Nach und nach bleiben Netzwerkarchitekturen und ihre traditionellen Managementmodelle zurück. Diese Anleitung zeigt Ihnen die Grundlagen von Mikrosegmentierung und wie es sich an diese neuen Netzwerkarchitekturen anpasst, die mit mehreren Cloud-Diensten und Virtualisierung arbeiten. Ein viel höheres Sicherheitsniveau ist eines der herausragendsten Merkmale.
Was ist Mikrosegmentierung?
Es handelt sich um eine Art Netzwerksegmentierung, die speziell auf kritische Probleme abzielt, die damit zu tun haben Netzwerkschutz . Hauptziel ist es, das Risiko von Angriffen zu reduzieren und Sicherheitsmaßnahmen an die Nutzungsanforderungen anzupassen. Die Mikrosegmentierung ist ein moderner Ansatz, um Netzwerken mehr Sicherheit zu bieten, ganz im Einklang mit dynamischen Umgebungen der Informationstechnologie.
Netzwerk Sicherheit ist keine optionale Angelegenheit mehr in der Verwaltung. Dieses Segmentierungsmodell ist eine praktischere und einfachere Möglichkeit, mit der Einführung von zu beginnen Zero-Trust Modell in Netzwerken. Denken Sie daran, dass letzteres darin besteht, alle Zugriffskontrollen, die Authentifizierung und mehr auf alle Benutzer gleichermaßen anzuwenden, ohne die Rollen und Funktionen innerhalb einer Organisation zu unterscheiden.
Wie funktioniert es
Die Mikrosegmentierung gilt für jedes Mitglied a einzigartig und zentralisiert Netzwerkrichtlinie. Dies ermöglicht die Implementierung von Netzwerkrichtlinien, die über den Standort der Personen hinausgehen. Das heißt, es hängt nicht mehr davon ab, wo der Benutzer verbunden ist. Jetzt kommt es darauf an, ob der Benutzer tatsächlich verbunden ist. Diese Art der Anwendung von Netzwerkrichtlinien ist erforderlich, da Cloud-Dienste zunehmend eingesetzt werden und diese natürlich weit über den Umfang eines bestimmten Netzwerks hinausgehen.
Obwohl es offensichtlich ist, richtet sich die Mikrosegmentierung an Endbenutzer. Insbesondere aufgrund der Tatsache, dass ein großer Teil der Ereignisse, die die Netzwerksicherheit bedrohen, von den Geräten dieser Endbenutzer stammen. Mit anderen Worten, diese Art der Netzwerkverwaltung ist nicht auf große Unternehmensinfrastrukturen wie Rechenzentren beschränkt.
Arten der Mikrosegmentierung
Host-Agent
Dies richtet sich an Endbenutzer. Alle Daten, die durch das Netzwerk übertragen werden, werden über ein Gerät übertragen, das als zentraler Manager . Einer der Hauptvorteile besteht darin, dass Algorithmen und / oder Verschlüsselungsprotokolle des Datenverkehrs nicht erkannt und entschlüsselt werden müssen. Damit diese Mikrosegmentierungsstrategie ihr volles Potenzial entfalten kann, muss jedoch auf allen Hosts im Netzwerk spezielle Software installiert sein. Es ist auch wichtig zu wissen, dass durch die Verwendung des Host-Agent-Typs Sicherheitsereignisse im Netzwerk verhindert werden können, noch bevor ein Host das Netzwerk selbst betritt.
Basierend auf Hypervisoren
Was ist ein Hypervisor? Es ist der Kern vieler Hardware-Virtualisierungstechnologien. Diese sind für die Bereitstellung und Verwaltung des Gastbetriebssystems verantwortlich, dh für die Virtualisierung. Der Vorteil der Implementierung der Mikrosegmentierung mit Hypervisoren besteht darin, dass bereits implementierte Firewalls verwendet werden können, zusätzlich zur Migration aktueller Netzwerkrichtlinien auf dieselben oder andere Hypervisoren, je nachdem, wie die Netzwerkaktivität auf dieses Verwaltungsmodell migriert wird.
