Connected

Kategoriefilter
Filter by Category

Microsegmentierung zur Verbesserung der Netzwerksicherheit

128Technology

Stadtplaner bauten jahrelang Hochstraßen. Es war ihre Art, verstopfte Engpässe zu umgehen, ohne die Nachbarschaft aufzubuddeln . Im Laufe der Zeit stellten die Planer jedoch fest, dass Hochstraßen die Bedingungen nicht verbesserten - sie verschlechterten sie. Also verschrotteten sie Autobahnen und bauten sie wieder auf festem Boden. Virtuelle Netzwerke (VLANs) und veraltete Mikrosegmentierungsstrategien ähneln diesen hochgelegten Autobahnen, da sie für Netzwerktechniker mehr Probleme verursachen als lösen. Diese komplizierten Overlays erschweren die Verwaltung von Netzwerken und es fehlt ihnen die Unternehmensweite Sicherheit, die zum Schutz kritischer Daten erforderlich ist.

Microsegmentierung definiert den Prozess der Segmentierung und Sicherung des Netzwerkverkehrs neu und macht ihn zu einer besseren Lösung, um Ihr Netzwerk vor Cyberangriffen zu schützen. Anstatt ineffiziente Tunneltechnologien zu überlagern, wird das Problem von innen mit einem intelligenten, softwaredefinierten Ansatz zur Netzwerksegmentierung angegangen, der die Dinge viel, viel einfacher macht.



ENTWICKLUNG DER NETZWERKSICHERHEIT

Vor Jahrzehnten haben Ingenieure erfahren, dass die grundlegende Firewall-Sicherheit den unbefugten Benutzerzugriff nicht einschränkt. Während Firewalls Netzwerke an den Ein- und Ausstiegspunkten schützten, hinderten sie die Benutzer nicht daran, herauszufinden, wie sie Einschränkungen umgehen und Insiderangriffe ausführen können.

VLANs wurden entwickelt, um das Problem zu lösen, aber Hacker konnten immer noch Schwachstellen in den Netzwerken finden, indem sie gefälschte Identitäten, MAC-Flooding und andere Techniken verwendeten, um Zugriff auf eingeschränkte Ressourcen und Daten zu erhalten. Als Reaktion darauf wurden neue Sicherheitstools und Netzwerkprotokolle entwickelt, um die VLAN-Struktur zu überlagern, den Zugriff auf bestimmte Endpunktgeräte einzuschränken und virtuelle Router als Kommunikationsmittel zwischen Segmenten zu verwenden. Unsere Branche bezeichnet diese Tools und Protokolle als Mikrosegmentierungstechnologien und bildet jetzt eine teure, schwer zu wartende Infrastruktur, die die Netzwerkleistung beeinträchtigt. Hypersegmentierung hingegen entlastet das virtuelle Netzwerk erheblich von dieser Komplexität und verbessert gleichzeitig Sicherheit und Leistung.

 

WAS IST MICROSEGMENTIERUNG?

Im Gegensatz zur Overlaying-Technologie erstellt die Microsegmentierung eine neue virtuelle Straßenkarte, mit der Sicherheitsrichtlinien auf Anwendungsbasis einfach angewendet werden können. Dies wird durch die SDN-Technologie (Software Defined Network) ermöglicht, die Netzwerke danach segmentiert, wie Benutzer auf sie zugreifen, während der tatsächliche physische Standort oder Endpunkttyp ignoriert wird. Beispielsweise können CRM-Benutzer von jedem Ort aus auf die benötigten Anwendungen zugreifen, sie dürfen jedoch nicht auf andere Anwendungen zugreifen, die das Netzwerk gemeinsam nutzen. Da bei der Hypersegmentierung virtuelle Router verwendet werden, sind die Implementierungskosten viel geringer. Es ist auch viel sicherer.

Microsegmentierung ist eine Schlüsselkomponente der Keine Vertrauenssicherheit Ansatz. Wie der Name schon sagt, vertraut es niemandem, verweigert standardmäßig alle Pakete und authentifiziert den gesamten Datenverkehr, bevor es in das Netzwerk gelangt. Die Daten werden dann in Segmente unterteilt, die den Anforderungen von Benutzern, Gruppen und Anwendungen entsprechen. In einem Netzwerk mit Hypersegmentierung werden diese Segmente als Sitzungen bezeichnet.

 

WIE FUNKTIONIERT ES?

Die Ausstattung eines Netzwerks mit Hypersegmentierung beginnt mit der Definition aller Dienste, Ressourcen und Geräte, die Ihr Netzwerk unterstützt. Beispiele hierfür sind CRM-Systeme, Finanzanwendungen, ERP-Plattformen, Mailserver, Sprachdienste und Webressourcen. Der Zugriff auf diese Dienste wird den Mandanten dann von den Administratoren nach Bedarf bereitgestellt. Ein Mandant repräsentiert eine Sammlung von Benutzern und ihren Geräten, die gemeinsame Richtlinien verwenden. Services stellen bestimmte Anwendungen dar, die ein Netzwerk bereitstellt und auf die Mandanten Zugriff haben. Der Schirm, unter dem Ihre Mandanten und Dienste zusammen mit Sicherheitseigenschaften wie Authentifizierungs- und Verschlüsselungsschlüsseln existieren, wird als Behörde oder Verwaltungsdomäne bezeichnet.

