Was ist Mikrosegmentierung?

Veröffentlicht 28. April 20267 Minuten (Lesedauer)
URL kopieren

Überblick

Mikrosegmentierung ist eine softwaredefinierte Sicherheitsmethode, bei der ein Rechenzentrum und die Anwendungsumgebung in kleine Segmente unterteilt werden, um einzelne Workloads, wie beispielsweise eine Anwendung auf einer virtuellen Maschine (VM) oder in einem Container, zu schützen. Bei der traditionellen Netzwerksegmentierung liegt der Sicherheitsfokus häufig dort, wo das interne Netzwerk und das Internet aufeinandertreffen. Im Fall von Mikrosegmentierung verschiebt sich dieser Schwerpunkt nach innen, indem granulare Sicherheitsrichtlinien auf netzwerkinternen Datenverkehr angewendet werden.

Durch Isolation hilft Mikrosegmentierung dabei, erfolgreich eingedrungene Angreifer daran zu hindern, zwischen Systemen zu wechseln. Bei diesem Ansatz handelt es sich um eine Kernkomponente der Zero Trust-Sicherheit, die auf dem Prinzip basiert, dass Kommunikation innerhalb des Rechenzentrums standardmäßig als nicht vertrauenswürdig gilt. Stattdessen müssen die einzelnen Anfragen anhand strenger, automatisierter Richtlinien verifiziert werden. 

VMware-Admins: Mehr über Red Hat OpenShift erfahren

Funktionsweise von Mikrosegmentierung

Mikrosegmentierung verbessert die Netzwerksicherheit, indem einzelne Workloads geschützt werden, anstatt sich auf eine zentrale Stelle zu verlassen. In einem modernen Rechenzentrum – in dem eine Workload eine VM, ein Container oder Serverless sein kann – stellt dieser Ansatz eine gute Ergänzung zu Ihrem bestehenden Perimeterschutz dar. Er stellt sicher, dass die internen Komponenten noch immer durch eigene spezielle, softwaredefinierte Grenzen geschützt sind, selbst wenn die Hauptbarriere zum Netzwerk überwunden wurde.

Traditionelle Netzwerksegmentierung im Vergleich zu Mikrosegmentierung

Traditionell wurden Netzwerke mit hardwarebasierten Tools wie Firewalls und virtuellen lokalen Netzwerken (VLANs) segmentiert. Bei diesem Ansatz liegt der Schwerpunkt auf „North-South“-Sicherheit: Datenverkehr, der über ein Haupt-Gateway in das Rechenzentrum eintritt oder dieses verlässt. 

Das Problem bei diesem Modell ist, dass das, was sich innerhalb eines bestimmten Segments befindet, automatisch als „vertrauenswürdig“ gilt. Befinden sich eine Anwendung und eine Datenbank in demselben VLAN, können sie normalerweise uneingeschränkt miteinander kommunizieren. Wird eines der beiden Elemente kompromittiert, ist das andere gefährdet, da die Sicherheit beim Zugangspunkt des Netzwerks bereits bestätigt wurde.

Mikrosegmentierung betrifft den „East-West“-Datenverkehr, bei dem es um die interne Kommunikation zwischen Servern und Anwendungen geht. Da die Sicherheitsrichtlinien auf der Ebene einzelner Workloads angewendet werden, ist deren Durchsetzung unabhängig von dem zugrunde liegenden physischen Netzwerklayout oder dem VLAN, in dem sich ein Server befindet. Stattdessen definiert Software die Sicherheit basierend auf der Identität der Workloads selbst. 

Die Mechanismen

Bei der Mikrosegmentierung kommen zum Schutz eines Netzwerks 3 Kernprinzipien zum Einsatz:

  • Isolation: Workloads werden separat gehalten, es sei denn, eine Regel erlaubt ihre Kommunikation, was zu einer souveränen digitalen Umgebung beiträgt. Eine Entwicklungsumgebung kann beispielsweise von einer Produktivumgebung isoliert werden, auch wenn sie auf derselben physischen Hardware ausgeführt werden.
  • Granulare Kontrolle: Sicherheitsteams können sehr spezifische Regeln schreiben. Anstatt beispielsweise zu sagen: „Server A darf mit Server B kommunizieren“, könnte eine Regel lauten: „Der Webserver darf nur über einen bestimmten Port und nur für bestimmte Datentypen mit der Datenbank kommunizieren“.
  • Least Privilege-Prinzip: Das bedeutet, dass eine Workload nur den minimalen Zugang erhält, den sie zur Erfüllung ihrer Aufgabe benötigt. Wenn ein Service keine Verbindung mit anderen Systemen herstellen muss, stellt die Mikrosegmentierung sicher, dass ein Verbindungsaufbau tatsächlich unmöglich ist. 

