Was ist Netzwerk-Microsegmentierung?

Microsegmentierung ist eine Methode, bei der ein Netzwerk in kleine, isolierte Bereiche (Segmenten / Zonen) unterteilt wird, um den Zugriff auf bestimmte Ressourcen einzuschränken. Im Kontext der Netzwerksicherheit bedeutet Microsegmentierung, dass der Datenverkehr zwischen verschiedenen Teilen des Netzwerks durch Perimeter Firewalls mit aktiven Diensten wie IDS streng kontrolliert wird, um die Ausbreitung von Bedrohungen auch intern zu verhindern.

Feinabstimmung der Kommunikation von Clients zum Server: 

Microsegmentierung ermöglicht eine granulare Kontrolle über den Zugriff auf Ressourcen. Sie können genau festlegen, welche Benutzer oder Systeme auf bestimmte Daten oder Anwendungen zugreifen dürfen.

Viele Unternehmen setzten Firewalls zwar ein, um den Übergang zum Internet abzusichern, vergessen dabei aber, dass inzwischen jeden Tag Geräte an dieser durch die Mitarbeiter des Unternehmens vorbeigetragen werden. (im wahrsten Sinne des Wortes). Die technischen Kommunikationsverbindungen zu den Servern sind oft im gleichen Netzwerk. Eine Trennung zwischen den einzelnen Servern findet man selbst in großen Organisationen oft noch nicht.

Zonenkonzept

Netzwerkarchitekten planen hierfür Kommunikationstabellen, in welchen ersichtlich ist, welche Serveranwendung auf welchem Weg mit dem Nutzer oder auch untereinander kommunizieren. Im Konkreten sprechen wir hier von dem Minimalprinzip der Kommunikation. Jede Netzwerkzone welche mit einer anderen Netzwerkszone kommuniziert, wird über eine Firewall geschleust, welche den Traffic (Netzwerkverkehr) untersucht.

So muss z.B. ein Anwendungsserver mit einem MS SQL Datenbankserver nur auf dem Port 1433 kommunizieren. Die Verbindung wird auch immer einseitig vom Anwendungsserver in Richtung Datenbankserver aufgebaut. Es ist also aus Netzwerkarchitektursicht nicht notwendig, weitere Verbindungen zwischen diesen beiden Servern zuzulassen.

In diesem Fall werden beispielsweise zwei Zonen erschaffen. Zone „DB“ als Datenbankserverzone und „APP“ als Anwendungsserverzone. Nun werden beide VLANs in denen sich die Server befinden durch eine Perimeter-Firewall getrennt. Schon auf Netzwerkebene ist hier sichergestellt, dass verschiedene Angriffsszenarien, die sich außerhalb von SQL-spezifischen Angriffen befinden, zwischen diesen beiden Servern nicht möglich werden.

Wo fängt man an?

Jedes Unternehmen hat inzwischen viele Business Applications, oft sogar mehr als 100. Denken Netzwerkadministratoren jetzt darüber nach, die Firewalls und VLANs konfigurieren zu müssen, wird dem ein oder anderen schlecht. Schablonen sind der Weg zum Erfolg!

Netzwerkarchitekten müssen für Ihre Firewalladmins klare Schablonen vorgeben, sodass man sich daran orientieren kann. Auch der Ansatz: erst konfigurieren und dann durch Tests herausfinden, ob es so passt wie man es wollte ist nicht der richtige Weg. Fehlkonfigurationen sind durch die schiere Fülle der Verbindungen praktisch vorprogrammiert.

Stück für Stück Vorrangehen ist hier der Weg zum Erfolg. Das oben beschriebene Beispiel ist schon eine extreme Ausbaustufe der Microsegmentierung. Anfangen kann man auch erstmal damit folgende Netze zu Zonieren:

• Gäste
• Clients
• Drucker
• Telefone
• Server
• Storage
• IoT Devices

Sichert man jedes dieser Netze schonmal mit den grundlegenden Verbindungen, so hat man schon einiges getan.

Achtung, es reicht nicht VLANs anzulegen und über Access Control Lists die Zugriffe zu steuern. Ein wichtiger Baustein sind die Next Generation Firewall Dienste, die den „East-West“ Traffic kontrollieren.

Wie weit sollte man es treiben?

Die ganz klare Aussage ist hier: desto weiter, desto sicherer. Mit klassischer Firewall-Verwaltung wird man jedoch schnell an die Grenzen kommen. Gerade im Datacenterbereich setzt man auf Software Defined Networking.

