Netzwerk-Segmentierung
Vorteile und Risiken der Netzwerk-Segmentierung
Netzwerksegmentierung umfassend planen
Netzwerk-Segmentierungsprojekte erhalten 2017 bei vielen Unternehmen zunehmend an Priorität. Nach den Einschätzungen von Gartner Best Practices in Network Segmentation for Security werden mehr als 70 Prozent der Projekte zu einer Neugestaltung der gesamten Netzwerkarchitektur führen.
Eine Umgestaltung der Netzwerkarchitektur ist aber immer ein massiver Eingriff in die gesamte Business Continuity einer Organisation. Einerseits kann dies den Sicherheitslevel des Netzwerkes drastisch erhöhen, andererseits beinhalten Veränderungen immer Risiken, von denen jeder Teil eines Unternehmens betroffen sein kann. Was bedeutet also die Netzwerksegmentierung für die IT-Security und welchen Vorteil hat sie?
- Es teilt das Netzwerk in Zonen auf, die Daten mit ähnlichen Compliance-Anforderungen enthalten
- Durch die Segmentierung des Netzwerks reduziert sich der Compliance-Umfang und die Sicherheitsrichtlinien werden vereinfacht
Generell gilt: je mehr ein Netzwerk segmentiert wird, umso sicherer wird es. Allerdings sollte man sich vor einer „Über-Segmentierung“ hüten. Die zentrale Herausforderung besteht also darin, so viele Zonen wie möglich zu bilden, ohne dabei die zeitliche Aufrechterhaltung und die Netzwerkintegrität zu gefährden.
Seit Anfang 2017 kann man eine starke Zunahme dieser Projekte verzeichnen. Aber nicht immer ist klar, wo man anfangen soll, was die Risiken sind und ob sich die Investition überhaupt lohnt. Bei einer erfolgreichen Durchführung eines Segmentierungsprojektes wird aber auf jeden Fall die gesamte IT-Sicherheit und das Netzwerk-Management stark verbessert.
Crunchy shell/gooey center network architecture
Viele Unternehmensnetzwerke bestehen heute immer noch aus einer Perimeter-Firewall und möglicherweise noch ergänzenden Sicherheits-Tools, wie Security Information and Event Management ( SIEM ), Intrusion Prevention System ( IPS ), oder Advanced Threat Detection ( ATD ), die letztendlich nur den Netzwerkumkreis schützen. Der eigentliche Kern, das vertrauenswürdige Netzwerk dahinter, verfügt dagegen in den meisten Fällen über keinerlei Segmentierungsmethoden. Das ist eine große Schwachstelle, die heutige moderne Angriffsmuster ausnutzen. Sobald verschleierte oder verschlüsselte Malware den äußern Schutzring durchbrechen kann, gibt es nichts was sie davon abhält die Devices im internen Netzwerk anzugreifen. E-Mail-, Dropbox- und USB- Laufwerke sind nur ein paar Möglichkeiten, wie Schadstoffware versuchen kann, den Umkreisschutz zu umgehen. Einmal im Inneren angekommen, kann die Malware tage-, wochen-, oder sogar monatelang unentdeckt bleiben. (Seite 38- Verizon’s 2016 Data Breach Investigations Report) .
Wie sollte man also am besten ein Segmentierungsprojekt angehen?
Beginnen Sie zunächst von „innen nach außen“ zu denken. Stellen Sie die volle Sichtbarkeit des gesamten Netzwerkes da, um Netzwerke, Daten und Geräte zu identifizieren, die eine Segmentierung erfordern. Der letzte Schritt besteht darin, entsprechende Richtlinien für ein automatisches Segmentieren von Geräten und Benutzern in das entsprechende Netzwerk einzurichten.
Im Jahr 2009 hat Forrester das Zero Trust Modell der Netzwerksicherheit erstellt. Dieses Modell stammt aus der Schlussfolgerung, dass für das heutige digitale Geschäft das traditionelle perimeter-basierte Sicherheitsmodell gegen böswillige Insider und gezielte Angriffe unwirksam ist. NextGen Firewalls (NGFW) waren die ersten Lösungen, die den "Trust-but-Verify" -Ansatz angenommen haben und dadurch eine Schlüsselrolle im Zero Trust Model einnahmen. Google entwickelte daraufhin eine eigene Lösung, BeyondCorp , die auf dem Konzept basierte, dass der Umkreisschutz nicht mehr existiert und organisatorische Grenzen verschwinden.
Die Zero Trust Network Architecture befürwortet die Verwendung von Next-Generation Firewalls (NGFW), um die Netzwerksegmentierung auf jeder Ebene des Netzwerks zu erzwingen.