Dieses Modell wird jedoch nicht am meisten empfohlen. Da es in Cloud-Umgebungen, Containern oder Bare-Metal-Hypervisoren (die auf der Computerhardware selbst installiert sind und von dort aus wird die Virtualisierung ausgeführt) nicht vollständig funktioniert.
Wir können auch ein anderes Modell zitieren, das als Erweiterung des traditionellen Netzwerkmanagements . Dazu gehört beispielsweise die Segmentierung nach Zugriffssteuerungslisten und andere Methoden. Laut Experten ist dies das am einfachsten anzuwendende Modell, da es sich nicht um eine „plötzliche“ Änderung der Art und Weise der Netzwerkverwaltung handelt. Probleme können jedoch ab dem Moment auftreten, an dem Sie die Mikrosegmentierung auf sehr große Netzwerksegmente anwenden möchten. Dies liegt daran, dass für die Verwaltung und Bereitstellung von Event-Support viele finanzielle Ressourcen und spezialisiertes Personal erforderlich sind.
Warum ist Mikrosegmentierung sicherer?
Palo Alto Networks erklärt die Bedeutung der Mikrosegmentierung im Kontext des Nord-Süd-Netzwerkverkehrs (Nord-Süd in der Grafik) und Ost-West-Verkehr (Ost-West in der Grafik) . Die Netzwerksegmentierung, wie wir sie kennen, funktioniert am besten, wenn es um Nord-Süd-Verkehr geht, bei dem Kommunikation vom Typ Server-Client über das Netzwerk erfolgt. Heute wurden Netzwerkarchitekturen im Allgemeinen dank Cloud-Diensten erneuert und ihre Kombination wird als bezeichnet hybride Architektur . Letzteres hat mehr Ost-West-Netzwerkverkehr, dh Server-zu-Server-Kommunikation.
Die Grafik, die wir oben geteilt haben, zeigt, wie ein Großteil des Netzwerkverkehrs tritt mit der Ost-West-Rate auf. Wir sehen Server für Storage Area Networks (SAN-Netzwerke) und Exchange-Server (oder andere für E-Mails). Wir können auch Server sehen, die als Datenbanken dienen und von Firewalls umgeben sind.
Ein weiterer Punkt für die Mikrosegmentierung ist der zunehmende Einsatz virtueller Maschinen und anderer Virtualisierungsmethoden. Denken Sie daran, dass auf einem einzelnen Server möglicherweise mehrere Virtualisierungen mit der entsprechenden Arbeitslast und den entsprechenden Sicherheitsanforderungen gehostet werden können. Diese erneuerte Art der Segmentierung verbessert die Sicherheitsmaßnahmen auf granularer Ebene, dh je nach Komponente des Netzwerks.
Überlegungen vor der Implementierung
Vor einer Investition in die Implementierung der Netzwerk-Mikrosegmentierung sind wichtige Punkte erforderlich. Es wird empfohlen, eine Kontrolle mit einem hohen Maß an Detail in Bezug darauf, welche Netzwerkarchitektur verwendet wird, zusätzlich zu welchen Systemen und Anwendungen. Andererseits müssen Sie wissen, wie die Systeme miteinander kommunizieren.
Für all dies ist es notwendig, eine Analyse mit allen beteiligten Parteien durchzuführen. Vor allem, wenn es sich um ein großes Netzwerk handelt, in dem kritische Vorgänge täglich ausgeführt werden. Es ist sogar möglich, diese Analyse mit Unterstützung des Anbieters durchzuführen. Auf diese Weise ist es viel einfacher, die Punkte zu identifizieren, an denen die Mikrosegmente installiert werden. Hierbei ist es am wichtigsten, möglichst zu vermeiden, dass die Netzwerkfunktionalität beeinträchtigt wird.