Lange vorbei sind die Zeiten, in denen man einfach am Perimeter eine Firewall zum Schutz des Unternehmens hinstellen konnte. Dieses Thema scheint wie ein alter Hut, doch ist es so aktuell wie nie zuvor. Gerade Log4Shell hat wieder aufgezeigt, warum unter anderem Netzwerk Segmentierung als Best Practice von jedem Unternehmen umgesetzt werden sollte. Informationssicherheit ist ja bekanntlich vielschichtig. Ein Eckpfeiler davon ist Netzwerksicherheit, wobei die Segmentierung Voraussetzung und Grundlage vieler Massnahmen einer sicheren IT Architektur bildet.


Warum segmentieren?

Es gibt viele gute Gründe, warum man dies tun sollte.

1. Kronjuwelen schützen

Assets bergen verschiedene Risiko Level, die es verlangen, voneinander in verschiedenen Zonen isoliert zu werden. Die Zonierung bietet damit den Vorteil, verschiedene Risiken voneinander getrennt behandeln zu können. Das heisst, Massnahmen können dem Risiko entsprechend angewandt werden. Exponierte Assets wie Webserver oder auch Clientsysteme können so von den «Kronjuwelen» eines Unternehmens getrennt werden.

2. Angriffsfläche minimieren

Um eine möglichst geringe Angriffsfläche zu bieten, werden Zonenübergänge so restriktiv wie möglich und nur so offen wie nötig gestaltet. Es wird somit der «Least Privilege» Ansatz im Netzwerk umgesetzt. Dieses Prinzip ist bewährt und verhindert z.B. Angriffe durch Log4Shell. Wieso sollte ein Webserver überhaupt Zugriff haben auf Systeme im Internet? Wenn schon, nur per Proxy und, wenn das nicht möglich ist, wenigstens eingeschränkt auf die Destination.

Mit der Möglichkeit, Zonenübergänge zu filtern, wird die Voraussetzung geschaffen, den Traffic zu kontrollieren und Next Generation Firewall (NGFW) Features einzusetzen.


3. Schaden verringern

Segmentierung bietet den Vorteil, dass Angreifer sich nicht so einfach seitwärts bewegen können (lateral movement). Bot Aktivitäten, Malware oder Angriffe durch Hacker werden erkannt und unterbunden oder zumindest verlangsamt. Ein kompromittierter Host lässt das Kartenhaus nicht gleich in sich zusammenfallen. Die Zone kann isoliert und gesäubert werden.


4. Visibilität erhöhen

Die Zonierung schafft zudem Visibilität über die Aktivitäten im Unternehmensnetzwerk. Zum einen kann aufgezeigt werden, welche Hosts mit welchen Ports kommunizieren, welches wertvolle Informationen liefert für ein SIEM/SOC. Ohne Visibilität ist man blind gegenüber Threats im Netzwerk. Natürlich kann man für die Visibilität auch ein NDR System einbinden. Aber auch diese können ohne Segmentierung keine Isolation vornehmen.

5. Endpoints schützen

Die Zonierung hat auch positiven Einfluss auf Endpoints. Je besser Endpoints übers Netzwerk geschützt sind, desto weniger Schutz wird auf ihnen selber benötigt. Es gibt zum Beispiel Industriesysteme, welche noch mit Windows XP betrieben werden, da der Hersteller in Konkurs gegangen ist. Oder medizinische Systeme, welche nicht gepatcht werden dürfen, da sie sonst die Zertifizierung und somit die Zulassung verlieren. Diese Systeme sind ohne Segmentierung ein gefundenes Fressen für Angreifer. Die Isolierung dieser besonders vulnerablen Systeme erhöht den Schutz aller anderen Systeme.


Was spricht dagegen?

Meine Erfahrung zeigt, dass einige verwegene, besonders risikoaffine Manager und Admins den damit verbundenen Aufwand trotz der vielen Vorteile scheuen. «Wir gehen ja sowieso in die Cloud, da brauchen wir das nicht», mag eingewandt werden. Doch bewährte Konzepte wie «Least Privilege» oder «need to know» machen vor der Cloud nicht halt. Egal, wo die Assets verstreut sind, sie haben unterschiedliche Anforderungen an die Sicherheit. Auch ein Outbreak in der Cloud will verlangsamt werden bzw. will man «lateral movement» auch in der Cloud verhindern. Ausserdem, wie lange dauert die Transition in die Cloud? Erfahrungsgemäss läuft’s auf einen hybriden Ansatz hinaus, wobei Clients und gerade die «Kronjuwelen» nicht in der Cloud betrieben werden. Oder es wird argumentiert: «Wir machen Zero Trust Network Access». ZTNA ist ja auch nur wieder alter Wein in neuen Schläuchen. Im Falle von ZPA ein toller Ansatz für Homeoffice Clients. Doch wird es wohl immer Clients geben, welche sich im klassischen Office befinden. Auch ZTNA setzt eine saubere Segmentierung voraus. Ein Angreifer, der sich bereits im internen Netz befindet, wird sich einen Teufel um den Session Broker scheren und sich intern weiter vorarbeiten. Im Falle von Illumio ist es ein toller Ansatz für Mikrosgementierung innerhalb einer Zone zwischen Containern oder Windows und Linux Systemen. Aussen vor bleiben aber Systeme für die es keinen Agent gibt. Gerade eine Management Zone, IoT, Appliances, oder legacy Systeme werden damit nicht geschützt. Es gibt keinen Shortcut. Nichts führt an der internen Segmentierung vorbei.


Zeit und Geld

Natürlich kostet ein internes Segmentierungsprojekt Zeit und Geld. Doch stellt man dies einem möglichen erfolgreichen Hackerangriff gegenüber, erscheinen Aufwand und Kosten gering. Es ist wie mit einer Versicherung. Man hofft, dass man sie nie braucht. Hat man sie, wird das Prinzip Hoffnung weniger strapaziert und lässt auch den risikoaffinsten Entscheider gut schlafen. Und wie wir wissen, liebe Freunde der Informationssicherheit: «Es ist nicht die Frage «ob», sondern «wann» man gehackt wird».


Welche Technologie?

Ob dabei klassisch auf einer Hardware Firewall, virtuellen FW, personal FW (Illumio), auf dem Hypervisor per NSX-T, in Azure, AWS, GCP, in Cisco ACI per Service Graph oder in Zscaler ZPA (micro-)segmentiert wird, ist abhängig von den individuellen Anforderungen jedes Unternehmens. Aber Hauptsache, man tut es. Oft macht eine Kombination der Technologien Sinn.


Was ist mit Private VLAN?

In dem Zusammenhang gibt es ein Thema, wobei mich die Meinung der Switching/Routing Kollegen interessieren würde. Wie steht Ihr zu PVLAN? «lateral movement» kann damit in Client Netzen unterbunden werden. Während Client Isolation im WLAN praktisch Standard ist, triff man PVLAN fast nie an. Gibt es gute Gründe dafür, dass Clients sich auf Layer 2 sehen müssen? Mir kommen dabei P2P, VoIP oder MS Teams in den Sinn. Allerdings kann man VoIP und Teams so konfigurieren, dass die Clients per GW kommunizieren. P2P hat im Unternehmen eher nichts verloren.


Wie umsetzen?

Wie man interne Segmentierungsprojekte am besten angeht, folgt evtl. in einem weiteren Blog. In jedem Fall stehen wir als kompetenter Partner bereit, um auch Ihr Segmentierungsprojekt erfolgreich umzusetzen.