Absicherung komplexer IT-Umgebungen

Best Practices für Mikrosegmentierung

| Autor / Redakteur: Torsten Wiedemeyer / Peter Schmitz

In komplexen Cloud- und Datacenter-Umgebungen ist es ratsam, applikationszentrierte Mikrosegmentierungs-Technologien zu implementieren.
In komplexen Cloud- und Datacenter-Umgebungen ist es ratsam, applikationszentrierte Mikrosegmentierungs-Technologien zu implementieren. (Bild: gemeinfrei / Pixabay)

Cloud-Umgebungen, IT-Virtualisierung und softwaredefinierte Infrastruktur (SDI) sollen auf Unternehmensseite wichtige Geschäftsziele wie Skalierbarkeit, flexible Service-Bereitstellung und Kosteneffizienz realisieren. Agile IT-Infrastrukturen als Grundlage für die digitale Transformation bedingen zwangsläufig, dass CIOs und IT-Leiter ihre Sicherheitsstrategie überdenken. Deshalb hat Mikrosegmentierung eine hohe Priorität.

Immer mehr Organisationen nutzen komplexe Hybrid- und Multi-Cloud-Umgebungen, aber bei deren Absicherung kommen sie nicht nach. Für Gartner zählt Mikrosegmentierung daher zu den zehn wichtigsten Sicherheitsprojekten für CISOs. IT-Abteilungen erweitern so ihre Sicherheitsmaßnahmen und reduzieren die Angriffsfläche, indem sie separate Sicherheitszonen schaffen. Die Unterteilung von Datacenter- und Cloud-Umgebungen in logische Teile ermöglicht es, kritische Daten, Prozesse und Systeme gegen Hackerzugriffe zu härten. Ziel ist es, höchste Sicherheitsrichtlinien durchzusetzen, um Datenzugriffe isolieren und Datenströme zwischen Rechenzentren überwachen zu können.

Auswahl des richtigen Umsetzungsmodells

Bei der Implementierung in Datacenter- und Cloud-Umgebungen stehen zwei Mikrosegmentierungmodelle zur Auswahl. Bei einem netzwerkzentrierten Sicherheitskonzept kommen dabei Hypervisor-basierte oder virtuelle Firewalls zum Einsatz —im Cloud-Umfeld werden häufig entsprechende Sicherheitsgruppen gebildet. Zentrale Netzwerkhardware übernimmt die Überwachung von Datenströmen, was sich leicht als Engpass entpuppen kann. Alternativ werden die IT-Kontrollaufgaben von Drittanbietern verantwortet, oder aber man versucht, im eigenen Netz entsprechende Sicherheitsregeln für alle Workloads durchzusetzen.

Der applikationszentrierte Ansatz dagegen basiert auf der Bereitstellung von Workload-Agenten. Das hat gleich mehrere Vorteile: So ist die Visibilität um ein Vielfaches höher und reicht bis zu Layer 7 des ISO/OSI-Schichtenmodells. Eine agentenbasierte Lösung kommt außerdem in unterschiedlichen IT-Infrastrukturen und Betriebsumgebungen besser zurecht. Über mehrere Technologien hinweg steht eine einheitliche Vorgehensweise zur Verfügung, was sich unter anderem auszahlt, wenn neue Investitionen in Container-Technologien und andere Modelle zur Anwendungsentwicklung und IT-Bereitstellung getätigt werden.

Ein weiterer Pluspunkt: IT-Policy-Vorgaben lassen sich komplett skalieren und direkt an Workloads binden, die zwischen mehreren Umgebungen — von lokalen Netzen zu Public-Cloud-Infrastrukturen und wieder zurück — wechseln. Zur Reduzierung der Angriffsfläche können Administratoren mit einem app-zentriertem Ansatz granulare Policy-Vorgaben festlegen, die einem IT-Management ausschließlich über Netzwerkrichtlinien deutlich überlegen sind. Für eine spezifische IT-Umgebung konzipierte Tools können einfach nicht in gleicher Weise auch hybride Multi-Cloud-Rechenzentrumsanforderungen mit teils drastisch höheren Datendurchsatzraten abdecken.

Im Ergebnis fällt IT-Sicherheitsverantwortliche die Umstellung auf applikationsgesteuerte Geschäftsprozesse deutlich leichter. Immer mehr Unternehmen arbeiten zum Beispiel mit agilen DevOps-Strukturen, die unterschiedliche Unternehmensbereiche zusammenführen. Im Zuge dieser Veränderungen wächst die Bedeutung von Security-Technologien, die für die Skalierbarkeits-, Flexibilitäts- und Datenvisibilitätsanforderungen hybrider Enterprise-Infrastrukturen optimiert sind. Durch Mikrosegmentierung lässt sich das Policy- und Service-Management dynamisch umsetzen. Verlagerungen, Ergänzungen und Änderungen müssen im Gegensatz zu netzwerkzentrierten Modellen nicht manuell durchgeführt werden.