Wenn Sie den Planungsprozess für Ihr Segmentierungsprojekt starten, werden Sie sehr schnell auf mind. 2 große Herausforderungen stoßen:
- Sie erkennen, dass Ihr interner Netzwerkverkehr nicht durch eine NGFW fließt und müssen alles komplett neu strukturieren, damit dieser interne Verkehr gesehen und gesichert werden kann. Dies führt oft dazu, dass bereits jetzt viele Segmentierungsprojekte scheitern. Interner Verkehr, der nicht über das Internet geleitet wird, geht folglich nicht durch die NGFW (z.B.: Laptop, der mit einem Drucker spricht) und kann daher nicht überprüft werden. Die Migration von einem flachen Netzwerk zu einem vollständig segmentierten Netzwerk ist ein massives Vorhaben. Es erfordert viel operative Planung und kann ein erhebliches Risiko für die täglichen Geschäftsabläufe sein.
- Nachdem Sie sich nun entschlossen haben, Ihr internes Netzwerk neu zu gestalten, müssen Sie auch die Zunahme des Datenverkehrs berücksichtigen, der nun geprüft werden muss. Der erhöhte Traffic kann auch eine höhere Investition in leistungsstärkere Systeme bedingen. Intrusion Prevention Systems, ATDs und NGFWs sind bereits leistungsstarke Geräte, die eine Menge Probleme lösen können, aber die haben auch ihren Preis. Diese erhöhten Kosten können sich wiederum negativ auf den ROI des Projekts auswirken.
Wie geht man das Projekt an, ohne das Budget zu sprengen und das bestehende Netzwerk neu aufzusetzen?
Die ForeScout-Plattform ergänzt die NGFWs und ermöglicht es, ein "virtuell segmentiertes" Netzwerk auf das bestehende Netzwerk „on Top“ zu implementieren. Dies wird ermöglicht, indem eine Zuordnung neuer Netzwerksegmente zu den bestehenden Netzwerken und die Integration mit vorhandenen Netzwerkgeräten zusammengeführt werden, um die Zugriffe zu koordinieren. Vorhandene Switches, Router, Wireless Controller und Firewalls können nahtlos integriert und die Netzwerksegmente um jedes Gerät erweitert werden, das eine Verbindung zum Netzwerk herstellt. Dies passiert zudem automatisch, und unabhängig davon, wo oder wie ein Gerät sich verbindet – ohne Installation eines Agenten auf dem Gerät.
Mit der Kombination aus NGFW´S und ForeScout können Sie die richtig dimensionierten Firewalls an die Netzwerkgrenzen so implementieren, das die Zugriffe zwischen den Segmenten kontrolliert und die Devices in jedem Segment über ForeScout gesichert werden können.
Anwendungsbeispiel
Mit diesem beschriebenen Ansatz wurden Tausende von bestehenden IP-Kameras einer Firma gesichert. Die Anforderung: Jedes Mal, wenn eine neue Kamera an das Netzwerk angeschlossen werden sollte, war die Auflage, dass sie sofort in das richtige Segment verschoben, das Operation-Team alarmiert, dieser Event protokolliert, eine entsprechende Regel erstellt und der Zugriff auf einen bestimmten Server beschränkt werden sollte.
Wenn nun ein Gerät an das Netzwerk anhängt wurde und ForeScout diese als IP- Kamera klassifizierte, wurden automatisch folgende Richtlinien aufgestellt:
- Verbinde das Gerät mit dem drahtlosen Controller und weise es dem Netzwerksegment „Kamera“ zu.
- Verbinde dich mit der Firewall von Palo Alto Networks und erstelle die Regel, um den Internet-Zugang der Kamera zu begrenzen.
- Verbinde dich mit dem Access Switch und erstelle eine Zugriffssteuerungsliste (ACL), die den Netzwerkzugriff auf die Kamera beschränkt.
- Mache einen API-Aufruf zu Splunk mit den Geräteinfos und erstelle den Verbindungsnachweis mit den getroffenen Sicherheitsrichtlinien.
- Poste eine Slack-Benachrichtigung an das Operation Team #OpsChanel und benachrichtige die Admins. Dies alles erfolgte ohne menschliche Interaktion und ohne Installation eines Agents auf dem Gerät.
Mit der Nutzung der ForeScout Echtzeit-Sichtbarkeit, Klassifizierung und Posting-Fähigkeit wird den Unternehmen ein Tool an die Hand gegeben, das eine automatisierte Netzwerk-Segmentierung in Echtzeit durchführen kann.
ForeScout Integration mit Palo Alto Networks NGFWs