Netzwerksegmentierung

SonicWall-Maßnahmen zum Schutz digitaler Assets vor seitlichen Angriffen

, München, SonicWall

SonicWall-Maßnahmen zum Schutz digitaler Assets vor seitlichen Angriffen

Netzwerksegmentierung: Digitale Assets vor seitlichen Angriffen schützen

Von Ajay Uggirala, Senior Manager Produktmarketing, SonicWall

Vor COVID-19 arbeiteten die meisten Unternehmensmitarbeiter in Büros und verwendeten Computer, die mit dem internen Netzwerk verbunden waren. Sobald sich Benutzer mit diesen internen Netzwerken verbunden hatten, bekamen sie normalerweise Zugriff auf alle Daten und Anwendungen ohne viele Einschränkungen. Netzwerkarchitekten haben somit flache interne Netzwerke entworfen, in denen die Geräte im Netzwerk direkt oder über einen Router oder Switch miteinander verbunden wurden.

Flache Netzwerke sind zwar schnell zu implementieren und weisen weniger Engpässe auf, sind dafür aber extrem anfällig. Sobald sie kompromittiert sind, können sich Angreifer seitlich frei über das gesamte interne Netzwerk bewegen.

Das Entwerfen flacher Netzwerke zu einer Zeit, als sich alle vertrauenswürdigen Benutzer in den internen Netzwerken befanden, war natürlich einfacher und schneller. Allerdings haben sich die Zeiten dafür geändert. Heute geben 55 % der Befragten an, dass sie mehr Stunden aus der Ferne arbeiten als im physischen Büro . Aufgrund der schnellen Entwicklung dieser hybriden Arbeitsweise, entstehen für die Unternehmen eine Vielzahl von Herausforderungen:

  • Mehrere Netzwerkperimeter in der Zentrale, in entfernten Niederlassungen und in der Cloud
  • Anwendungen und Daten sind über verschiedene Cloud-Plattformen und Rechenzentren verstreut
  • Benutzer, die den gleichen Zugriff auf interne Netzwerke erwarten, während sie remote arbeiten

Trotz der Komplexität der Reihe von Problemen, gibt es dafür eine Lösung. Die Netzwerksegmentierung kann, wenn sie richtig implementiert wird, das Netzwerk entflachen, sodass Sicherheitsadministratoren interne Netzwerke unterteilen und granularen Benutzerzugriff bereitstellen können.

Was ist eine Netzwerksegmentierung?

Das National Institute of Standards and Technology (NIST) bietet folgende Definition für die Netzwerksegmentierung an: „Das Erstellen separater Bereiche im Netzwerk, die durch Firewalls geschützt und so konfiguriert sind, dass sie unnötigen Datenverkehr zurückweisen. Die Netzwerksegmentierung minimiert den Schaden von Malware und anderen Bedrohungen, indem sie auf einen begrenzten Teil des Netzwerks isoliert wird.“ Das Hauptprinzip der Segmentierung besteht darin, sicherzustellen, dass jedes Segment vor dem anderen geschützt ist, sodass eine Verletzung nur auf einen Teil des Netzwerks beschränkt ist. Die Segmentierung sollte auf alle Einheiten in der IT-Umgebung angewendet werden, einschließlich Benutzer, Workloads, physische Server, virtuelle Maschinen, Container, Netzwerkgeräte und Endpunkte.

Verbindungen zwischen diesen Entitäten sollten erst zugelassen werden, nachdem ihre Identitäten verifiziert und die richtigen Zugriffsrechte eingerichtet wurden. Der Ansatz der Segmentierung mit granularem und dynamischem Zugriff wird auch als Zero Trust Network Access (ZTNA) bezeichnet.

Wie in der Abbildung gezeigt, verfügt eine segmentierte Netzwerkumgebung anstelle eines Netzwerks mit einem einzigen Perimeter, innerhalb dessen Entitäten im gesamten Netzwerk frei zugänglich sind, über kleinere Netzwerkzonen, die durch Firewalls getrennt sind.

