Wie Makrosegmentierung funktioniert
Makrosegmentierung wird oft als Overlay auf der physischen Netzwerkinfrastruktur einer Organisation implementiert. Dies wird durch eine Kombination aus Firewall und Virtual Local Area Netzwerk (VLANs) erreicht.
Ein VLAN ist ein virtualisiertes Netzwerk, das definiert, wie der Datenverkehr über das physische Netzwerk weitergeleitet werden soll. Das bedeutet, dass, wenn sich zwei Systeme in unterschiedlichen VLANs befinden, der Datenverkehr möglicherweise nicht direkt zwischen ihnen weitergeleitet werden kann. Stattdessen sind die VLANs so konfiguriert, dass der gesamte Datenverkehr zwischen VLANs zunächst eine Firewall passieren muss. Dadurch ist es der Firewall möglich, Grenzen zwischen VLANs durchzusetzen – d. h. jeglichen Datenverkehr zu blockieren, der versucht, ohne Autorisierung eine VLAN-Grenze zu überschreiten – sowie Sicherheitsüberprüfungen und die Durchsetzung von Zugriffskontrollrichtlinien durchzuführen.
Makrosegmentierung vs. Mikrosegmentierung
Makrosegmentierung und Mikrosegmentierung sind beides Methoden zur Unterteilung des Netzwerks einer Organisation in Abschnitte und können eine Reihe von Vorteilen bieten. Die Richtlinien zur Makrosegmentierung und Mikrosegmentierung unterscheiden sich jedoch stark:
- Makrosegmentierung: Die Makrosegmentierung unterteilt ein Netzwerk in Systemgruppen und bietet die Möglichkeit, Netzwerkinfrastruktur und -systeme nach Abteilungen oder anderen Kriterien zu unterteilen. Die Implementierung erfolgt typischerweise über VLANs und Firewall.
- Mikrosegmentierung: Mikrosegmentierung unterteilt die Infrastruktur einer Organisation normalerweise auf System- oder sogar Anwendungsebene. Es wird verwendet, um eine hochgradig granulare Sichtbarkeit und Kontrolle über den Datenfluss innerhalb des Netzwerks einer Organisation bereitzustellen und so die Implementierung einer Zero-Trust- Sicherheitsstrategie zu ermöglichen. Es wird häufig mithilfe softwaredefinierter Lösungen bereitgestellt, da diese Systeme bereits eine umfassende Transparenz und Kontrolle für Routingzwecke erfordern (was die Inspektion und Durchsetzung von Richtlinien erleichtert).
Hauptvorteile der Makrosegmentierung
Makrosegmentierung verwandelt das Netzwerk einer Organisation von einem Monolithen in eine Ansammlung diskreter Subnetze. Dies bietet einer Organisation eine Reihe von Vorteilen:
- Verbesserte Sichtbarkeit und Kontrolle: Ohne die Implementierung von Makrosegmentierung hat ein Unternehmen nur tiefe Einblicke in und Kontrolle über den Netzwerkverkehr am Netzwerk-Perimeter, wo er die Perimeter-Firewall passiert. Durch die Makrosegmentierung bietet die interne Netzwerk- Firewall ein viel tieferes Verständnis und eine viel bessere Kontrolle über den Datenfluss innerhalb des Netzwerks einer Organisation.
- Verbesserte Sicherheit: Ein Hauptgrund dafür, dass Unternehmen Makrosegmentierung implementieren, besteht darin, die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen. Ein Angreifer innerhalb des Netzwerks einer Organisation muss sich wahrscheinlich seitlich durch das Netzwerk bewegen, um sein Ziel zu erreichen, da häufig gefährdete Systeme (Benutzerarbeitsplätze usw.) wahrscheinlich nicht das Ziel des Angreifers sind. Die Makrosegmentierung ermöglicht es einem Unternehmen, interne Datenflüsse an Segmentgrenzen zu überprüfen und so die Wahrscheinlichkeit zu erhöhen, diese seitliche Bewegung zu erkennen.
- Erhöhte Netzwerkleistung: Makrosegmentierung ermöglicht es einem Unternehmen, ein Netzwerk basierend auf seinen Geschäftsanforderungen zu segmentieren. Dies kann dazu beitragen, Netzwerklatenz und Überlastung zu verringern, indem sichergestellt wird, dass Systeme, die häufig miteinander kommunizieren, eng miteinander verbunden sind und überflüssige Netzwerkflüsse keine wertvolle Bandbreite verbrauchen.
- Compliance gesetzlicher Vorschriften: Einige Datenschutzbestimmungen, wie der Payment Card Industry Data Security Standard (PCI DSS), schreiben vor, dass Unternehmen den Zugriff auf geschützte Daten (z. B. Zahlungskarten) auf der Grundlage der erforderlichen Informationen beschränken. Die Makrosegmentierung ist ein wesentlicher Bestandteil der Compliance gesetzlicher PCI-DSS-Vorschriften, da konforme Organisationen die für die Zahlungskartenverarbeitung verwendeten Systeme vom Rest des Unternehmensnetzwerks isolieren müssen.
Implementierung der Makrosegmentierung mit Check Point
Die Makrosegmentierung verwendet eine interne Netzwerk- Firewall , um VLANs zu definieren und eine Inhaltsprüfung des über VLAN-Grenzen fließenden Datenverkehrs durchzuführen. Dies bietet einer Organisation eine Reihe verschiedener Vorteile und ist wahrscheinlich ein entscheidender Bestandteil der Datensicherheits- und Compliance-Strategie eines Unternehmens.
Organisationen müssen jedoch auch die Benutzerfreundlichkeit ihrer Netzwerkinfrastruktur berücksichtigen, wenn sie eine Strategie für die Bereitstellung der Makrosegmentierung in ihrem Netzwerk entwerfen und implementieren. Wenn der gesamte interne Netzwerkverkehr, der Segmentgrenzen überschreitet, gezwungen wird, die interne Netzwerk- Firewall zu passieren, benötigen Unternehmen Firewall mit hohem Durchsatz und robusten Sicherheitsinspektionsfunktionen, um sowohl die Netzwerkleistung als auch die Sicherheit zu maximieren.
Die Sicherheitslösungen von Check Point ermöglichen es Unternehmen, eine effektive Makrosegmentierung in ihrer gesamten Netzwerkinfrastruktur zu implementieren. Check Point Firewall der nächsten Generation (NGFWs) bieten robuste Sicherheit und hohen Durchsatz für die Infrastruktur vor Ort, während Check Point CloudGuard Cloud-native Sichtbarkeit und Sicherheitslösungen für die Cloud-basierte Bereitstellung eines Unternehmens bietet. Um diese Lösungen in Aktion zu sehen, fordern Sie Demos der Lösungen Check Point NGFW und CloudGuard Infrastructure as a Service (IaaS) an.
Feedback