Melpomene - Fotolia

So gehen Sie die Netzwerk-Mikrosegmentierung strategisch an

Netzwerk-Administratoren wenden sich von der traditionellen Netzwerksegmentierung zunehmend ab. Daher ist nun eine gute Strategie zur Netzwerk-Mikrosegmentierung unerlässlich.

Die meisten Netzwerk-Administratoren verstehen das Konzept der Netzwerksegmentierung. Doch was genau bedeutet Mikrosegmentierung? Und noch wichtiger: Warum ist in jüngerer Zeit eine Strategie für die Netzwerk-Mikrosegmentierung so populär geworden? Um diese Fragen zu beantworten, werfen wir zunächst einen kurzen Blick zurück auf Segmentierungstechniken für Legacy-Netzwerke. Dann erläutern wir, wie sich die Verfahren weiterentwickelt haben, um Anwender und Daten besser zu schützen und gleichzeitig die gesamte Bereitstellung und den fortlaufenden Support zu vereinfachen.

Das Konzept, Netzwerke logisch zu segmentieren, gibt es bereits seit Jahrzehnten. Eines der frühesten Beispiele für die Segmentierung ist der Einsatz von virtuellen LANs (VLAN), um eine logische Trennung zwischen IP-Subnetzen einzurichten. Der Zweck von VLANs besteht darin, Broadcast-Domänen zu unterteilen und die Access-Control-Richtlinie zwischen Subnetzen besser durchzusetzen.

Ein weiteres Beispiel ist Virtual Routing and Forwarding (VRF). Dabei handelt es sich um eine Methode, um zwei oder mehr vollständig unabhängige Routing-Instanzen auf der gleichen physischen Hardware auszuführen. Noch aktueller ist der Trend in Richtung moderner softwaredefinierter Methoden in Kombination mit künstlicher Intelligenz (KI), um Netzwerke noch intelligenter und effizienter in mehrere isolierte Elemente aufzuteilen.

Die Methoden haben sich geändert, die Einsatzszenarien nicht

Während sich die Segmentierungsverfahren im Laufe der Zeit gewandelt haben, sind die Anwendungsfälle zum größten Teil gleich geblieben. Wenn es um die Isolierung von Netzwerkbereichen, Aufgaben und Funktionen geht, wird als erster und wichtigster Vorteil eine erhöhte Sicherheit angeführt. Wenn Sie das Netzwerk in separate Teile aufsplitten, erstellen Sie im Grunde eine Walled-Garden-Architektur. Dieser Designansatz ist von Haus aus sicher, ohne dass komplexe Firewall-Richtlinien und Zugriffssteuerungen zwingend sind, die ansonsten im gesamten Netzwerk implementiert werden müssten. Falls Bedrohungen innerhalb eines isolierten Segments entdeckt werden, besteht für die anderen Segmente kein Risiko.

Ein weiterer Vorteil für Netzwerk- und Infrastruktur-Administratoren liegt darin, dass Sie die End-to-End-Sichtbarkeit und -Kontrolle über die verschiedenen verbundenen Geräte, die sich in Ihrem Netzwerk tummeln, verbessern. Das Internet der Dinge (Internet of Things, IoT) ist ein hervorragendes Beispiel dafür. Um die diversen IoT-Geräte, die in Ihrem Netzwerk bereitgestellt werden, zu organisieren und im Auge zu behalten, isolieren Sie sie in eigenen Mikrosegmenten. Auf diese Weise ist eine vereinfachte Sicht auf diesen spezifischen Teil des Netzwerks möglich. Die Geräte können dann einfach ihren Standort wechseln, denn von einer End-to-End-Perspektive aus betrachtet bleiben sie an dieselben Netzwerkzugriffs- und Sicherheitsrichtlinien gebunden.

Die letzten Puzzleteile der Netzwerk-Mikrosegmentierung fügen sich endlich zusammen.

Über Einsatzszenarien für IoT hinaus nutzen Enterprise-IT-Abteilungen die Mikrosegmentierung auf vielfältige Art und Weise, um Daten zu schützen und Traffic zu identifizieren, der für Netzwerk-Uplinks und WAN-Verbindungen priorisiert werden soll. Darüber hinaus wird die Mikrosegmentierung auch häufig verwendet, um etwa sensible Daten gemäß gesetzlichen Vorgaben und Compliance-Anforderungen zu schützen, Gast-User von internen Anwendern zu trennen und die Strategie für Data Loss Prevention (DLP) generell zu verbessern, indem Nutzer und Daten voneinander abgeschirmt werden. Außerdem wird für Cloud-Service-Provider die Netzwerk-Mikrosegmentierung immer mehr zu einem wichtigen Teil einer viel umfassenderen Strategie für die Mehrinstanzfähigkeit.

Sicherheitsrichtlinien optimal ausschöpfen

Obwohl die Netzwerksegmentierung im Unternehmensbereich schon seit Langem kein unbekanntes Thema mehr ist, wird sie zunehmend positiver wahrgenommen, wenn es um eine Strategie für die Netzwerk-Mikrosegmentierung geht. Weil die Segmentierung ein hohes Maß an Planung und manueller Konfiguration erforderte, um sie richtig zu implementieren, nutzten Netzwerkarchitekten sie nur, wenn es sich absolut nicht vermeiden ließ.

Nun aber, da wir uns auf ein neues Zeitalter mit Software-defined Networking (SDN) und künstlicher Intelligenz zubewegen, erkennen die Architekten, dass sie ein Netzwerk in Bezug auf Sicherheit, Sichtbarkeit und Kontrolle umso besser optimieren können, je granularer sie ihre Segmentierungsrichtlinien gestalten. Aus diesem Grund verwenden wir jetzt den Begriff Mikrosegmentierung, anstatt nur Segmentierung.

Die letzten Puzzleteile der Netzwerk-Mikrosegmentierung fügen sich endlich zusammen. Der erste Teil ist die Zentralisierung der Kontrolle über das Netzwerk und die Sicherheitsrichtlinie. Der zweite Punkt ist die Fähigkeit, die Programmierung des Netzwerks hocheffizient zu automatisieren. Diese Elemente sind notwendig, um schnell Änderungen an Hunderten – oder Tausenden – von Mikrosegmenten überall im Netzwerk durchführen zu können. Beides lässt sich durch eine End-to-End-SDN-Architektur erreichen.

Der dritte und letzte Bestandteil einer Strategie zur Netzwerk-Mikrosegmentierung ist die Einbindung von maschinellem Lernen in die Richtlinienerstellung und -erzwingung von Netzwerksegmenten. Es ist einer der Hauptgründe für das wachsende Interesse im Bereich der absichtsbasierten Netzwerkarchitekturen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Das sollten Sie bei Einführung von Mikrosegmentierung beachten

Netzwerk-Mikrosegmentierung mit einer Kombination aus NFV und SDN

Mikrosegmentierungs-Strategien für intelligentere Sicherheitskonzepte

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Design

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close