Was ist Netzwerksegmentierung?


Netzwerksegmentierung ist ein Netzwerksicherheitsverfahren, bei dem ein Netzwerk in kleinere, separate Subnetzwerke unterteilt wird. Dadurch können Netzwerkteams die Subnetzwerke voneinander abschotten und Sicherheitskontrollen und Services speziell für jedes Subnetzwerk bereitstellen.

Bei der Netzwerksegmentierung wird ein physisches Netzwerk in verschiedene logische Subnetzwerke partitioniert. Sobald das Netzwerk in kleinere, besser verwaltbare Einheiten unterteilt wurde, werden Kontrollen auf die einzelnen Segmente angewendet.

In unserem überarbeiteten E-Book finden Sie alle Informationen zum Thema Mikrosegmentierung:

In unserem überarbeiteten E-Book finden Sie alle Informationen zum Thema Mikrosegmentierung:

Jetzt herunterladen 

Vorteile der Netzwerksegmentierung

Netzwerksegmentierung bietet einzigartige Sicherheitsservices für jedes Netzwerksegment und führt so zu mehr Kontrolle über den Netzwerkdatenverkehr, optimiert die Netzwerk-Performance und verbessert den Sicherheitsstatus.

 

Die Sicherheit wird erhöht. Wir alle wissen, dass Sicherheit immer nur so stark ist wie ihr schwächstes Glied. Ein großes flaches Netzwerk bietet zwangsläufig auch eine große Angriffsfläche. Wenn jedoch ein großes Netzwerk in kleinere Subnetzwerke aufgeteilt wird, wird die Angriffsfläche durch Isolierung des Netzwerkdatenverkehrs innerhalb der Subnetzwerke verkleinert und die laterale Ausbreitung verhindert. Wenn also der Netzwerkperimeter durchbrochen wird, können sich Angreifer aufgrund der Netzwerksegmente nicht lateral im Netzwerk bewegen.

 

Darüber hinaus können mithilfe der Segmentierung aktive Angriffe isolieret werden, bevor sie sich über das Netzwerk ausbreiten. Beispielsweise wird durch die Segmentierung sichergestellt, dass Malware in einem Segment keine Auswirkungen auf Systeme in einem anderen Segment hat. Durch das Erstellen von Segmenten wird die Angriffsfläche auf ein absolutes Minimum reduziert und die Ausbreitung von Bedrohungen verhindert.

 

Netzwerksegmentierung hat auch Auswirkungen auf die Performance. Sie reduziert Netzwerküberlastungen und verbessert dadurch die Netzwerk-Performance, indem unnötiger Datenverkehr in einem bestimmten Segment entfernt wird. Beispielsweise können die medizinischen Geräte eines Krankenhauses vom Besuchernetzwerk getrennt werden, sodass die Geräte nicht durch den Internetdatenverkehr der Besucher beeinträchtigt werden.

 

Netzwerksegmentierung führt dazu, dass es weniger Hosts pro Subnetz gibt, der lokale Datenverkehr pro Subnetz minimiert und der externe Datenverkehr auf den für das Subnetz bestimmten Datenverkehr beschränkt wird.

 

 

Funktionsweise der Netzwerksegmentierung

Bei der Netzwerksegmentierung werden mehrere isolierte Segmente innerhalb eines größeren Netzwerks erstellt, wobei für jedes unterschiedliche Sicherheitsanforderungen und -richtlinien gelten können. Diese Segmente enthalten bestimmte Anwendungs- oder Endpunkttypen mit derselben Vertrauensstufe.

 

Es gibt mehrere Möglichkeiten, eine Netzwerksegmentierung durchzuführen. Zuerst wird die perimeterbasierte Segmentierung beschrieben, die mit VLANs implementiert wird. Anschließend folgt die Segmentierung mithilfe von Methoden der Netzwerkvirtualisierung, die tiefer im Netzwerk durchgeführt wird.

