Die intelligente Netzwerksegmentierung ist eine Schlüsselstrategie zur Reduzierung der Angriffsfläche eines Rechenzentrums. So wie die Schotten eines Schiffs darauf ausgelegt sind, dass sie Überschwemmungen eindämmen, wenn der Rumpf durchbrochen wird, isoliert die Segmentierung Server und Systeme in separate Zonen. Damit verhindert sie, dass Eindringlinge oder Malware von einer Zone zur nächsten gelangen können und begrenzt den potenziellen Schaden durch einen Sicherheitsverstoß oder -Vorfall.
So ist es nicht verwunderlich, dass die Verwendung der Netzwerksegmentierung als Verteidigungsstrategie für Rechenzentrumsnetzwerke zunimmt. Die Entscheidung, wo genau die Grenzen zu setzen sind, die einzelne Segmente voneinander abtrennen, ist jedoch nicht immer einfach. Insbesondere in komplexen, netzwerk- und herstellerübergreifenden Umgebungen. Die IT-Teams, die das Netzwerk verwalten, können sich an vier einfache Tipps halten, um Grenzen effektiv und effizient zu ziehen.
Den Netzwerkverkehr identifizieren
Der erste Schritt der Segmentierung besteht darin, alle Abläufe der Anwendungen im Netzwerk eines Rechenzentrums zu identifizieren. Eine gute Methode dafür ist die Verwendung einer Netflow-Quelle, die in eine Discovery Engine integriert ist.
Eine intelligente Discovery Engine kann die Netzwerkströme identifizieren und jene zusammenfassen, die eine logische Verbindung zueinander haben. Das sind zum Beispiel solche, die auf gemeinsamen IP-Adressen basieren, was anzeigen kann, dass die Ströme die gleiche Geschäftsanwendung unterstützen.
Diese Informationen können durch zusätzliche Daten ergänzt werden, wie z. B. Bezeichnungen für Geräteobjektnamen oder Anwendungsnamen, die für die Abläufe relevant sind. Zusammengefasst ergibt sich so eine vollständige Karte, die die Datenströme, Server und Geräte identifiziert, die für die Geschäftsanwendungen eines Unternehmens notwendig sind, um ordnungsgemäß zu funktionieren.
Sobald das Netzwerkteam die Netzwerk- und Anwendungsabläufe identifiziert hat, kann es mit der Erstellung eines Schemas für die Netzwerksegmentierung beginnen. Dies bedeutet, dass sie den besten Platz im internen Rechenzentrumsnetzwerk wählen müssen, um ihre Traffic-Filter zu platzieren und die Grenzen zwischen den Segmenten zu definieren. Dazu müssen die Verantwortlichen genau festlegen, was mit den Anwendungsflüssen nach der Einführung dieser Filter passiert.
Es ist wichtig, an folgendes zu denken: Wenn ein Filtergerät (oder eine virtualisierte Technologie zur Mikrosegmentierung) in einem internen Rechenzentrumsnetzwerk platziert wird, um eine Grenze zwischen den Segmenten zu schaffen, müssen einige der Anwendungsdatenströme diese Grenze überschreiten. Diese Ströme benötigen explizite Regeln für die Policy, die es ihnen ermöglichen, die Grenze zu überqueren. Andernfalls werden die Ströme blockiert, und die Anwendungen, die auf diese Daten angewiesen sind, können nicht arbeiten.
Die Grenzkontrollen durchsetzen
Woher wissen die Teams also, wann sie spezifische Regeln zu den Sicherheitskontrollen hinzufügen müssen, und welche Regeln sollten das sein? Der entscheidende Schritt besteht darin, die Abläufe der Anwendungen genauer zu untersuchen, die in dem ersten Discovery-Prozess identifiziert wurden. Dabei sollte berücksichtigt werden, ob der Traffic bereits durch eine bestehende Firewall, einen Filter oder eine andere Sicherheitskontrolle fließt oder nicht.
Wenn der Erkennungsprozess zeigt, dass ein bestimmter Fluss bereits von einer Firewall gefiltert wird, besteht keine Notwendigkeit, eine zusätzliche, explizite Firewall-Regel für diesen Netzwerkverkehr hinzuzufügen, wenn die Segmentierung angefangen wird.
Der Erkennungsprozess kann jedoch zeigen, dass einige Anwendungsabläufe derzeit keinen Traffic-Filter durchlaufen. Wenn die IT plant, einen Filter zu platzieren, um ein neues Netzwerksegment zu erstellen, muss sie prüfen, ob diese ungefilterten Ströme blockiert werden, sobald die neuen Regeln angewendet werden. In diesem Fall muss das Team eine neue, explizite Regel hinzufügen, um den Fluss über die Segmentgrenzen zu ermöglichen.
Der Schlüssel dazu ist Folgendes: Die Organisation muss ihnen ein Discovery-System bereitstellen, um Anwendungsabläufe zu identifizieren. Das Team erhält dann Informationen mit den Daten zu ihren Firewalls und Sicherheitskontrollen. Damit kann das Unternehmen erkennen, welche Abläufe derzeit gefiltert werden und welche nicht, was bei der Entscheidung, wo genau die Grenzen der Segmente verlaufen sollen, sehr hilfreich ist.