Netzwerksegmentierung erreichen

Die Implementierung der Segmentierung mag zunächst komplex erscheinen und kann durchaus einschüchternd wirken. Folgende Schritte können bei der Durchführung allerdings sehr hilfreich sein:

1. Verstehen und visualisieren

Netzwerkadministratoren müssen alle Subnetze und virtuellen lokalen Netzwerke (VLANs) in den Unternehmensnetzwerken zunächst zuordnen. Die Visualisierung der aktuellen Umgebung bietet sofort einen Mehrwert, um zu verstehen, wie und was segmentiert werden soll. In diesem Schritt müssen Netzwerk- und Security-Teams auch zusammenarbeiten, um zu sehen, wo Sicherheitsgeräte wie Firewalls, IPS und Netzwerkzugriffskontrollen im Unternehmensnetzwerk eingesetzt werden. Eine genaue Karte des Netzwerks und ein vollständiges Inventar der Sicherheitssysteme helfen dabei enorm bei der Erstellung effizienter Segmente.

2. Segmentieren und Richtlinien erstellen

Der nächste Schritt in diesem Prozess besteht darin, die Segmente selbst zu erstellen: Große Subnetze oder Zonen sollten segmentiert, überwacht und mit granularen Zugriffsrichtlinien geschützt werden. Segmente können basierend auf einer Vielzahl von Kategorien konfiguriert werden, bspw. durch Geolokalisierung, Unternehmensabteilungen, Serverfarmen, Rechenzentren und Cloud-Plattformen. Erstellen Sie nach dem Definieren von Segmenten die Sicherheitsrichtlinien und Zugriffskontrollregeln zwischen diesen Segmenten. Diese Richtlinien können dann mithilfe von Firewalls, VLANs oder sicheren mobilen Zugriffsgeräten umgesetzt und verwaltet werden. In den meisten Fällen können Sicherheitsadministratoren einfach vorhandene Firewalls oder sichere mobile Zugriffslösungen verwenden, um granulare Richtlinien zu segmentieren und zu erstellen. Am besten stellen Administratoren sicher, dass Segmente und Richtlinien an den Geschäftsprozessen des Unternehmens ausgerichtet sind.

3. Richtlinien überwachen und durchsetzen

Nehmen Sie sich nach dem Erstellen von Segmenten und Richtlinien etwas Zeit, um die Traffic-Muster zwischen diesen Segmenten zu überwachen. Wenn die Sicherheitsrichtlinien zum ersten Mal durchgesetzt werden, kann dies zu Unterbrechungen der regulären Geschäftsabläufe führen. Daher ist es am besten, Richtlinien im nicht blockierenden oder im Alarmmodus anzuwenden und Fehlalarme oder andere Netzwerkfehler zu überwachen. Als nächstes ist es an der Zeit die Richtlinien auch durchzusetzen. Sobald die einzelnen Policies übertragen wurden, ist jedes Segment vor seitlichen Bewegungen von Cyberangreifern und vor internen Benutzern geschützt, die versuchen, auf Ressourcen zuzugreifen, zu deren Verwendung sie nicht berechtigt sind. Es empfiehlt sich, bei Änderungen an Netzwerken, Anwendungen oder Benutzerrollen kontinuierlich neue Richtlinien zu überwachen und bei Bedarf anzuwenden.

Richtlinienbasierte Segmentierung: Ein Weg nach vorn für verteilte Netzwerke

Was die heutigen Unternehmen benötigen, ist eine Möglichkeit, eine granulare Richtliniendurchsetzung für mehrere Segmente innerhalb des Netzwerks bereitzustellen. Durch die Segmentierung können Unternehmen kritische digitale Assets vor seitlichen Angriffen schützen und Remote-Mitarbeitern sicheren Zugriff gewähren.

SonicWall bietet hier den Unternehmen mit der Leistung und Flexibilität seiner Next-Gen-Firewalls (NGFW) und mit weitern Technologien, wie sicherem mobilen Zugriff und ZTNA-Lösungen, die heutigen verteilten Netzwerke zu schützen, indem eine richtlinienbasierte Segmentierung erzwungen wird. Zu den preisgekrönten Hardware- und fortschrittlichen Technologien von SonicWall gehören NGFWs , Secure Mobile Access und Cloud Edge Secure Access . Diese Lösungen sind so konzipiert, dass jedes Netzwerk – von kleinen Unternehmen bis hin zu großen Unternehmen, vom Rechenzentrum bis zur Cloud – segmentiert und besser geschützt werden kann.