 

Perimeterbasierte Segmentierung

Bei der perimeterbasierten Segmentierung werden interne und externe Segmente auf Vertrauensbasis erstellt: Was im Netzwerksegment enthalten ist, ist vertrauenswürdig, alles, was sich außerhalb befindet, hingegen nicht. Daher gibt es nur wenige Einschränkungen für interne Ressourcen, die üblicherweise über ein flaches Netzwerk mit minimaler interner Netzwerksegmentierung ausgeführt werden. Filtern und Segmentierung erfolgen an festen Netzwerkpunkten.

 

Ursprünglich wurden VLANs eingeführt, um Broadcast-Domänen aufzuteilen und so die Netzwerk-Performance zu verbessern. Im Laufe der Zeit wurden VLANs immer häufiger als Sicherheitstool eingesetzt, obwohl sie dazu eigentlich nie gedacht waren. Das Problematische an VLANs ist, dass es keine VLAN-internen Filter gibt.Sie haben eine großflächige Zugriffsebene.

 

Außerdem muss eine Richtlinie vorhanden sein, um zwischen Segmenten zu wechseln. Mit einer Richtlinie können Sie entweder den Datenverkehrsfluss von einem Segment zum anderen stoppen oder den Datenverkehr begrenzen (basierend auf Datenverkehrstyp, Quelle und Ziel).

 

Die Netzwerk-Firewall ist ein gängiges Tool für die perimeterbasierte Segmentierung. Sie wurde ursprünglich verwendet, um die North-South-Bewegung des Netzwerkdatenverkehrs zu kontrollieren und gleichzeitig innerhalb eines Segments beliebig zu kommunizieren.

 

Netzwerkvirtualisierung

Heutzutage haben viele Unternehmen eine Vielzahl von Netzwerkbereichen mit spezifischen Funktionen, die eine Segmentierung an zahlreichen Netzwerkpunkten nötig machen. Darüber hinaus muss das Netzwerk immer mehr Endpunkttypen mit jeweils unterschiedlichen Vertrauensstufen unterstützen.

 

Daher ist eine perimeterbasierte Segmentierung nicht mehr ausreichend. Seitdem es beispielsweise die Cloud, BYOD und Mobilgeräte gibt, hat der Perimeter keine klaren Abgrenzungspunkte mehr. Deshalb ist jetzt mehr Segmentierung tiefer im Netzwerk nötig, um eine höhere Sicherheit und eine bessere Netzwerk-Performance zu erzielen. Darüber hinaus ist angesichts der heutigen East-West-Traffic-Muster noch mehr Netzwerksegmentierung erforderlich. Hier kommt Netzwerkvirtualisierung ins Spiel, da sie die Effizienz der Segmentierung optimiert.

 

In ihrer einfachsten Form bedeutet Netzwerkvirtualisierung die Bereitstellung von Netzwerk- und Sicherheitsservices unabhängig von der physischen Infrastruktur. Netzwerkvirtualisierung spielt bei der effizienten Netzwerksegmentierung eine zentrale Rolle, da sie eine Segmentierung im gesamten Netzwerk und nicht nur am Perimeter möglich macht. Die perimeterbasierte Segmentierung von früher ist nun virtualisiert und wird mit flexiblen, detaillierten Sicherheitsrichtlinien auf jedes einzelne Segment des Netzwerks verteilt.

Lösungen und Ressourcen zur Anwendungssicherheit von VMware

VMware NSX: führende Plattform zur Virtualisierung von Enterprise-Networking und -Sicherheit

Vernetzen und schützen Sie die Anwendungen in Ihren Rechenzentren und Clouds durch Virtualisierung von Networking und Sicherheit mithilfe von VMware NSX.

VMware Service-Defined Firewall

Schützen Sie East-West-Traffic mit einer speziell entwickelten internen Firewall, die in den Hypervisor integriert und auf jedem Host verfügbar ist.

Netzwerk- und Mikrosegmentierung mit Service-Defined Firewall

Stellen Sie problemlos Netzwerksegmente als Software bereit und implementieren Sie Mikrosegmentierung zwischen Anwendungen und Workloads.