenziell auf einen Angriff hindeuten.
Wer braucht Netzwerksegmentierung?
Organisationen aller Arten und Größen können von einem gut durchdachten Netzwerk profitieren, aber eine gute Segmentierung ist in bestimmten Branchen besonders wichtig.
- Anbieter im Gesundheitswesen: Organisationen im Gesundheitswesen müssen auf den Schutz sensibler Patientendaten achten und können daher hochsichere Bereiche ihres Netzwerks für die Speicherung medizinischer Daten abtrennen.
- Einzelhändler: Die PCI-Netzwerksegmentierung ist für Einzelhändler wichtig und umfasst die strikte Kontrolle des Zugriffs auf Teile des Netzwerks, in denen Karteninhaberdaten verarbeitet werden.
Ein weiterer häufiger Anwendungsfall für die Netzwerksegmentierung ist die Bereitstellung des Zugangs für Gäste oder Besucher. Der Datenverkehr des Gast-VLANs oder -Subnets wird vom Rest des Unternehmensnetzwerks getrennt, so dass Besucher nicht auf Unternehmensdaten zugreifen können.
Herausforderungen bei der Netzwerksegmentierung und neue Ansätze
Der herkömmliche Ansatz für die Netzwerksegmentierung – die Aufteilung des Netzwerks in VLANs und Subnets – erfordert viel manuelle Arbeit und lässt sich nicht gut skalieren. Netzwerkarchitekten müssen sorgfältig entscheiden, welche Ressourcen in ein und dasselbe Netzwerksegment gehören, und entsprechende Sicherheitsrichtlinien für die Kommunikation zwischen den Segmenten aufstellen. Ingenieure müssen dann alle betroffenen Switches, Router und Firewalls programmieren – mühsame Detailarbeit, bei der es oft zu Fehlern kommt. In komplexen Umgebungen, die bereits seit Jahren bestehen, ist die Implementierung von Best Practices zur Netzwerksegmentierung ohne eine Störung des Geschäftsbetriebs meist unmöglich. Um diese Probleme zu lösen, wählen IT-Führungskräfte zunehmend neue Ansätze wie Mikrosegmentierung und Software-definierte Netzwerke (SDNs). Hierbei wird die Durchsetzung von Segmentierungsrichtlinien von der physischen Netzwerkinfrastruktur entkoppelt. So ist eine detailliertere Steuerung und eine einfachere Verwaltung möglich.
- Mikrosegmentierung ermöglicht die Kontrolle des Netzwerk-Datenverkehrs bis auf die Anwendungs- oder Workload-Ebene.
- In einem SDN kann die Mehrmandantenfähigkeit durch die Präsentation unterschiedlicher virtueller Netzwerke an unterschiedliche Kunden und durch die Nutzung derselben zugrundeliegenden physischen Infrastruktur ermöglicht werden.
Sowohl Mikrosegmentierung als auch SDNs werden zunehmend eingesetzt, um das sogenannte Zero Trust Model zu implementieren. In diesem Modell werden Benutzer und Geräte standardmäßig als „nicht vertrauenswürdig“ eingestuft, selbst wenn sie sich bereits im Unternehmensnetzwerk befinden. Um „vertrauenswürdig“ zu werden und Zugriff auf Netzwerkressourcen zu erhalten, muss das Gerät oder der Benutzer bestimmte Bedingungen erfüllen, z. B. einen Virenscan durchlaufen oder die Zwei-Faktor-Authentifizierung (2FA) abschließen. Egal, ob Sie versuchen, PCI-Compliance zu erreichen oder einfach die Sicherheit in Ihrem Unternehmen zu verbessern – die Netzwerksegmentierung ist ein wichtiger Teil eines umfassenderen Informationssicherheitsprogramms. Die Varonis Data Protection Plattform kann Ihnen helfen, die Teile Ihres Netzwerks zu identifizieren, in denen wichtige Daten gespeichert sind, damit Sie eine effektive Segmentierungsstrategie aufbauen können. Möchten Sie mehr erfahren? Vereinbaren Sie noch heute eine persönliche Demo!