Verbessern Sie Sicherheit und Leistung durch Netzwerksegmentierung

Inzwischen haben Sie wahrscheinlich Hinweise auf die Netzwerksegmentierung gesehen, die von dieser Spalte über Funktionen zur Netzwerksicherheit bis hin zu Diskussionen über bewährte Methoden bei der Netzwerküberwachung reichen. Für viele IT-Experten ist die Netzwerksegmentierung jedoch eine der Aufgaben, mit denen Sie sich immer beschäftigen möchten, aber irgendwann steht immer etwas im Weg. So wie beim Steuern im Februar: Sie wissen, dass Sie das sollten, aber Sie brauchen einen zusätzlichen Motivationsschub. Das hoffe ich mit diesem 5-Stufen-Erklärer zu tun.

Erstens müssen wir uns auf derselben Seite befinden. Fangen wir mit dem an, was es ist: Bei der Netzwerksegmentierung wird das vorhandene Netzwerk in kleinere Teile aufgeteilt oder, wenn Sie das Glück haben, einen Netzwerkaufbau von Grund auf neu zu beginnen, zunächst in Teilen entworfen. Dies bedeutet jedoch nicht, dass das Netzwerk zufällig in Teile aufgeteilt wird. Stattdessen müssen Sie einen Plan haben, damit die Segmentierung sinnvoll ist.

Es gibt mehrere Gründe für die Netzwerksegmentierung. Der wichtigste Grund ist die Sicherheit. Wenn Ihr Netzwerk in mehrere kleinere Netzwerke unterteilt ist, von denen jedes über einen eigenen Router oder Layer 3-Switch verfügt, können Sie den Zugriff auf bestimmte Teile des Netzwerks beschränken. Auf diese Weise wird der Zugriff nur auf Endpunkte gewährt, die ihn benötigen. Dies verhindert den unbefugten Zugriff auf Teile des Netzwerks, auf die Sie nicht zugreifen möchten, und verhindert außerdem, dass Hacker, die möglicherweise in ein Segment eingedrungen sind, auf alles zugreifen können.

Genau das geschah mit der Zielverletzung im Jahr 2013. Angreifer, die Anmeldeinformationen des Auftragnehmers für Heizung, Lüftung und Klimatisierung (HVAC) verwendeten, hatten Zugriff auf die POS-Terminals, die Kreditkartendatenbank und alles andere auf der Website Netzwerk. Offensichtlich gab es keinen Grund für einen HLK-Auftragnehmer, auf etwas anderes als die HLK-Regler zuzugreifen, aber dies geschah, weil Target kein segmentiertes Netzwerk hatte.

Wenn Sie sich jedoch im Gegensatz zu Target die Zeit nehmen, Ihr Netzwerk zu segmentieren, können diese Eindringlinge Ihre Heizungs- und Klimaregler sehen, aber sonst nichts. Viele Verstöße könnten ein Nichtereignis werden. Ebenso haben die Lagermitarbeiter keinen Zugriff auf die Buchhaltungsdatenbank und auch keinen Zugriff auf die HLK-Steuerungen, aber die Buchhaltungsmitarbeiter haben Zugriff auf ihre Datenbank. Währenddessen haben Mitarbeiter Zugriff auf den E-Mail-Server, Geräte im Netzwerk jedoch nicht.

Entscheiden Sie sich für die gewünschten Funktionen

All dies bedeutet, dass Sie sich für die Funktionen entscheiden müssen, die für die Kommunikation in Ihrem Netzwerk erforderlich sind, und Sie müssen entscheiden, welche Art von Segmentierung Sie wünschen. "Entscheiden von Funktionen" bedeutet, dass Sie sehen müssen, wer in Ihren Mitarbeitern Zugriff auf bestimmte Computerressourcen haben muss und wer nicht. Es kann schwierig sein, dies herauszufinden, aber wenn dies erledigt ist, können Sie Funktionen nach Berufsbezeichnung oder Arbeitsaufgabe zuweisen, was in Zukunft zusätzliche Vorteile bringen kann.

In Bezug auf die Art der Segmentierung können Sie die physische Segmentierung oder die logische Segmentierung verwenden. Physische Segmentierung bedeutet, dass sich alle Netzwerkressourcen in einem physischen Bereich hinter einer Firewall befinden, die definiert, welcher Datenverkehr eingehen und welcher Datenverkehr ausgehen kann. Wenn die 10. Etage über einen eigenen Router verfügt, können Sie alle dort physisch segmentieren.

Bei der logischen Segmentierung werden virtuelle LANs (VLANs) oder Netzwerkadressen verwendet, um die Segmentierung durchzuführen. Die logische Segmentierung kann auf VLANs oder bestimmten Subnetzen basieren, um Netzwerkbeziehungen zu definieren, oder Sie können beide verwenden. Beispielsweise möchten Sie möglicherweise, dass Ihre IoT-Geräte (Internet of Things) in bestimmten Subnetzen betrieben werden. Während Ihr Hauptdatennetz ein Satz von Subnetzen ist, können Ihre HLK-Steuerungen und sogar Ihre Drucker andere belegen. Die Aufgabe besteht darin, dass Sie den Zugriff auf die Drucker definieren müssen, damit Benutzer, die drucken müssen, Zugriff haben.

