Die Netzwerksegmentierung ist eine bewährte Sicherheitsstrategie, mit der man Richtlinien für verschiedene Dienste festlegen kann, die zwischen den Zonen erlaubt sind. Durch die Klassifizierung der vertraulichen Daten und Ressourcen innerhalb der Zonen wird sichergestellt, dass nur bestimmte Nutzer, die zu anderen Zonen gehören, auf diese Daten zugreifen können. Das hilft dabei, Angriffe einzudämmen, da Bewegungen innerhalb des Netzwerkes erschwert werden.
Viele sind der Meinung, dass die Segmentierung in der Cloud nicht funktionieren kann, da diese zu dynamisch ist. Immerhin können Entwicklerteams in Sekunden Ressourcen in der Cloud bereitstellen und genauso schnell wieder entfernen. Diese rasante Bereitstellung in Verbindung mit der Skalierbarkeit unbegrenzter Ressourcen macht die Cloud für Unternehmen attraktiv, jedoch hinsichtlich Sicherheit schwieriger zu verwalten. Einige glauben, dass die Segmentierung zudem strenge Richtlinien erfordert, die über IP-Adressen definiert werden, was zwar in lokalen Netzwerken funktioniert, bei Cloud-Infrastrukturen oder SDN allerdings nicht. Dies entspricht jedoch nicht der Realität.
Tatsache ist, dass heutzutage bereits viele Unternehmen Cloud-Umgebungen segmentieren, um die Sicherheit ihrer Cloud zu verbessern und die Compliance zu gewährleisten. Wenn neue Server, Nutzer oder Sicherheitsgruppen zu einer Zone zugewiesen oder neue Zonen erstellt werden können, kann man diese auch innerhalb der Cloud segmentieren. Sind dynamische Prozesse im Spiel wird Automatisierung benötigt – Änderungen erfordern parallellaufende Sicherheitslösungen.
Es ist wichtig, sicherzustellen, dass der Change-Management-Prozess ebenso flexibel ist wie die Änderungen in der Cloud-Umgebung. Die Sicherheitslinien sollten in das Change-Management integriert werden, damit alle Objekte, die sich im Netzwerk befinden – nicht nur IP-Adressen, sondern auch Nutzer- und Sicherheitsgruppen sowie -tags – automatisch nachverfolgt werden. Die Verwendung eines IP-Adressmanagement (IPAM)-Systems bietet beispielsweise die Möglichkeit, bei Änderungen in einem hybriden Netzwerk jede Zone zu aktualisieren. Mit dem automatisierten Change- und IP-Adressmanagement werden diese in Echtzeit dargestellt.
Segmentierung für die Cloud
Unternehmen, die sich nur in der Cloud bewegen, profitieren von den Kennzeichnungen oder Tags für die Segmentierung. Die Tags werden Sicherheitsgruppen und Anwendungen zugewiesen, um auf einfache Weise Änderungen der Sicherheitsrichtlinien für Verbindungen zwischen allen Elementen mit demselben Tag durchzuführen. Das ist eine ideale Lösung für die Verwaltung der Segmentierung in der Cloud, jedoch nur für Cloud-native Unternehmen.
Die Kombination der Sicherheitskontrollen des physischen Netzwerks und der Cloud-Umgebung ermöglicht eine automatische Änderung der Sicherheitsrichtlinien mit einheitlicher Umsetzung in beiden Umgebungen. Es gibt bereits Tools, die über die gesamte Infrastruktur hinweg die erforderliche Transparenz, Verwaltung und Automatisierung bieten, damit Segmentierungsfunktionen in der Cloud bereitgestellt werden können.
