Im Februar 2021 warnte das Bundeskriminalamt vor einer deutlich steigenden Zahl von Cyber-Attacken. Was aber dagegen tun? Die Firewalls verstärken? Gut, aber nicht gut genug. Denn Netzwerke lassen sich nicht zuverlässig komplett schützen. Die beste Ergänzung: Mikrosegmentierung. Damit verhindern Unternehmen, dass sich Hacker in ihrem Netzwerk ungebremst ausbreiten.
Erinnert sich noch jemand an den AOL-Werbespot mit Boris Becker? „Ich bin drin“, freute sich der ehemalige Tennisstar 1999 über seinen Einstieg ins Internet. „Ich bin drin“: Das können mehr als 20 Jahre später auch Hacker wieder und wieder von sich behaupten. Gelingt es ihnen doch immer öfter, ganze Unternehmensnetzwerke mit Malware zu infiltrieren. Sind sie erst einmal ins Firmennetz eingedrungen, arbeiten sie sich dort häufig ungehindert vor und greifen Informationen ab. Denn Firewalls schützen nur den so genannten Nord-Süd-Verkehr. Heißt, sie wollen das Netzwerk des Unternehmens vor Threats von außen bewahren. Aber 80 Prozent des Datenverkehrs läuft innerhalb der IT-Infrastruktur und ausgerechnet diesen Ost-West-Verkehr schützen Unternehmen bislang nur unzureichend. Hier setzt die Mikrosegmentierung an: Sie kontrolliert den Server-zu-Server-Verkehr zwischen den Anwendungen – und lässt sich nun auch als gemanagter Service nutzen.
Mit diesem Security-Ansatz reduzieren Unternehmen ihre Angriffsflächen. Denn die Software unterbindet die seitlichen Bewegungen – auch Lateral Movement genannt – im Netzwerk. Das Prinzip greift auf die Unterteilung von U-Booten zurück: Auch die sind sicherheitshalber in verschiedene Zonen eingeteilt. Sind die Luken geschlossen, kann eine Kammer mit Wasser volllaufen, ohne die anderen Bereiche des Schiffs zu gefährden. In einer IT-Infrastruktur hat Mikrosegmentierung einen ähnlichen Effekt: Sie isoliert Server, Systeme, Workloads und Applikationen voneinander. Und legt eine Art Wabenstruktur über all jene Workloads und Applikationen, die sich miteinander austauschen dürfen. Die Technologie teilt das Netzwerk also in logische und sichere Einheiten auf und definiert die Richtlinien, nach denen auf Anwendungen und Daten zugegriffen werden darf. Mikrosegmentierung arbeitet gemäß der Regel: Was nicht miteinander kommunizieren muss, darf auch nicht miteinander kommunizieren. Daher stoßen externe Hacker genauso wie interne Täter schnell auf Grenzen und Kontrollen, wenn sie sich innerhalb des Netzwerks bewegen. Ergebnis: Unternehmen begrenzen die Risiken und möglichen Schäden.
Zugegeben: Mikrosegmentierung ist kein gänzlich neues Konzept. Es hat sich aber zuletzt beachtlich weiterentwickelt. Die Technik lässt sich heute deutlich einfacher umsetzen. Es gibt viele Unternehmen, die sich auch bisher schon an der Netzwerk-Segmentierung versucht haben. Um die gefürchteten Seitwärtsbewegungen zu verhindern, haben sie Firewalls innerhalb der Infrastruktur hochgezogen. Die Komplexität ist dabei erheblich, was bei vielen Projekten zu einer unzureichenden Segmentierung geführt hat. Weil das Konzept und seine Regelwerke bislang auf IP-Adressen basierten, war das Ganze statisch und aufwendig. Neue Lösungen für Software Defined (SD)-Segmentation, wie Mikrosegmentierung auch genannt wird, sind dagegen softwarebasiert und damit viel wendiger. Regelwerke basieren auf Identitäten & Labels, werden automatisch vorgeschlagen und hängen an der Applikation, bspw. im Rahmen einer Cloud Transformation zieht das Regelwerk automatisch mit um. Wer sich mit Next-Generation-Firewalls und SD-WAN auseinandersetzt, wird daher immer auch auf SD-Segmentation stoßen.
SD-Segmentation hinterlegt für alle Gruppen von Workloads und Anwendungen gültige Regelwerke. Diese sind plattform-agnostisch und gelten in der On-Premise-Umgebung genauso wie in der Public Cloud oder in Hybrid- oder Multi-Cloud-Umgebungen. SD-Segmentation unterstützt das Prinzip von Zero Trust und kann einen wichtigen Baustein dafür liefern. Aus mehreren Gründen:
• Hat ein Unternehmen alle Richtlinien definiert, ist nur noch jene Kommunikation möglich, die zuvor erlaubt wurde.
• Traditionelle Firewalls schützen auf Layer 2 und 3 und arbeiten mit IP-Adressen. SD-Segmentation dagegen sichert auch Layer 7. Sie bietet umfassenden Schutz, auch für die Prozesse. Und legt fest, auf welche Daten und Anwendungen einzelne Nutzer und/oder Server zugreifen dürfen.
• Detaillierte Richtlinien für Anwendungen, Services und Workloads lassen sich auch für Hybrid- und Multi-Cloud-Umgebungen erstellen, durchsetzen und automatisiert verwalten.
• Mit der Mikrosegmentierung erreichen Unternehmen eine netzwerkweite Transparenz und zentralisieren die Sicherheitskontrollen für das gesamte Unternehmen.
In der Vergangenheit wurde Mikrosegmentierung mit Hilfe von Next Generation Firewalls (NGFW) oder Teil von SD-WAN-Produktsuiten umgesetzt. T-Systems geht nun neue, innovative Wege. Als erstes Unternehmen bietet T-Systems in Zusammenarbeit mit Guardicore einen Managed Service an. Wir heben damit unsere Firewall-Expertise auf ein neues Level. Unternehmen können mit unserem gemanagten Mikrosegmentierungsservice Angriffe von außen besser parieren und sich vor Seitwärtsbewegungen im Netzwerk schützen. Die SD-Segmentation-Lösung schlägt Regelwerke automatisiert vor und setzt sie auch durch. Und verglichen mit herkömmlichen Segmentierungslösungen ist die neue Variante sogar erheblich günstiger.