Softwarebasierte und richtliniengesteuerte Implementierung

Da sich moderne Infrastrukturen ständig ändern, lassen sie sich nicht mit manuellen Hardware-Einstellungen sichern. VMs und Container werden zu schnell hoch- und heruntergefahren, als dass manuelle Eingriffe möglich wären.

Mikrosegmentierung ist softwarebasiert und richtliniengesteuert. Sicherheitsrichtlinien liegen als Code vor. Wenn eine neue VM oder ein neuer Container gestartet wird, erkennt das System dies und wendet automatisch die entsprechenden Sicherheitstags und -regeln an. Die Sicherheit ist an die Workload geknüpft, unabhängig davon, welchen physischen Server oder welche Cloud sie verwendet.

Mehr über Software-Defined Networking erfahren 

Learning Hub: Red Hat OpenShift Virtualization

Vorteile von Mikrosegmentierung

Mikrosegmentierung bietet ein Maß an Kontrolle und Transparenz, das mit traditionellem hardwarebasierten Networking nur schwer, wenn nicht sogar unmöglich zu erreichen ist. Hier sind die wichtigsten Vorteile von Mikrosegmentierung für moderne IT-Umgebungen:

Erhöhte Sicherheit und begrenzte laterale Bewegung 

Der wichtigste Vorteil von Mikrosegmentierung ist das Eindämmen von Datenpannen. In einem flachen Netzwerk kann ein Angreifer, dem es gelingt, sich Zugang zu einem System niedriger Priorität zu verschaffen, oft ungehindert auf hochwertige Ziele wie Datenbanken mit Kundeninformationen zugreifen.

Durch das Erstellen von „Einzelsegmenten“ sorgt die Mikrosegmentierung dafür, dass die Bedrohung isoliert wird, selbst wenn eine einzelne Workload kompromittiert wird. Der Angreifer ist im Grunde in einem digitalen „Raum“ ohne Zugang zum Rest des Hauses gefangen.

Verbesserte Compliance und Auditierbarkeit

In streng reglementierten Branchen, wie Gesundheits- oder Finanzwesen, vereinfacht Mikrosegmentierung den Compliance-Prozess. Sie ermöglicht es Unternehmen, Systeme mit sensiblen Daten vom Rest des Netzwerks zu isolieren.

Da die Sicherheitsrichtlinien softwaredefiniert sind, können Auditoren genau sehen, welche Nutzenden Zugang zu welchen Systemen haben dürfen. Mit diesem Grad an granularer Berichterstattung ist der Nachweis, dass sensible Informationen gemäß den gesetzlichen Vorschriften geschützt sind, viel leichter zu erbringen. 

Mehr Transparenz und Kontrolle über den Netzwerkverkehr

Sie können nur schützen, was Sie sehen. Die in der Mikrosegmentierung eingesetzten Tools verschaffen Ihnen einen umfassenden Einblick in die „East-West“-Datenverkehrsmuster. Sicherheitsteams können in Echtzeit detailliert verfolgen, wie unterschiedliche Anwendungen und Services interagieren. Mithilfe dieser Transparenz kann ungewöhnliches Verhalten erkannt werden, das möglicherweise auf eine Sicherheitsbedrohung oder einen Performance-Engpass hindeutet.

Anpassbarkeit an moderne IT-Umgebungen

Traditionelle Sicherheitsregeln sind oft an physische Orte geknüpft, wie eine IP-Adresse oder einen bestimmten Hardware-Port. In einer cloudnativen Umgebung ändern sich diese Orte ständig, da Container hoch- und heruntergefahren werden. 

Mikrosegmentierung ist nicht abhängig von der Umgebung. Da die Sicherheitsrichtlinie an die Workload – und nicht an die Netzwerkhardware – geknüpft ist, bleibt der Schutz konsistent, unabhängig davon, ob die Workload in einem On-Premise-Rechenzentrum, einer Private Cloud- oder einer Public Cloud-Umgebung ausgeführt wird.

Vereinfachtes Management durch Automatisierung

In einer modernen, mikrosegmentierten Umgebung sind Sicherheitsrichtlinien automatisiert. Wird eine neue Anwendung bereitgestellt, kann diese automatisch die für ihre jeweilige Rolle benötigten Sicherheitsrichtlinien „erben“. Dadurch wird die Notwendigkeit für eine manuelle Konfiguration durch menschliche Admins und folglich auch das Risiko menschlicher Fehler reduziert.

