Spot on IT

Aktuelle Themen, Meinungen und Einschätzungen aus der Cobotec Mannschaftszentrale

From Hero to Zero

Mit Netzwerksegmentierung zu Zero Trust

Wie eine gelernte Phrase plötzlich eine ganz andere Bedeutung bekommt, sobald es um Zero Trust geht, nicht wahr? Denn wer mit seiner Security-Strategie from Hero to Zero geht, begibt sich damit nicht auf einen rasanten Abstieg, sondern im Gegenteil: mit dem Ansatz des Zero Trust hebt er seine Sicherheitsmaßnahmen auf ein neues und fortschrittliches Level. Ein, der Situation angepasstes Level, könnte man auch sagen. Spätestens seit durch diese, gefühlt schon ewig andauernde Pandemie, die Anzahl der Home-Office-Plätze und Endgeräte explodiert ist, wird es für Unternehmen zur schier übermächtigen Aufgabe, all diese neuen Datenverbindungen der verschiedensten, auch privat genutzten Endpoints, gegen Cyberbedrohungen abzusichern.

Während klassische Security-Maßnahmen sich ausschließlich auf externe Zugriffe und Netzwerkverkehr beschränken, geht der Zero-Trust-Ansatz tiefer und misstraut grundsätzlich jedem Vorgang und Nutzer – egal ob intern oder extern. Das ist angesichts der neuen Herausforderungen auch nur richtig und dringend empfohlen. Denn, sobald der Zugang zum internen Netzwerk gelingt, steht Hackern quasi Tür und Tor weit offen, wenn entsprechende Authentifizierungsmaßnahmen nicht bei jeder neuen Tür, auch innerhalb des eigenen Netzwerks immer wieder aufs Neue einen Riegel vorschieben. So bleiben bei einem Einbruch in das Netzwerk-Haus, zumindest alle weiteren Zimmer sicher verschlossen und die Inhalte darin geschützt.

Neben der genauen Überwachung von Nutzern, Geräten und Anwendungen, deren Datenverbindungen, Verschlüsselung der Daten, Multifaktor-Authentifizierungen und der strikten Reglementierung, welcher Nutzer auf welche Bereiche des Netzwerks unbedingt zugreifen können muss, geht es auch um den grundsätzlichen Aufbau des Netzwerks. Kleinere Zonen, die einem entsprechend nur kleinem Nutzerkreis zur Verfügung stehen, müssen zuallererst geschaffen werden.

Netzwerksegmentierung – Zimmer bauen im Netzwerk-Haus

Was der Trockenbau für den Architekten ist, nennt sich Netzwerksegmentierung in der IT – und diese bietet eine perfekte Grundlage für eine umfassende Cyber-Security-Strategie und ist eine tragende Säule im Zero-Trust-Modell. Um Zimmer zu schaffen, die mit jeder neuen Tür eine Zugangskontrolle ermöglichen, muss das große Netzwerk in kleinere Segmente unterteilt werden. Die Segmentierung geschieht beispielsweise über VLANs, also kleinere Sub-Netzwerke, in denen alle betreffende Hosts direkt miteinander verbunden sind. Ebenso sind interne Firewalls denkbar, die die verschiedenen Unternehmensbereiche oder einzelne Anwendungen voneinander trennen.

Mikro-Segmentierung geht auf Host- bzw. Benutzer- oder Anwendungsebene. Sie ist damit die feingliedrigste Möglichkeit der Segmentierung. Der Zugriff auf ein so definiertes Segment, wird nur einer klar definierten und begrenzten Gruppe von Nutzern oder nur einem einzigen Nutzer mit entsprechendem Zugangsschlüssel gestattet beziehungsweise Datenverkehr nur dann zugelassen, wenn es gemäß vorgegebener Richtlinie zugelassen ist.

