Netzwerksegmentierung ist ein Netzwerksicherheitsverfahren, bei dem ein Netzwerk in kleinere, separate Subnetzwerke unterteilt wird. Netzwerkteams können diese Subnetzwerke dann voneinander abschotten und Sicherheitskontrollen und Services speziell für jedes Subnetzwerk bereitstellen.

Bei der Netzwerksegmentierung wird ein physisches Netzwerk in verschiedene logische Subnetzwerke partitioniert. Sobald das Netzwerk in kleinere, besser verwaltbare Einheiten unterteilt wurde, werden Kontrollen auf die einzelnen Segmente angewendet.

Netzwerksegmentierung bietet einzigartige Sicherheitsservices für jedes Netzwerksegment. So können Sie den Netzwerkverkehr besser kontrollieren, die Performance des Netzwerks optimieren und den Sicherheitsstatus verbessern.

Die Sicherheit wird erhöht. Sicherheit ist bekanntermaßen immer nur so stark wie ihr schwächstes Glied. Ein großes flaches Netzwerk bietet zwangsläufig auch eine große Angriffsfläche. Wenn jedoch ein großes Netzwerk in kleinere Subnetzwerke aufgeteilt wird, reduziert die Isolierung des Netzwerkdatenverkehrs innerhalb der Subnetzwerke die Angriffsfläche und verhindert die laterale Ausbreitung. Wenn also der Netzwerkperimeter durchbrochen wird, können sich Angreifer aufgrund der Netzwerksegmente nicht lateral im Netzwerk bewegen.
Darüber hinaus können mithilfe der Segmentierung aktive Angriffe isoliert werden, bevor sie sich über das Netzwerk ausbreiten. Beispielsweise wird durch die Segmentierung sichergestellt, dass Malware in einem Segment sich nicht auf Systeme in einem anderen Segment auswirkt. Durch das Erstellen von Segmenten wird die Angriffsfläche auf ein absolutes Minimum reduziert und die Ausbreitung von Bedrohungen verhindert.

Netzwerksegmentierung hat auch Auswirkungen auf die Performance. Sie reduziert Netzwerküberlastungen und verbessert dadurch die Netzwerk-Performance, indem unnötiger Datenverkehr in einem bestimmten Segment entfernt wird. Beispielsweise können die medizinischen Geräte eines Krankenhauses vom Besuchernetzwerk getrennt werden, sodass die Geräte nicht durch den Internetdatenverkehr der Besucher beeinträchtigt werden.

Durch Netzwerksegmentierung wird die Anzahl der Hosts pro Subnetz verringert, der lokale Datenverkehr pro Subnetz minimiert und der externe Datenverkehr auf den für das Subnetz bestimmten Datenverkehr beschränkt.

Bei der Netzwerksegmentierung werden mehrere isolierte Segmente innerhalb eines größeren Netzwerks erstellt, wobei für jedes Segment unterschiedliche Sicherheitsanforderungen und -richtlinien gelten können. Diese Segmente enthalten bestimmte Anwendungs- oder Endpunkttypen mit derselben Vertrauensstufe.

Es gibt mehrere Möglichkeiten, eine Netzwerksegmentierung durchzuführen. Zuerst wird die perimeterbasierte Segmentierung beschrieben, die mit VLANs implementiert wird. Anschließend gehen wir auf die Segmentierung mithilfe von Methoden der Netzwerkvirtualisierung ein, die tiefer im Netzwerk durchgeführt wird.

Perimeterbasierte Segmentierung

Bei der perimeterbasierten Segmentierung werden interne und externe Segmente auf Vertrauensbasis erstellt: Was im Netzwerksegment enthalten ist, ist vertrauenswürdig, alles, was sich außerhalb befindet, hingegen nicht. Daher gibt es nur wenige Einschränkungen für interne Ressourcen, die üblicherweise über ein flaches Netzwerk mit minimaler interner Netzwerksegmentierung ausgeführt werden. Das Filtern und Segmentieren erfolgt an festen Netzwerkpunkten.

Ursprünglich wurden VLANs eingeführt, um Broadcast-Domänen aufzuteilen und so die Netzwerk-Performance zu verbessern. Im Laufe der Zeit wurden VLANs immer häufiger als Sicherheitstool eingesetzt, obwohl sie dazu eigentlich nie gedacht waren. Das Problematische an VLANs ist, dass es keine VLAN-internen Filter gibt. VLANs haben eine großflächige Zugriffsebene.

Außerdem muss eine Richtlinie vorhanden sein, um zwischen Segmenten zu wechseln. Mit einer Richtlinie können Sie entweder den Datenverkehrsfluss von einem Segment zum anderen stoppen oder den Datenverkehr begrenzen (basierend auf Typ, Quelle und Ziel des Datenverkehrs).
Die Netzwerk-Firewall ist ein gängiges Tool für die perimeterbasierte Segmentierung. Sie wurde ursprünglich verwendet, um die North-South-Bewegung des Netzwerkdatenverkehrs zu kontrollieren und gleichzeitig beliebige Kommunikation innerhalb eines Segments zuzulassen.

Netzwerkvirtualisierung

Heutzutage haben viele Unternehmen eine Vielzahl von Netzwerkbereichen mit spezifischen Funktionen, die eine Segmentierung an zahlreichen Netzwerkpunkten nötig machen. Darüber hinaus muss das Netzwerk immer mehr Endpunkttypen mit jeweils unterschiedlichen Vertrauensstufen unterstützen.

Daher reicht eine perimeterbasierte Segmentierung nicht mehr aus. Seitdem es beispielsweise die Cloud, BYOD und Mobilgeräte gibt, hat der Perimeter keine klaren Abgrenzungspunkte mehr. Deshalb ist jetzt mehr Segmentierung tiefer im Netzwerk nötig, um eine höhere Sicherheit und eine bessere Netzwerk-Performance zu erzielen. Darüber hinaus ist angesichts der heutigen East-West-Traffic-Muster noch mehr Netzwerksegmentierung erforderlich. Hier kommt Netzwerkvirtualisierung ins Spiel, da sie die Effizienz der Segmentierung optimiert.

In ihrer einfachsten Form bedeutet Netzwerkvirtualisierung die Bereitstellung von Netzwerk- und Sicherheitsservices unabhängig von der physischen Infrastruktur. Netzwerkvirtualisierung spielt bei der effizienten Netzwerksegmentierung eine zentrale Rolle, da sie eine Segmentierung im gesamten Netzwerk und nicht nur am Perimeter möglich macht. Die perimeterbasierte Segmentierung von früher ist nun virtualisiert und wird mit flexiblen, detaillierten Sicherheitsrichtlinien auf jedes einzelne Segment des Netzwerks verteilt.