top of page

Was ist Mikrosegmentierung?

 

Die Mikrosegmentierung trennt das Netzwerk in kleine logische Netzwerk, in den sich Applikationen uns IT-Services bereitgestellt werden. Die logisch getrennten Netze werden durch eine Firewall untereinander verbunden.

Die daraus resultierende Separierung von Services, also von so genannten "Workloads", ist ein Baustein des IT-Securitymodells "zero trust".

Als Resultat der Mikrosegmentierung befinden sich nur ein Server oder zumindest sehr wenige Server bzw. Endgeräte in einem Netzwerksegment.

Damit wird fast jeder Datenstrom über die Firewall reglementiert und kontrolliert.

 

Somit entstehen durch diese Netzwerksegmentierung viele isolierte Einzelbereiche, die von einander abgeschirmt sind.
Ein unberechtigter Zugriff auf andere Netzwerkbereiche, Services und Clients kann dadurch besonders effektiv und einfach durch die Aktivierung von Zugriffsregeln und Sicherheitsrichtlinien für den Datenverkehr unterbunden werden.

Mikrosegmentierung sichert also die Applikationen durch explizite Firewallregeln. 

Ungeregelte Kommunikation innerhalb eines VLANs entfallen, da es nur noch kleinere für den jeweiligen Zweck isolierte Netze mit meist nur einem Server gibt.
Granulate Firewallregeln zwischen den Mikronetzen regeln die Traffic.

In der Praxis erfolgt eine Mikrosegmentierung im Serverumfeld. 

Im Clientumfeld ist dies sinnvoll, allerdings weniger häufig implementiert, bzw. wird die IT-Sicherheit durch NAC/802.1X anderweitig gelöst.

 

Übrigens: Genau aus diesem Grund ist die Mikrosegmentierung die Netzwerkbasis für das später zu besprechende „Zero-Trust-Model.“

 

 

Wie wird Mikrosegmentierung eingerichtet?

 

Mikrosegmentierung kann manuell durch das Einrichten von verschiedenen Netzwerkgsegmenten, VLANs, erreicht werden. Diese Art der Einrichtung ist für Data Center Umgebungen geeignet, welche relativ statisch sind und in denen wenig neue Services hinzugefügt bzw. gelöscht werden.

 

Die Mikrosegmentierung im eigentlichen Sinne wird jedoch dynamisch durch Software-defined Networking (SDN). Ein zentraler SDN-Controller regelt das Hinzufügen von neuen Services und legt für diese Services gleich skriptgesteuert ein separates Netzwerksegment an.

Jeder Services wird dadurch aus Netzwerksicht völlig isoliert von allen anderen Services erschaffen.

Ein SDN trennt die administrative Netzwerkfunktion (Routing) von den eigentlichen Nutzdaten. 

Je nach Ausprägung kann ein SDN-gesteuertes Netzwerk sich auch bis ins WAN fortsetzen bzw. nur im WAN stattfinden (SD-WAN). 

Ein SD-WAN hat allerdings eher die kluge Nutzung aller physikalischen Leitungen und die Redundanz als Ziel und weniger das feingranulare Separieren der Daten durch Mikrosegmentierung.

 

Zusätzlich zum SDN kann eine zentral gesteuerte Mikrosegmentierung insbesondere im Data Center eine Security Policy an den äußeren Switchport aktivieren, dadurch erfolgt ein Schutz schon sehr früh und dicht am Server.

 

 

Welche Vorteile bietet die Mikrosegmentierung des Netzwerkes im Rechenzentrum bzw. Data Center?

 

Das Ziel der Mikrosegmentierung besteht hauptsächlich darin, Services im Rechenzentrum eines Unternehmens voneinander zu isolieren. Somit werden die Dateninhalte vor dem Übertritt geprüft und die Zugriffskontrollrichtlinien angewendet.

Dadurch kann jedes Unternehmen den Netzwerkverkehr der Applikationen und Services sehr zuverlässig kontrollieren und das Risiko vor einem Datenmissbrauch überdurchschnittlich stark reduzieren.

 

Insgesamt sehen wir bei unseren Kunden durch die Mikrosegmentierung diese Vorteile:

 

  • hohe, sogar vollständige Transparenz und Sichtbarkeit der Netzwerkdaten

  • unberechtigter Netzwerkverkehr wird durch die Mikrosegmentierung aufgedeckt und an den Security-Gateways und Firewalls unterbunden

  • Mikrosegmentierung vereinfacht die Pflege von Host- und IP-basierten Firewallregeln, da dies segmentweise und später sogar anhand von Services und Usern, anstelle von IPv4- und IPv6-Adressen, erfolgt

  • Anomalien im Netzwerk werden durch die hohe Sichtbarkeit der Netzwerkdaten auf Grund der Mikrosegmentierung sehr gut erkannt

  • die hohe Sichtbarkeit der Daten durch diese Art der Mikrosegmentierung ermöglicht es, an der Firewall Daten zur Netzwerksauslastung und zum Applikationsverhalten zu gewinnen. Damit können Applikationen sehr gut supportet und die Performance im Fehlerfall umfassend untersucht werden

  • erfolgt die Implementierung von Mikrosegmentierung im Data Center per SDN, so vereinfacht es den Netzwerk- und Sicherheitsteams deutlich die Arbeit. Sicherheitsregeln und Zugriffsfreigaben bzw. Zugriffsbeschränkungen lassen sich zentral am SDN Controller anlegen und sind dann unternehmensweit gültig.

 

In der Summe erhöht Mikrosegmentierung die IT-Sicherheit deutlich und schützt vor Cyberbedrohungen. 

In Abhängigkeit von der Ausgangslage kann eine Segmentierung bzw. Mikrosegmentierung die IT-Sicherheit um über 96% erhöhen und das Risiko eines Cyberangriffs im gleichen Maße senken.

 

Übrigens: Die Mikrosegmentierung ist natürlich technisch unabhängig vom IP-Protokoll, gilt also für IPv4 und IPv6 gleichermaßen. 

Wir empfehlen immer, IPv6 im LAN und im Data Center mit einzurichten.

Größere Unternehmen nutzen dazu „eigene“, vom Provider unabhängige IPv6-Adressen, um ein späteres Umadressieren zu vermeiden. (Siehe dazu: Wie erhält man einen IPv6 - Adressbereich?)

bottom of page