Schnelle Erfolge

Wie sieht die ideale Vorgehensweise bei der Einführung eines Mikrosegmentierungskonzeptes aus? Jede Organisation ist natürlich anders, aber erfolgreiche Initiativen weisen gemeinsame Erfolgskatoren auf. Dazu zählt, dass man sich zunächst einmal auf konkrete Projekte fokussiert, die vergleichsweise einfach durchführbar sind und bei denen die Vorteile unmittelbar sichtbar werden. Das sind üblicherweise Anwendungsfälle, die ganze Aufgabenfelder betreffen, wie zum Beispiel die Abtrennung von Servern und Datenströmen in der Qualitätssicherungs- oder Entwicklungsabteilung von Produktionsumgebungen. Die Separierung wertvoller Datacenter-Ressourcen von externen Nutzern oder IoT-Geräten ist ein gutes Beispiel dafür.

Im Gesundheitswesen wiederum empfiehlt sich die Trennung medizinischer Geräte vom allgemeinen Datennetz als sinnvolles Pilotprojekt. Gesetzliche und regulatorische Vorschriften wie SWIFT, PCI und auch die DSGVO legen detailliert die Arten von Daten und Prozessen fest, welche vom allgemeinen Netzwerkverkehr zu separieren sind. Durch Mikrosegmentierung lassen sich Applikationen und Informationen isolieren, selbst wenn die App-Workloads über verschiedene Umgebungen hinweg verteilt werden.

Langfristige Cloud-Strategie

Die Umsetzung von Pilotprojekten mit großer Aussagekraft ermöglicht den Verantwortlichen ferner, sich mit den IT-Werkzeugen und Prozessabläufen vertraut zu machen, um dann im nächsten Schritt weitere Unternehmensbereiche anzugehen. Die eingesetzten Tools sollten dabei nicht auf eine IT-Umgebung beschränkt sein und Workloads nicht nur im Unternehmensnetz unterstützen können. Gefordert ist die nötige Zukunftsfähigkeit für andere Rechenzentrumsarchitekturen — angefangen von Legacy-Systemen und Bare-Metal-Servern bis zu virtualisierten Landschaften, Container- und Public-Cloud-Lösungen.

Native Sicherheitskontrollen indes, die über IaaS- oder Public-Cloud-Dienste bereitgestellt werden, reichen für den vollständigen Schutz von Cloud-Workloads nicht aus. Hier teilen sich Dienstleister und Kunden die Verantwortlichkeit für IT-Sicherheit und Compliance. Neben der Verwaltung des Hostbetriebssystems und der Virtualisierungsebene sorgt der Anbieter für die Sicherheit der Cloud-Infrastruktur. Die Kunden wiederum haben die Verantwortung für das Gastbetriebssystem (einschließlich Updates und Sicherheits-Patches), steuern die damit verbundene Anwendungssoftware und übernehmen die Datenschutzkonfiguration.

Sichtbarkeit, Sicherheit und Kontrolle

Die mitgelieferten Sicherheitsfunktionen sind indes komplett auf die Provider-Umgebung ausgerichtet. Abseits der Provider-Umgebung sind Organisationen daher dazu gezwungen, mehrere Security-Plattformen zu verwalten und manuelle Anpassungen durchzuführen, wenn Applikationen in unterschiedlichen Cloud-Strukturen operieren. Folge: Auf das IT-Administrationsteam kommen zeitaufwendige und uneffektive Arbeiten zu.

Das Leben der IT-Teams wird zusätzlich dadurch erschwert, dass die meisten nativen Sicherheits- und Kontrollmöglichkeiten auf der Transportebene (Layer 4) angesiedelt sind und nicht auf der Anwendungsebene (Layer 7). Darunter leidet die zuverlässige Abwehr von Hackerangriffen und das effektive Schließen von Sicherheitsrisiken. Best Practice ist deshalb, applikationszentrierte Mikrosegmentierungs-Technologien zu implementieren, die sich direkt an die Workloads heften. Neben höherem Mehrwert sorgen sie für die erforderliche Sichtbarkeit, Sicherheit und Kontrolle in hybriden Enterprise-Infrastrukturen.

Über den Autor: Torsten Wiedemeyer ist Regional Director CEE bei Guardicore.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45908973 / Cloud und Virtualisierung)