Um der sich ständig weiterentwickelnden Bedrohungslandschaft gewachsen zu sein, braucht es widerstandsfähigere, anpassungsfähigere und umfassendere Sicherheitsframeworks, um der zunehmenden Komplexität von Netzwerken gerecht zu werden. [...]
Das chinesische Chongqing ist wegen seiner schwindelerregenden Topografie auch als „8D-Stadt“ bekannt. Es gibt Gebäude, die in Berghänge gebaut sind, Verkehrswege schlängeln sich auf hochbauenden Konstruktionen spiralförmig zwischen den Gebäuden. Um sich in einer solchen Stadt zurechtzufinden, reicht eine zweidimensionale Karte nicht mehr aus.
Die Tech-Welt steht vor einer ähnlichen Herausforderung. Die Umgebungen erstrecken sich mittlerweile über Rechenzentren, Clouds, Zweigstellen und alles dazwischen – ein verworrenes Netz aus Schichten, Workloads und Identitäten. Viele Unternehmen versuchen trotzdem immer noch, eine sich ständig verändernde, vielschichtige digitale Landschaft mit manuellen Tools zu schützen, die für eine einfachere, flachere IT-Welt entwickelt wurden. Diese Ansätze zur Netzwerksicherheit sind so nutzlos wie die Navigation in Chongqing mit einer 2D-Karte.
Mehrdimensionaler, ganzheitlicher Schutz
Wenn es um die künftige Netzwerksicherheit geht, stellen sich nach Meinung von Zero Networks zwei zentrale Fragen: Wie lassen sich Netzwerksicherheitsfunktionen innovativ weiterentwickeln, um der zunehmenden Komplexität von Netzwerken gerecht zu werden? Wie kann jeder Datenverkehr zwischen allen Ebenen – Nord/Süd, Ost/West und sogar Auf/Ab – geschützt werden? Die Zukunft der Netzwerksicherheit – und in gewisser Weise auch die Sicherheit der Welt – liegt folglich in einer Kombination aus grundlegenden Funktionen, die zusammen einen mehrdimensionalen, ganzheitlichen Schutz bieten.
Ein Ansatz ist die Mikrosegmentierung, die seit langem als leistungsstarkes Werkzeug in der Cybersicherheit anerkannt ist. Die Komplexität und Ressourcenanforderungen haben jedoch oft eine Umsetzung dieses Ansatzes behindert. Hier kommt die automatisierte Mikrosegmentierung ins Spiel – ein revolutionärer Ansatz, der die Spielregeln verändert. Es gibt jedoch wichtige Unterschiede, die eine echte automatisierte Mikrosegmentierung ausmachen, worauf Unternehmen bei der Auswahl achten sollten.
Schnelle und mühelose Implementierung ist entscheidend
Ältere Lösungen erfordern manuelle Prozesse (Tagging, Gruppierung, Erstellung und Verwaltung von Richtlinien), deren vollständige Implementierung Jahre dauern kann, Ressourcen beansprucht und wichtige Sicherheitsverbesserungen verzögert. Automatisierte Mikrosegmentierung ist hingegen innerhalb weniger Tage einsatzbereit und auf lange Sicht viel einfacher zu verwalten.
Eine entsprechende Lösung sollte eine automatische Erkennung und Klassifizierung von Assets (Tagging, Gruppierung) bieten, ebenso wie die automatische Richtlinienerstellung auf Basis beobachteter Verkehrsmuster, wodurch die manuelle Erstellung von Regeln entfällt. Ebenfalls entscheidend ist eine unterbrechungsfreie Bereitstellung, die die Auswirkungen auf den laufenden Betrieb minimiert.
Dynamische Anpassung an sich verändernde Umgebungen
Bei einer effektiven Mikrosegmentierung geht es nicht nur um eine schnelle Bereitstellung, sondern auch um kontinuierliche Anpassung. In den dynamischen Umgebungen von heute entwickelt sich ein Netzwerk ständig weiter. Die automatisierte Mikrosegmentierung hält mit nahtlosen Anpassungen an Änderungen in Cloud-, Hybrid- und lokalen Infrastrukturen Schritt und erstellt dynamische Richtlinien, die kontinuierlich verfeinert und an ein ständig wachsendes und sich veränderndes Netzwerk angepasst werden. Dies gilt einschließlich der Einbindung und des Schutzes neuer Assets und der Entfernung stillgelegter Assets.