Wie vermeide ich Fehlkonfigurationen?

Der Prozess zur Netzwerk Microsegmentierung ist auch organisatorisch anzusehen. Wir empfehlen dringend den Einsatz eines Change-Management-Tools und eines damit verbundenen Change Advisory Boards (CAB). Wird eine neue Anwendung ins Unternehmen gebracht, sollte ein Solution Architekt einen Kommunikationsplan für diese Software aufzeichnen. Dieser wird dann als Change eingekippt. Im CAB sollte dann mindestens im vier Augen Prinzip darüber geschaut werden. Wichtig ist auch nach Durchführung des Changes nochmal im vier Augenprinzip über die Konfiguration der Firewalls, Server und Clients zu schauen.

Was bedeutet das für mein IT-Personal?

Der Aufwand für Microsegmentierung ist nicht zu unterschätzen. Der zusätzliche Sicherheitsaspekt frisst in allen Bereichen der IT-Abteilung Ressourcen. Der Einsatz von DevOps Konzepten und Software Defined Networking (SDN) wird bei mehreren hundert Applikationen unerlässlich. Dazu muss der klassische Firewalladmin weiterqualifiziert werden. Wir empfehlen schon heute sich mit SDN zu beschäftigen, damit der Mensch nicht auf der Strecke bleibt.

Was bedeutet Microsegmentierung aus der Kostensicht?

Neben erhöhten Aufwänden für Konfiguration und Monitoring stehen Lizenzkosten und Rechenleistung. Die Kontrolle des internen Datenverkehrs ist aufgrund der hohen internen verfügbaren Bandbreiten wesentlich kostenintensiver als Datenverkehr zwischen dem lokalen Netzwerk und dem Internet. Haben Sie zwischen Ihren Serverclustern und Clients z.B. mehr als 10 Gbit (was einer durchaus normalen Durchsatzmenge intern entspricht) kosten die meisten Firewalls schon mehrere tausend Euro pro Jahr. Gehen wir in größere Netze mit mehreren 100 Gibt Leitungen, welche an den Rechenzentren anliegen, können die Lizenzkosten für die Firewalls schnell an die 500.000 bis 1.2 Mio Euro pro Jahr ansteigen. Einsatz von Softwarefirewalls wie PFSense kann ggf. die Kosten reduzieren, wobei hier akribisch auf die Rechenleistung der darunterliegenden Hosts geachtet werden muss.

So schaut das bei einem meiner Kunden aus (persönlicher Bericht).

Mit meinem Beratungsteam habe ich Anfang 2023 von einem unserer Kunden den Auftrag erhalten ein Netzwerksegmentierungskonzept zur Erhöhung der Sicherheit, erfüllen der Richtlinien des BSI Kompendiums 2023 und Cloudreadyness zu erstellen. Das Netzwerk hatte über 700 Standorte, 14 virtuelle Layer, mehr als 50.000 Endgeräte und 15.000 Anwender. Keine einfache Aufgabe in dem Zusammenhang. Wo fängt man da überhaupt an, stellt sich die Frage? Nach knapp 12 Workshops mit allen möglichen IT- Verantwortlichen, teilweise auch gemeinsam in einem Raum mit 15 Leuten, hat man Stück für Stück einen Überblick bekommen. Als Ziel haben wir ein Schablonenkonzept erarbeitet, welches für jeden der Standorte und für jede Application angewendet werden kann. Ein knapp 100-Seitiger Bericht und eine „Geschäftsführerfreundliche“ Präsentation waren das Ergebnis welches mein Team in einem halben Jahr intensiver Arbeit zusammengestellt haben. Die Microsegmentierung für dieses Netzwerk wurde von uns auf einen Aufwand von 4 bis 7 Jahren Implementierungszeit geschätzt. Ich kann nur jedem raten: fangen Sie jetzt an.

Fazit:

Microsegmentierung ist eine Disziplin, die über alle Bereiche hinweg die Arbeit der IT professionalisiert. Unternehmen haben müssen mit wesentlich höheren Kosten für den Netzwerkbetrieb rechnen, da viele neue Kostenarten hinzukommen. Als Dankeschön erhält man jedoch auch wesentlich mehr Sicherheit gegen verschiedenste Angriffsmethoden, die Hacker heute nutzen, um eines unserer teuersten Güter, unsere Daten, zu stehlen.

Autor: Manuel Wagner, CEO CosH Consulting GmbH, Januar 2024