Mikrosegmentierung
Cyberattacken werden immer häufiger und raffinierter durchgeführt – und verursachen große Schäden. Angesichts der aktuellen Situation kommen Unternehmen nicht umhin, traditionelle Sicherheitsmechanismen zu überdenken. Denn diese sind immer weniger in der Lage, einen wirkungsvollen Schutz vor Cyberangriffen zu gewährleisten.
8. Februar 2018
|
Lesedauer: ca. 3 Min.
Bild: © JanBaby/pixabay.com
Die Ergebnisse der aktuellen PwC-Studie „The Global State of Information Security Survey“ sprechen eine deutliche Sprache. Demnach ist die Zahl der Cyberattacken in den vergangenen drei Jahren stark gestiegen – dabei ist der Anstieg der Attacken, die von Hackern ausgingen, besonders hoch (+83%). Ein erfolgreicher Cyberangriff hat oft schwerwiegende Folgen. Denn sollten bei diesem Einbruch Daten gestohlen werden, können Schäden in Millionenhöhe entstehen – vor allem, wenn es sich um sensible Daten handelt. Diese Gefahr besteht insbesondere, wenn Rechenzentren attackiert werden: So befinden sich in einem Data Center riesige Datenmengen, die häufig wertvolle Geschäftsinformationen enthalten.
Unternehmen, die das Netzwerk ihres Data Centers ausschließlich mit traditionellen Methoden wie physischen Firewalls schützen, stehen zunehmend auf verlorenen Posten. Denn diese Methoden weisen entscheidende Nachteile auf.
Um eine umfassende Netzwerksicherheit im gesamten Data Center-Bereich (Nord-Süd-Betrieb sowie Ost-West-Datenverkehr) zu gewährleisten, müssten hunderte von physischen Firewalls im Rechenzentrum installiert werden. Nur so wäre es möglich, jeden erdenklichen Workload zu schützen. Dies ist zu teuer und zu kompliziert.
Bei physischen Firewalls wenden Unternehmen in der Regel das perimeterorientierte Sicherheitsmodell an. Dieses Modell konzentriert sich darauf, die Außengrenzen des Rechenzentrums (Nord-Süd-Betrieb, also die Kommunikation zwischen Client und Server) durch physische Firewalls abzusichern. Dies ist meist ein starker Schutz – allerdings kein unüberwindbarer.
Genau hier setzt die Mikrosegmentierung an. Diese geht davon aus, dass innerhalb des Rechenzentrums überall Bedrohungen auftreten können – sodass dort akuter Handlungsbedarf herrscht.
Die Mikrosegmentierung verfolgt vor allem das Ziel, den Ost-West-Datenverkehr (Kommunikation zwischen Servern) innerhalb des Rechenzentrums umfassend zu schützen. Damit wird eine ganzheitliche Netzwerksicherheit im Data Center möglich. Denn auf diese Weise ist neben dem Nord-Süd-Betrieb (Kommunikation zwischen Client und Server) durch herkömmliche Firewalls auch der Ost-West-Datenverkehr abgesichert.
So lässt sich der Schaden deutlich reduzieren, falls eine Malware tatsächlich die Außengrenzen des Rechenzentrums überwinden sollte. Durch die Mikrosegmentierung wird nämlich eine weitere Ausbreitung der Schadsoftware im Rechenzentrumsnetzwerk verhindert.
Hierfür wird das Data Center granular in logische Einheiten aufgeteilt (segmentiert) – in der Regel handelt es sich dabei um Workloads. Jedem Workload werden spezielle Sicherheitsrichtlinien und -regeln zugewiesen. Hierzu gehört besonders die Isolierung des entsprechenden Workloads, falls dieser von einer Malware attackiert werden sollte. Auf diese Weise wird verhindert, dass die Schadsoftware weitere Workloads angreift – und damit größeren Schaden verursacht.
Um den Ost-West-Datenverkehr mit seinen Hunderten von Workloads umfassend zu schützen, ist die granulare Aufteilung indes Grundvoraussetzung. Schließlich muss sichergestellt werden, dass jeder Workload umfassend abgesichert wird.
Die Absicherung jedes erdenklichen Workloads ist mit traditionellen Methoden allerdings kaum umsetzbar. Denn hierfür müssten hunderte von physischen Firewalls im Rechenzentrum installiert werden. Dies ist zu teuer und zu komplex: Allein die Kosten für die Installation und anschließende Wartung dieser Firewalls wären enorm.
Mit VMware NSX haben Unternehmen nun die Möglichkeit, die Mikrosegmentierung optimiert und kosteneffektiv zu realisieren. Die Grundlogik von VMware NSX besteht nämlich darin, effektive Sicherheitsmechanismen direkt mit jeder VM, direkt im Hypervisor, zu etablieren. Somit ist jeder erdenkliche Workload zwischen VMs sowie zwischen VMs und physischen Hosts im gesamten Data Center-Bereich geschützt – ohne extra physische Firewalls installieren zu müssen. Auf diese Weise können Unternehmen vor allem einen umfassenden Schutz des Ost-West-Datenverkehrs erreichen.