Granulare Kontrolle und Zero Trust
Durch die Aufteilung von Netzwerken in kleinere, isolierte Abschnitte erhalten IT-Teams eine umfassende Kontrolle über ihr Netzwerk und verwandeln die Netzwerksicherheit von einer reaktiven Haltung in eine proaktive, adaptive Zero-Trust-Verteidigung. Sicherheitsverantwortliche sind in der Lage, laterale Bewegungen zu blockieren und Ransomware unwirksam zu machen. Die Schichtung des Schutzes mit Multi-Faktor-Authentifizierung im gesamten Netzwerk und die Durchsetzung der Authentifizierung von Menschen und Maschinen für den Zugriff auf Assets sind ebenfalls von entscheidender Bedeutung. Die Fähigkeit, strenge Sicherheitsrichtlinien auf der Ebene bestimmter Workloads, Anwendungen oder Geräte durchzusetzen und Zero-Trust-Sicherheitsprinzipien zu unterstützen, ist ebenfalls unverzichtbar, um sicherzustellen, dass Vertrauen niemals vorausgesetzt, sondern immer überprüft wird.
Layer-Mikrosegmentierung mit NGFWs für dynamischen Schutz
Mit zunehmender Komplexität der Netzwerke werden auch die Firewalls zu deren Schutz immer komplexer. Next-Generation-Firewalls (NGFWs) stehen an der Spitze dieser Entwicklung und bieten einen hochentwickelten Schutz, der weit über die herkömmliche Perimeter-Verteidigung hinausgeht.
Sie bieten Deep Packet Inspection, untersuchen den Datenverkehr auf höheren TCP/IP-Ebenen, einschließlich der Anwendungsschicht, und ermöglichen so eine genauere Erkennung und Abwehr von Bedrohungen, eine bessere Kontrolle über die Anwendungsnutzung und den Datenfluss sowie eine verbesserte Transparenz der Netzwerkverkehrsmuster. NGFWs umfassen auch Dienste zur Erkennung und Abwehr von Eindringlingen (fortschrittliche ML-gestützte Bedrohungsabwehr) und verbessern so ihre Fähigkeit, verdächtigen Datenverkehr zu erkennen und zu blockieren. Schließlich sorgen sie für eine optimierte Netzwerkarchitektur, indem sie mehrere Sicherheitsfunktionen in einer einzigen Plattform kombinieren und so die Komplexität und potenzielle Sicherheitslücken reduzieren.
In Kombination bieten NGFWs und automatisierte Mikrosegmentierung eine mehrschichtige Verteidigung über alle Achsen des Netzwerkverkehrs hinweg – Nord/Süd, Ost/West und Auf/Ab – und sorgen so für einen umfassenden, dreidimensionalen Schutz:
- Nord-Süd-Schutz: NGFWs überprüfen den Layer-7-Datenverkehr und erkennen und blockieren Zero-Day-Exploits und komplexe Bedrohungen auf Anwendungsebene am Netzwerk-Edge. Dies bietet einen robusten Schutz vor externen Angriffen durch die Analyse der Inhalte von Datenpaketen.
- Ost-West-Schutz: Die Mikrosegmentierung isoliert Workloads und Ressourcen und blockiert so die laterale Bewegung von Angreifern. Moderne Optionen nutzen die Erstellung deterministischer Regeln, um dynamisch den Zugriff mit minimalen Berechtigungen durchzusetzen und kompromittierte Segmente automatisch zu isolieren. Dies trägt dazu bei, die Betriebskontinuität aufrechterhalten und Hacker zu stoppen.
- Auf-Ab-Schutz: Identitätssegmentierung bietet dynamische, granulare Zugriffskontrollen basierend auf dem Benutzerverhalten, dem Gerätestatus oder der Anwendungsidentität. Sie beschleunigt die Reaktion auf Vorfälle, indem sie die schnelle Erkennung ungewöhnlicher Verhaltensweisen und eine automatisierte Zugriffskontrolle ermöglicht, die unbefugten Zugriff blockiert.
Robuste Antwort auf eine immer komplexere digitale Welt
Die Kombination aus automatisierter Mikrosegmentierung und NGFW-Funktionen bietet nach Meinung von Zero Networks umfassende, adaptive Sicherheit in allen Netzwerkdimensionen. Diese Integration ermöglicht die Erkennung von Bedrohungen in Echtzeit, die automatisierte Durchsetzung von Richtlinien und eine schnelle Reaktion auf Vorfälle.
Ziel muss es sein, ein widerstandsfähigeres, anpassungsfähigeres und umfassenderes Sicherheitsframework zu schaffen. Dieses muss der sich ständig weiterentwickelnden Bedrohungslandschaft gerecht werden und gleichzeitig moderne Netzwerkarchitekturen und Compliance-Anforderungen unterstützen. Mit anderen Worten: Wenn ein Hacker in ein Netzwerk eindringt, das mit dieser ganzheitlichen Sicherheitskombination geschützt ist, kann er sich nicht seitlich bewegen oder Schaden anrichten. Nur so wird es Unternehmen gelingen, in immer komplexeren und dynamischeren Netzwerkumgebungen eine robuste Sicherheitslage aufrechtzuerhalten.
Be the first to comment