Virtualisierte Verwaltung der Mikro-Segmente

Je nach Größe des Unternehmens bzw. Anzahl der Endpoints oder Anwendungen können diese definierten Mikrosegmente eine nicht unerhebliche (meint: erschreckend hohe) Anzahl darstellen. Der Verwaltungsaufwand dahinter wäre immens. Die Lösung bieten virtualisierte Umgebungen, wie das Software-Defined-Networking (SDN), die das Netzwerk-Management zentral zugänglich machen und die Hardware-Ebene komplett abstrahiert.

Anbieter für die Verwaltung von Mikro-Segmenten gibt es viele. So bietet beispielsweise unser Partner Nutanix mit Flow eine Visualisierungs- und Verwaltungssoftware, mit der Mikrosegmente über den AHV Hypervisor von Nutanix erstellt und überwacht werden können. Sie ist also als Erweiterung der HCI-Lösung (Hyperconverged Infrastructure) zu sehen – bedeutet dann aber keine weitere Änderung am Netzwerk, sondern nur das nutzbar machen schon vorhandener Daten und Infrastrukturen.

Mikrosegmentierung mit Nutanix Flow

Nutanix Flow ist vollständig in die Nutanix Private Cloud-Lösung und die Nutanix AHV-Virtualisierung integriert und unterscheidet sich von herkömmlichen Perimeter-Firewalls dadurch, dass Netzwerkrichtlinien an VMs und Anwendungen angehängt werden können und nicht an bestimmte Netzwerksegmente (z. B. VLANS) oder Identifikatoren (IP-Adressen). Durch die zentrale Verwaltung von Prism, der Benutzeroberfläche von Nutanix, werden die Richtlinien während des gesamten VM-Lebenszyklus automatisch aktualisiert, wodurch der Aufwand für das Änderungsmanagement entfällt.

Quelle: Nutanix

Die Erstellung der richtigen Netzwerkrichtlinien erfordert ein vollständiges Verständnis des Workload-Verhaltens. Nutanix Flow bietet eine detaillierte Visualisierung der Kommunikation zwischen VMs sowie Unterstützung bei der Kategorisierung und Gruppierung von Workloads und macht es einfach und unkompliziert, die richtigen Richtlinien zur Netzwerksegmentierung für die Umgebung festzulegen.

Wer darf welche Tür öffnen? Zero Trust Network Access

Bei der Definition, wer welche Tür öffnen darf, kommt der Zero Trust Network Access (ZTNA) ins Spiel (zum Beispiel von unserem Partner Sophos). Er nutzt den Ansatz der bekannten Virtual-Private-Network-Zugänge (VPN), mit deutlich spezifischeren Kontrollmöglichkeiten. Während VPN im Grunde der Generalschlüssel für das gesamte Haus war, kann mit ZTNA genau festgelegt werden, wer auf bestimmte Anwendungen und Daten zugreifen darf.

Quelle: Sophos

ZTNA erlaubt auch ohne weitere Netzwerksegmentierung im Hintergrund eine Mikrosegmentierung auf Anwendungsebene und behandelt jede Applikationsverbindung als separate Umgebung. Die Authentifizierung erfolgt abhängig von einer Identität oder gerätebasiert. Wichtigster Teil im ZTNA ist der Software-Defined Perimeter (SDP). Die Technologie basiert auf dem “Black Cloud”-Konzept, was soviel bedeutet, dass der Nutzer das Netzwerk im Hintergrund nicht kennt und jeweils nur Zugang für den jeweils angefragten Vorgang bekommt. Im Gegensatz zu einem Virtual Private Network, in dem über einen – zwar verschlüsselten Verbindungspfad – alle für den Nutzer freigeschalteten Ressourcen erreichen kann. Bei ZTNA erhält der Nutzer also für jede Tür einen separaten Schlüssel, weiß aber nicht, wie viele Türen es gibt und was sich in jedem Zimmer befindet. Somit bieten sie auch keine Angriffsfläche für Hacker, für die die verfügbaren Services unsichtbar bleiben.