Die Cloud-Segmentierung erfordert jedoch mehr als nur effektive Technologien. Die Sicherheitsteams wissen, was man unter Sicherheit und Compliance versteht, welche Dienste, Ressourcen und Verbindungen sicher sind und welche nicht. Das Problem ist jedoch, dass sich die Entwicklerteams eher auf Anwendungsentwicklung sowie Konnektivität konzentrieren anstatt auf Sicherheit. Der herkömmliche Ansatz, eine Anwendung zu erstellen und zur Überprüfung an das Sicherheitsteam zu senden, ist zeitaufwendig und behindert die Flexibilität, die die Cloud bietet. Wenn Entwicklerteams ebenfalls für die Sicherheit der Cloud verantwortlich wären, könnten die Produkte schneller auf den Markt gebracht werden, jedoch bleiben dann die Cloud-Sicherheit und -Compliance häufig auf der Strecke.
Flexibilität und Sicherheit – es geht beides
Unternehmen sollten sich nicht zwischen Agilität und Sicherheit entscheiden müssen. Die Lösung besteht darin, die Sicherheit in die Anwendungsentwicklung und
-bereitstellung zu integrieren und die Entwickler darüber aufzuklären, wie die Sicherheitsmaßnahmen aussehen sollen. Wenn die Stakeholder wissen, was zulässig ist und was nicht, können alle Beteiligten Sicherheitsrichtlinien in der Cloud umsetzen. Wenn beispielsweise ein PCI-geschützter Server gestartet werden muss, sollten Entwickler wissen, dass dieser nur über bestimmte Dienste mit PCI-gekennzeichneten Anwendungen kommunizieren darf. Wenn man diese Prozesse automatisieren kann, können die Änderungsanforderungen der Anwendungsentwickler erfüllt werden. Sie stellen die Ressourcen nach Bedarf bereit. Wenn sie gegen die Compliance verstoßen, wird das Sicherheitsteam informiert – dieses kann dann bei Bedarf ausnahmsweise einen Zugriff gewähren.
Darüber hinaus sollte man die Cloud-Segmentierung gleichzeitig mit der Erstellung von Zonen im On-premise-Netzwerk durchführen. Durch das gleichzeitige Festlegen von Zonen im On-premise- und Cloud-Netzwerk können Zonen konsolidiert werden, wenn sie denselben Zweck erfüllen, auch wenn Subnetze und andere Sicherheitsgruppen verwendet werden, um die Verwaltbarkeit zu gewährleisten. Zunächst sollte Mikrosegmentierung jedoch ausbleiben. Die Bereitstellung granularer Zonen auf Anwendungsebene schränkt den Zugriff auf die Cloud-Umgebung sogar ein. Bei Hunderten von aktiven und neuen Anwendungen droht die Mikrosegmentierung der Mitarbeiter, die sich mit ständig ändernden Sicherheitsregeln konfrontiert sehen.
Die Netzwerksegmentierung ist ein fortlaufender Prozess, während sich das Unternehmen aufgrund neuer Anforderungen und Möglichkeiten weiterentwickelt. Folglich werden sich auch die Sicherheitsrichtlinien wandeln.
Entscheidend ist, dass die Cloud-Segmentierung auch in sich schnell ändernden Umgebungen möglich ist, solange man die Automatisierung nutzt, um die Agilität des Unternehmens zu erhalten. Das Änderungsmanagement muss automatisiert werden und die Sicherheitsmaßnahmen sollten in die Entwicklung und Bereitstellung von Anwendungen sowie Diensten integriert werden. Auf diese Weise werden die Sicherheitsrichtlinien immer mit den Änderungen in der Cloud Schritt halten.
Thorsten Geissel ist Senior Systems Engineer bei Tufin und für die Beratung zu Themen wie Network Security Policy Management verantwortlich. Er ist seit den frühen 2000er Jahren in der IT Industrie tätig. Thorsten Geissel hat für mehrere führende IT-Security-Hersteller wie Palo Alto Network und Systemhäuser wie NTT Security und CSPI in Deutschland gearbeitet und sich eine Expertise in der IT Security aufgebaut. Heute berät er große und führende Unternehmen in der DACH-Region zu den Themen Business Agility, Digitale Transformation und IT-Security. Er hält viele Hersteller-Zertifikate und ist als CISSP, CISM und Ethical Hacker akkreditiert. Thorsten hat im Jahr 2014 ein MBA Degree von der University of Wales erhalten, Themen waren die strategische Beratung, Marketing und Social Media.
