Die Netzwerksegmentierung ermöglicht es einem Unternehmen, das Cybersicherheitsrisiko zu reduzieren und ist ein wichtiger erster Schritt zur Definition einer Zero-Trust-Sicherheitsrichtlinie. Durch die Netzwerksegmentierung werden Netzwerkgrenzen geschaffen, an denen eine Zero-Trust-Sicherheitsrichtlinie Zugriffskontrollen erzwingen kann.
In der Vergangenheit definierten viele Organisationen nur eine sichere Grenze am Netzwerkrand. Die folgenden Schritte beschreiben, wie Sie eine effektive Segmentierung innerhalb des Unternehmensnetzwerks implementieren.
Nicht alle Daten und Vermögenswerte innerhalb einer Organisation sind gleichwertig. Einige Systeme, wie zum Beispiel die Kundendatenbank, können für die Aufrechterhaltung des normalen Betriebs unerlässlich sein. Andere, wie zum Beispiel ein Drucker, sind nützlich, aber für das Funktionieren des Unternehmens nicht lebenswichtig.
Die Zuordnung von Wichtigkeits- und Wertstufen zu Vermögenswerten ist ein wichtiger erster Schritt für die Netzwerksegmentierung. Diese Labels werden später verwendet, um die verschiedenen Vertrauenszonen innerhalb des Netzwerks zu definieren.
Neben dem Wert der Vermögenswerte ist es auch wichtig, die Sensibilität der darin enthaltenen Daten zu berücksichtigen. Vermögenswerte, die sehr sensible Daten wie Kundeninformationen, Forschungs- und Entwicklungsdaten usw. enthalten, erfordern möglicherweise zusätzliche Schutzmaßnahmen zur Compliance von Datenschutzbestimmungen oder der Sicherheitsrichtlinie des Unternehmens.
Diese Bezeichnungen sollten sowohl die Sensibilität der Daten berücksichtigen (d. h (öffentlich bis stark eingeschränkt) und die Arten von Daten, die ein Asset enthält. Dies hilft bei der Definition von Segmentierungsrichtlinien, die den geltenden Vorschriften entsprechen, beispielsweise dem Payment Card Industry Data Security Standard (PCI DSS).
Die Netzwerksegmentierung trägt zur Verbesserung der Netzwerksicherheit bei, indem sie das Netzwerk in isolierte Segmente aufteilt. Dadurch wird es für einen Angreifer schwieriger, sich seitlich durch das Netzwerk zu bewegen, nachdem er zunächst Fuß gefasst hat.
Es gibt jedoch eine Reihe legitimer Datenströme, die zugelassen werden müssen. Alle Datenflüsse über alle Systeme im Netzwerk sollten abgebildet werden, einschließlich:
Bestimmte Vermögenswerte innerhalb des Netzwerks einer Organisation werden für ähnliche Zwecke verwendet und kommunizieren regelmäßig. Eine Trennung dieser Systeme voneinander ist nicht sinnvoll, da zur Aufrechterhaltung der normalen Funktionalität eine Reihe von Ausnahmen erforderlich wären.
Bei der Definition von Asset-Gruppen ist es wichtig, sowohl diese ähnliche Funktionalität als auch die Sensibilität der verschiedenen Assets im Unternehmensnetzwerk zu berücksichtigen. Alle Vermögenswerte, die ähnlichen Zwecken dienen und ähnliche Sensibilitätsstufen aufweisen, sollten in einem Segment zusammengefasst werden, getrennt von anderen Vermögenswerten mit unterschiedlichen Vertrauensstufen oder Funktionen.
Das Definieren von Segmentgrenzen ist wichtig, bringt der Organisation jedoch keinen Nutzen, wenn diese Grenzen nicht durchgesetzt werden. Die Durchsetzung von Zugriffskontrollen für jedes Netzwerksegment erfordert die Bereitstellung eines Segment- Gateway.
Um eine Segmentgrenze durchzusetzen, muss der gesamte Netzwerkverkehr, der in dieses Segment eintritt und es verlässt, das Gateway passieren. Daher benötigt eine Organisation möglicherweise mehrere Gateway , um eine effektive Segmentierung zu implementieren. Diese Anforderungen können bei der Entscheidung helfen, ob eine Hardware-Firewall oder eine virtuelle Firewall ausgewählt werden soll.
Der Datenverkehr zwischen Vermögenswerten innerhalb eines bestimmten Segments kann uneingeschränkt fließen. Die Kommunikation zwischen den Segmenten muss jedoch vom Segment-Gateway überwacht werden und den Zugriffskontrollrichtlinien entsprechen.
Diese Richtlinien sollten auf der Grundlage des Prinzips der geringsten Rechte definiert werden, das besagt, dass eine Anwendung, ein Gerät oder ein Benutzer über das für die Ausführung ihrer Aufgabe erforderliche Mindestmaß an Berechtigungen verfügen sollte. Diese Berechtigungen sollten auf den in Nr. 3 genannten legitimen Datenflüssen basieren.
Nach der Definition von Mikrosegmenten, der Bereitstellung eines Segmentierungs- Gateway und der Erstellung und Durchsetzung von Zugriffskontrollrichtlinien ist der Prozess der Implementierung der Netzwerksegmentierung weitgehend abgeschlossen. Die Definition einer Netzwerk-Segmentierungsrichtlinie ist jedoch keine einmalige Aufgabe.
Die Netzwerksegmentierungsrichtlinien können sich aufgrund der Entwicklung des Unternehmensnetzwerks oder aufgrund von Versäumnissen und Fehlern im anfänglichen Designprozess ändern. Um diese potenziellen Probleme anzugehen, sind regelmäßige Prüfungen erforderlich, um festzustellen, ob Änderungen vorgenommen wurden, ob unnötige Risiken im System bestehen und wie Netzwerksegmente und Zugriffskontrollen aktualisiert werden können, um diese Risiken zu mindern.
Das Definieren einer Netzwerksegmentierungsrichtlinie kann eine große Aufgabe sein, insbesondere für Netzwerke im Unternehmensmaßstab. Der Versuch, alle diese Schritte manuell durchzuführen, kann schwierig oder unmöglich sein.
Aus diesem Grund ist es wichtig, wo immer möglich Automatisierungsmöglichkeiten zu nutzen. Insbesondere in der Erkennungs- und Klassifizierungsphase kann die Automatisierung von unschätzbarem Wert sein, um neue, dem Netzwerk hinzugefügte Assets, ihre Kommunikationsflüsse, ob sie Schwachstellen enthalten, und die Anwendung der Netzwerksegmentierungsrichtlinie zu identifizieren.
Mit dem Wachstum des Internets der Dinge (IoT) ist die automatisierte Erkennung und Kennzeichnung immer wertvoller geworden. Diese Geräte sind oft unsicher und eine Segmentierung ist erforderlich, um sie von kritischen Systemen im Unternehmensnetzwerk zu isolieren. Die Implementierung effektiver IoT-Sicherheit erfordert jedoch eine Firewall, die IoT-Protokolle versteht. Um die Netzwerksegmentierung für IoT in Aktion zu sehen, können Sie gerne eine Demo anfordern.