Mehr über die Konfiguration des Netzwerkzugangs mit Mikrosegmentierung erfahren

Mikrosegmentierung und Virtualisierung

Jahrelang war Virtualisierung der wichtigste Faktor für die Effizienz von Rechenzentren, da sie die Ausführung mehrerer VMs auf einem einzigen physischen Server ermöglichte. Allerdings brachte der Wechsel zu virtualisierten Umgebungen auch neue Schwachstellen mit sich. Traditionelle Hardware-Firewalls können den Datenverkehr zwischen 2 VMs, die sich auf demselben physischen Host befinden, oft nicht erkennen. 

Ohne diese interne Transparenz können Sicherheitsteams böswillige laterale Bewegung nicht immer erkennen oder blockieren. Und da Unternehmen zunehmend cloudnative Architekturen einsetzen und sowohl VMs als auch Container nutzen, wird diese Herausforderung immer größer. 

Die Grenzen traditioneller Segmentierung in virtualisierten Umgebungen

Bei der traditionellen Segmentierung wird Datenverkehr aus dem virtuellen Host herausgeleitet, durch eine physische Firewall hindurch- und schließlich wieder in den virtuellen Host zur Inspektion zurückgeleitet. Dieser Prozess führt zu massiven Performance-Engpässen und Latenz. Es ist nicht effizient, eine skalierbare Umgebung so abzusichern. Und in einer dynamischen virtualisierten Umgebung ändern sich IP-Adressen und Orte oft. Hardwarebasierte Regeln sind zu unflexibel, um mit VMs Schritt zu halten, die konstant migriert oder skaliert werden.

Wie Mikrosegmentierung eine skalierbare Infrastruktur unterstützt

Mikrosegmentierung beseitigt diese Ineffizienzen, indem sie die Sicherheit von der zugrunde liegenden physischen Hardware entkoppelt. Anstatt den Datenverkehr zu einer zentralen Firewall zu leiten, wird die Sicherheitsrichtlinie direkt auf der virtuellen Netzwerkschnittstelle der einzelnen VMs oder Container angewendet. 

Das hat folgende Vorteile: 

  • Performance in großem Umfang: Da Sicherheitsprüfungen lokal innerhalb der virtualisierten Schicht erfolgen, muss der interne Datenverkehr nicht in einer großen Schleife an externe Geräte gesendet werden.
  • Umgebungsübergreifende Konsistenz: Unabhängig davon, ob es sich bei der Workload um eine traditionelle VM oder einen modernen Container handelt, bietet Mikrosegmentierung eine einheitliche Methode für die Verwaltung von Sicherheitsrichtlinien für den gesamten Stack.
  • Mobilität: Wird eine VM von einem physischen Host auf einen anderen verschoben, verschiebt sich ihr Sicherheitsperimeter automatisch mit.

Durch die direkte Integration der Sicherheit in die Virtualisierungsschicht ermöglicht Mikrosegmentierung eine schnelle Skalierung Ihrer Infrastruktur, ohne interne Systeme nach außen zugänglich zu machen.

Gängige Use Cases

Mikrosegmentierung ist am effektivsten, wenn sie auf bestimmte Unternehmensziele angewendet wird. Beispiele für gängige Szenarien: 

  • Sicherung von Hybrid Cloud-Umgebungen: Anwendungen, die sich über On-Premise-Rechenzentren und mehrere Cloud-Anbieter erstrecken, werden mit einer konsistenten Sicherheitsrichtlinie geschützt.
  • Einhaltung gesetzlicher Vorschriften: Systeme, die sensible finanzielle oder gesundheitsrelevante Daten (wie Kreditkartennummern oder Patientenakten) enthalten, werden isoliert. So können die strengen Auditanforderungen erfüllt werden, ohne ein gesamtes Netzwerk abschotten zu müssen.
  • Schutz von Entwicklungs- und Produktivumgebungen: Es wird sichergestellt, dass ein Bug oder eine Sicherheitslücke in einer Testumgebung nicht in die Live-Produktivumgebung gelangen kann, in der Kundendaten gespeichert sind. 

Herausforderungen und Best Practices

Obwohl Mikrosegmentierung ein hohes Maß an Sicherheit bietet, muss der Umstieg von einem traditionellen Netzwerkmodell zu einem mikrosegmentierten Modell sorgfältig geplant werden.

