Zscaler Blog
Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang
AbonnierenZero-Trust-Mikrosegmentierung: Auf die Daten kommt es an
In der digitalen Wirtschafts- und Geschäftswelt stehen Cybersicherheitsexperten ständig unter hohem Erwartungsdruck. Die eigentlichen Gründe für die Verwaltung und den Betrieb eines Sicherheitsprogramms können dabei leicht in Vergessenheit geraten.
Im Kern geht es bei der Implementierung robuster Sicherheitsmaßnahmen – sprich: Mikrosegmentierung – nämlich nicht darum, Workloads, Geräte oder User im Netzwerk abzusichern. Zuvorderst dienen diese Maßnahmen dazu, Daten zu schützen. Daten müssen im Zentrum jeder Sicherheitsstrategie stehen, und entsprechend müssen Sicherheits-Frameworks, -Tools und -Prozesse eingesetzt werden, die primär auf den Schutz von Daten abzielen. Sicherheitsteams, die viel Zeit und Arbeit darauf verwenden, Netzwerke gegen unbefugte Zugriffe abzusichern, setzen die falschen Prioritäten und können keinen zuverlässigen Schutz vor heutigen Gegnern gewährleisten.
Eine datenzentrierte Sicherheitsstrategie setzt die effektive Implementierung von Mikrosegmentierung voraus. Dies kann durch unterschiedliche Methoden erreicht werden, die ähnliche oder identische Ziele verfolgen:
- Verbesserte Transparenz und Erkennung von Sicherheitsverletzungen
- Lokalisierte Sicherheitskontrollen zum Schutz geschäftskritischer IT-Assets
- Geringere Investitions- und Betriebskosten
- Geringere Kosten für Compliance-Maßnahmen
- Besserer Datenschutz durch schärferes Bewusstsein und detaillierte Informationen
- Eindeutige Zuweisung von Verantwortung
- Unterstützung der digitalen Transformation
Eine noch effektivere Strategie besteht darin, Mikrosegmentierung mit einem Zero-Trust-Ansatz zu verbinden. Zero Trust und Mikrosegmentierung bringen der Organisation ähnliche Vorteile. Sicherheitsinitiativen, die beide Ansätze kombinieren, haben sich als wirksame Methode bewährt, Daten und Systeme zu isolieren, die Verbreitung von Malware zu stoppen und aussagekräftige Informationen zu allen Aktivitäten im Ökosystem zu gewinnen.
Datenschutz als höchste Priorität
Mit Zero-Trust-Mikrosegmentierung können Organisationen besseren Schutz für Workloads, User und Geräte gewährleisten. Die eigentliche Stärke des Konzepts liegt jedoch in seinen Kapazitäten zum Schutz von Daten, der Kernkomponente jedes Sicherheitsprogramms. Mithilfe von Mikrosegmentierung schaffen Sicherheitsexperten die technischen und logistischen Voraussetzungen für eine effektive Durchsetzung des Zero-Trust-Prinzips. Dieses sieht vor, dass Kommunikationen zwischen zwei Segmenten – innerhalb oder zwischen Rechenzentren und Cloud-Umgebungen – niemals als vertrauenswürdig eingestuft werden dürfen. Ihre Autorisierung und Authentifizierung erfolgt immer auf Einzelfallbasis und wird einer laufenden Neubewertung unterzogen.
In einer Zero-Trust-Infrastruktur werden bei jeder einzelnen Kommunikationsanfrage Kontrollen durchgesetzt, sodass Datenbestände immer vor lateraler Bewegung und Verbreitung von Malware geschützt sind, selbst wenn ein Angreifer sich bereits über ein Endgerät unbefugten Zugriff auf das Netzwerk verschafft hat.
Ermöglicht wird dies durch die Kombination aus Zero Trust und Mikrosegmentierung, die bewirkt, dass infizierte Segmente von anderen Systemen isoliert werden und granulare Kontrollen verhindern, dass Angreifer über genehmigte Richtlinien unbefugt auf Systeme oder Daten zugreifen. Die Daten als eigentlicher Kern des distribuierten Netzwerks werden so zuverlässig vor Übergriffen geschützt.
Sobald ein Angriff jedoch den Endgeräte-Schutz überwindet, gibt es ohne Segmentierung keine Möglichkeit, ihn aufzuhalten.
Genau darin liegt das Risiko flacher Netzwerkarchitekturen. Netzwerke ohne Segmentierung – geschweige denn Mikrosegmentierung – sind erst recht gefährdet, wenn die Sicherheitskontrollen Zugriff auf Unternehmensressourcen nach dem Motto genehmigen: „Wir kennen Sie, Sie waren schon mal hier und sind jetzt wieder hier, also dürfen Sie sich frei bewegen.“ Zero-Trust-Mikrosegmentierung ist das genaue Gegenteil dieser übermäßig großzügigen Berechtigungen – alle Ressourcen innerhalb des Netzwerks werden strikt voneinander getrennt. Jede einzelne Anwendung bzw. jeder Host oder Service wird in einem eigenen Segment isoliert und durch granulare Kontrollmechanismen geschützt, die auf dem jeweiligen Kritikalitäts- und Vertraulichkeitsgrad der Daten innerhalb des Segments basieren – und eben nicht auf externen Faktoren wie IP-Adressen, Ports und Protokollen, nicht überwachten Verbindungspfaden usw.).
Ein neues Segmentierungskonzept
Trotzdem hat Mikrosegmentierung unter Sicherheitsfachleuten keinen guten Ruf. Viele Experten verbinden mit dem Begriff schlechte Erinnerungen an vergangene Fehlschläge. Da die Mehrzahl der Unternehmen Cloud-Computing und SaaS-Angebote in massivem Umfang nutzt, ist sowohl die Identifizierung von Datenspeichern als auch die Klassifizierung der darin abgelegten Daten mit Herausforderungen verbunden. Ein optimales Schutzniveau lässt sich unter diesen Vorzeichen nur gewährleisten, wenn Mikrosegmentierung durch eine Zero-Trust-Architektur verstärkt wird.
Zero Trust platziert Sicherheitskontrollen direkt bei den Datenbeständen, auf die es Angreifer abgesehen haben, setzt Zugriffskontrollen nach dem Prinzip der minimalen Rechtevergabe durch und genehmigt den Zugriff auf Datenbeständen bzw. unter ihnen erst nach erfolgreicher Verifizierung – und zwar bei jeder einzelnen Kommunikationsanfrage. Die Identifizierung und Isolierung von Datenbeständen wird dadurch erheblich vereinfacht. Anstatt Hunderttausende von Endgeräten abzusichern, können Sicherheitsexperten den Fokus auf die Daten selbst richten und sämtliche Kommunikationen granular überprüfen.
Zero-Trust-Mikrosegmentierung bildet die Grundlage für die gezielte Einrichtung robuster Sicherheitskontrollen zum Schutz Ihrer wertvollen Daten an ihren jeweiligen Speicherorten.
Zusätzliche Lektüre:
Ist Mikrosegmentierung ein Sicherheitsprojekt oder ein Infrastrukturprojekt?
Mikrosegmentierung und Netzwerksegmentierung: Worin liegt der Unterschied?
War dieser Beitrag nützlich?
Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang
Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.