Dynamischere Umgebungen können zu noch komplexeren Verkehrszuweisungsprozessen führen, für die möglicherweise Planungs- oder Orchestrierungssoftware erforderlich ist. Diese Probleme treten jedoch in der Regel nur in größeren Netzwerken auf.

Verschiedene Funktionen, erklärt

In diesem Teil werden Arbeitsfunktionen Ihren Netzwerksegmenten zugeordnet. Ein typisches Unternehmen verfügt beispielsweise über Buchhaltung, Personalabteilung (HR), Produktion, Lagerhaltung, Verwaltung und einige angeschlossene Geräte im Netzwerk, z. B. Drucker oder heutzutage Kaffeemaschinen. Jede dieser Funktionen verfügt über ein eigenes Netzwerksegment, und die Endpunkte in diesen Segmenten können auf Daten und andere Ressourcen in ihrem Funktionsbereich zugreifen. Möglicherweise benötigen sie jedoch auch Zugriff auf andere Bereiche wie E-Mail oder Internet sowie einen allgemeinen Personalbereich für Ankündigungen und leere Formulare.

Der nächste Schritt ist zu sehen, welche Funktionen daran gehindert werden müssen, diese Bereiche zu erreichen. Ein gutes Beispiel könnten Ihre IoT-Geräte sein, die nur mit ihren jeweiligen Servern oder Controllern kommunizieren müssen, aber keine E-Mail-, Internet-Browsing- oder Personaldaten benötigen. Die Lagermitarbeiter benötigen Inventurzugriff, sollten jedoch wahrscheinlich keinen Zugriff auf die Buchhaltung haben. Sie müssen mit der Segmentierung beginnen, indem Sie zuerst diese Beziehungen definieren.

Die 5 grundlegenden Schritte zur Netzwerksegmentierung

Ordnen Sie jedes Asset in Ihrem Netzwerk einer bestimmten Gruppe zu, sodass sich die Buchhaltungsmitarbeiter in einer Gruppe, die Lagermitarbeiter in einer anderen Gruppe und die Manager in einer weiteren Gruppe befinden.

Entscheiden Sie, wie Sie mit Ihrer Segmentierung umgehen möchten. Die physische Segmentierung ist einfach, wenn Ihre Umgebung dies zulässt, aber sie ist einschränkend. Eine logische Segmentierung ist für die meisten Organisationen wahrscheinlich sinnvoller, aber Sie müssen mehr über das Netzwerk wissen.

Bestimmen Sie, welche Assets mit welchen anderen Assets kommunizieren müssen, und richten Sie dann Ihre Firewalls oder Netzwerkgeräte ein, um dies zuzulassen und den Zugriff auf alles andere zu verweigern.

Richten Sie Ihre Intrusion Detection und Ihre Anti-Malware-Dienste so ein, dass beide alle Ihre Netzwerksegmente sehen können. Richten Sie Ihre Firewalls oder Switches so ein, dass sie Eindringversuche melden.

Denken Sie daran, dass der Zugriff auf Netzwerksegmente für autorisierte Benutzer transparent und für nicht autorisierte Benutzer nicht einsehbar sein sollte. Sie können dies testen, indem Sie es versuchen.

• 10 Cybersecurity-Schritte, die Ihr kleines Unternehmen jetzt ausführen sollte 10 Cybersecurity-Schritte, die Ihr kleines Unternehmen jetzt ausführen sollte
• Jenseits des Perimeters: Umgang mit mehrschichtiger Sicherheit Jenseits des Perimeters: Umgang mit mehrschichtiger Sicherheit

Es ist erwähnenswert, dass die Netzwerksegmentierung kein Heimwerkerprojekt ist, mit Ausnahme der kleinsten Büros. Durch ein wenig Lesen werden Sie jedoch darauf vorbereitet, die richtigen Fragen zu stellen. Das Cyber ​​Emergency Readiness Team der Vereinigten Staaten oder US-CERT (Teil des US-amerikanischen Heimatschutzministeriums) ist ein guter Ausgangspunkt, obwohl seine Leitlinien auf IoT und Prozesskontrolle abzielen. Cisco hat ein detailliertes Dokument zur Segmentierung für den Datenschutz, das nicht herstellerspezifisch ist.

Es gibt einige Anbieter, die nützliche Informationen liefern. Wir haben ihre Produkte jedoch noch nicht getestet und können Ihnen daher nicht sagen, ob diese nützlich sein werden. Diese Informationen enthalten Tipps zur Vorgehensweise von Sage Data Security, ein Best-Practice-Video von AlgoSec und eine dynamische Segmentierungsdiskussion des Netzwerkplanungssoftwareanbieters HashiCorp. Wenn Sie ein abenteuerlustiger Typ sind, bietet die Sicherheitsberatung Bishop Fox einen DIY-Leitfaden zur Netzwerksegmentierung an.

Was die anderen Vorteile der Segmentierung über die Sicherheit hinaus betrifft, kann ein segmentiertes Netzwerk Leistungsvorteile haben, da der Netzwerkverkehr in einem Segment möglicherweise nicht mit dem anderen Verkehr konkurrieren muss. Dies bedeutet, dass die Konstruktionsmitarbeiter nicht feststellen, dass die Zeichnungen durch Sicherungen verzögert werden, und dass die Entwickler möglicherweise ihre Tests durchführen können, ohne sich um Leistungseinbußen durch anderen Netzwerkverkehr sorgen zu müssen. Aber bevor Sie etwas tun können, müssen Sie einen Plan haben.