Häufige Herausforderungen

  • Anfängliche Komplexität: In einem großen Unternehmen bestehen zu einem beliebigen Zeitpunkt Tausende von Verbindungen. Das Mapping dieser Verbindungen, um zu verstehen, welche Komponenten miteinander kommunizieren sollten, kann schwierig sein.
  • Richtlinienverwaltung: Je mehr Segmente sie erstellen, desto mehr Richtlinien kommen hinzu. Ohne die richtigen Tools kann die Verwaltung von Tausenden einzelner Sicherheitsregeln für menschliche Admins eine große Herausforderung darstellen.
  • Integration mit bestehenden Tools: Mikrosegmentierung muss mit Ihrem bestehenden Sicherheits-Stack und Ihrer Infrastruktur zusammenarbeiten, ohne zu Performance-Problemen oder versteckten Risiken zu führen.

Mit Best Practices zum Erfolg

Um häufige Herausforderungen bei der Mikrosegmentierung zu bewältigen und für eine reibungslose Einführung zu sorgen, beachten Sie diese branchenrelevanten Best Practices:

  • Fangen Sie klein an: Versuchen Sie nicht, die Mikrosegmentierung Ihres gesamten Rechenzentrums von heute auf morgen vorzunehmen. Beginnen Sie mit einer gut definierten Anwendung oder einer bestimmten Umgebung. Nutzen Sie diese ersten Projekte, um Ihren Prozess zur Erstellung von Richtlinien zu optimieren.
  • Priorisieren Sie hochwertige Assets: Fokussieren Sie Ihre anfänglichen Bemühungen auf Anwendungen, die sensible Kundendaten verarbeiten oder für die Geschäftsabläufe kritisch sind.
  • Automatisieren Sie so viel wie möglich: Manuelle Regelerstellung ist der Feind der Skalierung. Verwenden Sie Tools, die automatisch Datenverkehrsmuster erkennen und Sicherheitsrichtlinien vorschlagen können. Automatisierung stellt sicher, dass die Sicherheit mit Ihrer Umgebung mitwächst.
  • Implementieren Sie kontinuierliches Monitoring: Sie sollten Ihren Netzwerkverkehr konstant überwachen, um neue Kommunikationsmuster zu erkennen und Ihre Richtlinien Ihren sich weiterentwickelnden Anwendungen anzupassen. 

Warum Red Hat?

Der moderne, modulare Ansatz von Red Hat für die Mikrosegmentierung kommt ohne die Komplexität und Shelfware aus, mit der überzogene, proprietäre Subskriptionen oft verbunden sind. Mit Red Hat® OpenShift® Virtualization können Sie VMs und Container auf einer einzigen Plattform mit konsistenten Sicherheitsrichtlinien managen. So können Sie Ihre Infrastruktur skalieren, ohne für nicht benötigte Funktionen zahlen zu müssen. 

Red Hat OpenShift basiert auf Open Source-Standards und ist eine moderne Anwendungsplattform, die eine Zero Trust-Architektur unterstützt, indem sie Ihnen die Durchsetzung granularer Netzwerkrichtlinien auf Workload-Ebene ermöglicht. Das bedeutet, dass die einzelnen VMs und Container zum Schutz vor internen Bedrohungen standardmäßig isoliert sind. 

Mit Red Hat erhalten Sie eine flexible, zukunftsfähige Sicherheitslösung, die sich einfach in Ihre bestehende Umgebung integrieren lässt – ohne den Aufwand einer traditionellen Suite mit Vendor Lock-in. 

Mehr über die VM-Migration von VMware zu Red Hat erfahren

Produkt

Red Hat OpenShift Virtualization

Eine Funktion von Red Hat OpenShift, die virtuelle Maschinen nahtlos in eine moderne Hybrid Cloud-Infrastrukturplattform integriert.

Training und Zertifizierung für Red Hat OpenShift Virtualization

Erfahren Sie in den Kursen von Red Hat Training and Certification, wie Sie mit Red Hat OpenShift® Virtualization virtuelle Maschinen migrieren, bereitstellen und verwalten können.
Weiterlesen

Weiterlesen

What is virtualization?

Optimieren Sie Ihre IT-Infrastruktur durch Virtualisierung. Lernen Sie mehr über VMs, Hypervisors Typ 1 vs Typ 2, KVM sowie Daten- und Servervirtualisierung.

What is a virtual machine (VM)?

Eine virtuelle Maschine (VM) ist eine isolierte Computing-Umgebung mit eigener CPU und RAM. Erfahren Sie, wie VMs funktionieren und welche Vorteile sie bieten.

How to create a virtual machine with an instance type

Erfahren Sie, wie Sie in Red Hat OpenShift Virtualization mit der grafischen Benutzeroberfläche der Red Hat OpenShift Konsole eine virtuelle Maschine mit einem bestimmten Instanztyp erstellen.

Ressourcen zu Virtualisierung

Zugehörige Inhalte

Verwandte Artikel