 

Dieses Top-Down-Design stellt sicher, dass Ressourcen nur den Benutzern zur Verfügung gestellt werden, die sie benötigen. Beispielsweise kann ein Vertriebsleiter Mitglied des Vertriebsmandanten sein und Zugriff auf den CRM-Service haben, nicht jedoch auf den ERP-Service, während alle Benutzer Mitglieder des Enterprise-Mandanten mit Zugriff auf die Sprachdienste sein können.

 

Bei der Hypersegmentierung werden Daten eher in Sitzungen als in Paketen übertragen. Der virtuelle Router klassifiziert die Quelle der Sitzungsanforderung normalerweise auf drei Arten in einen konfigurierten Mandanten:

 

  • Es definiert die Sitzung für einen exklusiven Einzelmandanten.

  • Es kommt auf einer Schnittstelle von einem Präfix an, das als zu einem Mandanten gehörend angegeben wurde. (In diesem Fall kann eine einzelne Schnittstelle basierend auf der Subnetzmaske in separate Mandanten aufgeteilt werden.)

  • Es enthält vordefinierte Metadaten, die von einer benachbarten Sitzung klassifiziert wurden.

 

Die Microsegmentierung wendet auf jede Sitzung eine intelligente, dynamische Verschlüsselung an, die sich authentifiziert, wenn sie sich innerhalb und zwischen Netzwerken bewegt. Administratoren wenden universelle Routenrichtlinien auf Sitzungen an, die über Firewalls an andere Netzwerke gesendet werden. Sie können auch Raten- und Bandbreitenbeschränkungen für jede Sitzung erzwingen.

 

VERGLEICH DER MIKROSEGMENTIERUNG MIT DER HYPERSEGMENTIERUNG

Die Mikrosegmentierung beschreibt eine Reihe von Netzwerkprotokollen (IPsec, GRE, VXLAN und GENEVE), die physische Netzwerke überlagern. Diese Protokolle sollen die Sicherheit von VLANs erhöhen, erhöhen jedoch nur die Kosten und die Komplexität.

Die Microsegmentierung ignoriert das Overlay- und das physische Netzwerkdesign und adressiert die Daten selbst. Dieses neue Konzept bietet mehrere Vorteile, darunter verbesserte Flexibilität, Skalierbarkeit und Sicherheit. Damit können Daten nicht nur innerhalb definierter Segmente, sondern auch zwischen Segmenten verschoben werden. Darüber hinaus erweitert die Hypersegmentierung das Netzwerk über physische Grenzen hinaus. Das heißt, es werden Verschlüsselungsregeln auf andere Netzwerke, Anwendungen und mobile Geräte angewendet, um eine echte End-to-End-Lösung zu erhalten.

 

HYPERSEGMENTATION oder auch bekannt als MIKROSEGMENTIERUNG - EIN NEUER STANDARD FÜR MODERNES NETZWERKDESIGN

In Kombination mit Zero Trust Security-Protokollen ist die Hypersegmentierung eine solide Option zur Sicherung Ihres Netzwerks. Da Cyberangriffe die Netzwerk- und Datensicherheit täglich gefährden, können Sie nach den Zero Trust Security-Prinzipien Sicherheit in das Netzwerk selbst einbetten, anstatt sie mit einem Overlay zu versehen. Die Richtlinie "Standardmäßig verweigern" filtert Sicherheitsbedrohungen an den Endpunkten heraus und stellt sicher, dass die Daten, die in Ihrem Netzwerk übertragen werden, sicher sind.

Die Wartung und der Schutz alter Technologien sind oft teurer als der Kauf neuer Produkte, ganz zu schweigen davon, dass sie zeitaufwändiger sind. Das haben Stadtplaner erkannt, als sie mit dem Bau von Hochstraßen begonnen haben, und das gilt auch für Overlay-Netzwerke. Hypersegmentierung bietet einen besseren Weg nach vorne, indem sie die Kosten, die Komplexität und den Aufwand beim Netzwerkdesign senkt und eine bessere Sicherheit mit sich bringt.

 

 

Download Whitepaper

 

 

Messe: KAEMI goes Cloud Expo / Techweek in Frankfurt
26.09.2019 “IT´s complicated - Aber lösbar” Nutanix Event in Berlin

Über den Author

128 Technology
128 Technology

Gastbeiträge unserer Partnerfirma 128 Technology

Ähnliche Posts
128 Technology nun mit Microsoft 365 Zertifizierung
128 Technology nun mit Microsoft 365 Zertifizierung
Software Define Perimeter vs. VPN: Vorteile von SDP gegenüber herkömmlichen VPN-Lösungen
Software Define Perimeter vs. VPN: Vorteile von SDP gegenüber herkömmlichen VPN-Lösungen
Webinar: Smart Edges mit ZPE Systems, 128Technology & KAEMI am 08 Juli 2020
Webinar: Smart Edges mit ZPE Systems, 128Technology & KAEMI am 08 Juli 2020

Comment