Mikrosegmentierung

So erhöhen Sie die Netzwerksicherheit im Rechenzentrum

Cyberattacken werden immer häufiger und raffinierter durchgeführt – und verursachen große Schäden. Angesichts der aktuellen Situation kommen Unternehmen nicht umhin, traditionelle Sicherheitsmechanismen zu überdenken. Denn diese sind immer weniger in der Lage, einen wirkungsvollen Schutz vor Cyberangriffen zu gewährleisten.

8. Februar 2018

|

Lesedauer: ca. 3 Min.

So erhöhen Sie die Netzwerksicherheit im Rechenzentrum

Bild: © JanBaby/pixabay.com

Die Ergebnisse der aktuellen PwC-Studie „The Global State of Information Security Survey“ sprechen eine deutliche Sprache. Demnach ist die Zahl der Cyberattacken in den vergangenen drei Jahren stark gestiegen – dabei ist der Anstieg der Attacken, die von Hackern ausgingen, besonders hoch (+83%). Ein erfolgreicher Cyberangriff hat oft schwerwiegende Folgen. Denn sollten bei diesem Einbruch Daten gestohlen werden, können Schäden in Millionenhöhe entstehen – vor allem, wenn es sich um sensible Daten handelt. Diese Gefahr besteht insbesondere, wenn Rechenzentren attackiert werden: So befinden sich in einem Data Center riesige Datenmengen, die häufig wertvolle Geschäftsinformationen enthalten.

Traditionelle Methoden können hohes Sicherheitsniveau nicht mehr gewährleisten

Unternehmen, die das Netzwerk ihres Data Centers ausschließlich mit traditionellen Methoden wie physischen Firewalls schützen, stehen zunehmend auf verlorenen Posten. Denn diese Methoden weisen entscheidende Nachteile auf.

Hoher Verwaltungsaufwand

Physische Firewalls sind komplexe Sicherheitsmechanismen. Diese müssen regelmäßig gewartet und aktualisiert werden. Dies verursacht einen erheblichen Verwaltungsaufwand für die IT-Abteilung – sowie hohe Betriebskosten.

Sehr kompliziert und teuer

Um eine umfassende Netzwerksicherheit im gesamten Data Center-Bereich (Nord-Süd-Betrieb sowie Ost-West-Datenverkehr) zu gewährleisten, müssten hunderte von physischen Firewalls im Rechenzentrum installiert werden. Nur so wäre es möglich, jeden erdenklichen Workload zu schützen. Dies ist zu teuer und zu kompliziert.

Unzureichendes Sicherheitsmodell

Bei physischen Firewalls wenden Unternehmen in der Regel das perimeterorientierte Sicherheitsmodell an. Dieses Modell konzentriert sich darauf, die Außengrenzen des Rechenzentrums (Nord-Süd-Betrieb, also die Kommunikation zwischen Client und Server) durch physische Firewalls abzusichern. Dies ist meist ein starker Schutz – allerdings kein unüberwindbarer.

Zum Beispiel verwenden Hacker heute den sogenannten „Huckepack“-Ansatz: Sie erstellen eine Malware, die sich an einen autorisierten User anhängt. Auf diese Weise wird die Malware von den physischen Firewalls an den Außengrenzen nicht erkannt. Sollte nun der Ost-West-Datenverkehr, also die Kommunikation zwischen Servern, innerhalb des Rechenzentrums unzureichend geschützt sein – was häufig der Fall ist – kann sich die Malware ungehindert verbreiten und etwa Daten stehlen. Schließlich ist dieser Datenverkehr kaum abgesichert.

Genau hier setzt die Mikrosegmentierung an. Diese geht davon aus, dass innerhalb des Rechenzentrums überall Bedrohungen auftreten können – sodass dort akuter Handlungsbedarf herrscht.

Mikrosegmentierung: Umfassende Netzwerksicherheit im Rechenzentrum

Die Mikrosegmentierung verfolgt vor allem das Ziel, den Ost-West-Datenverkehr (Kommunikation zwischen Servern) innerhalb des Rechenzentrums umfassend zu schützen. Damit wird eine ganzheitliche Netzwerksicherheit im Data Center möglich. Denn auf diese Weise ist neben dem Nord-Süd-Betrieb (Kommunikation zwischen Client und Server) durch herkömmliche Firewalls auch der Ost-West-Datenverkehr abgesichert.

So lässt sich der Schaden deutlich reduzieren, falls eine Malware tatsächlich die Außengrenzen des Rechenzentrums überwinden sollte. Durch die Mikrosegmentierung wird nämlich eine weitere Ausbreitung der Schadsoftware im Rechenzentrumsnetzwerk verhindert.

Hierfür wird das Data Center granular in logische Einheiten aufgeteilt (segmentiert) – in der Regel handelt es sich dabei um Workloads. Jedem Workload werden spezielle Sicherheitsrichtlinien und -regeln zugewiesen. Hierzu gehört besonders die Isolierung des entsprechenden Workloads, falls dieser von einer Malware attackiert werden sollte. Auf diese Weise wird verhindert, dass die Schadsoftware weitere Workloads angreift – und damit größeren Schaden verursacht.

Um den Ost-West-Datenverkehr mit seinen Hunderten von Workloads umfassend zu schützen, ist die granulare Aufteilung indes Grundvoraussetzung. Schließlich muss sichergestellt werden, dass jeder Workload umfassend abgesichert wird.

Umsetzung der Mikrosegmentierung mit VMware NSX

Die Absicherung jedes erdenklichen Workloads ist mit traditionellen Methoden allerdings kaum umsetzbar. Denn hierfür müssten hunderte von physischen Firewalls im Rechenzentrum installiert werden. Dies ist zu teuer und zu komplex: Allein die Kosten für die Installation und anschließende Wartung dieser Firewalls wären enorm.

Mit VMware NSX haben Unternehmen nun die Möglichkeit, die Mikrosegmentierung optimiert und kosteneffektiv zu realisieren. Die Grundlogik von VMware NSX besteht nämlich darin, effektive Sicherheitsmechanismen direkt mit jeder VM, direkt im Hypervisor, zu etablieren. Somit ist jeder erdenkliche Workload zwischen VMs sowie zwischen VMs und physischen Hosts im gesamten Data Center-Bereich geschützt – ohne extra physische Firewalls installieren zu müssen. Auf diese Weise können Unternehmen vor allem einen umfassenden Schutz des Ost-West-Datenverkehrs erreichen.

Mehr zum Thema „IT-Security“

quishing-albtraum-security-verantwortliche
Quishing: Ein neuer „Albtraum“ für Security-Verantwortliche

Phishing-Attacken mit QR-Codes, das sogenannte Quishing, sind besonders gefährlich. Doch warum ist das der Fall? Und wie können sich Unternehmen schützen?

Lesedauer: 3 Min.

container-technologien-sicherheit
Container-Technologien sicher nutzen: Wie Unternehmen eine moderne Container-Sicherheit aufbauen können

Um Container-Technologien optimal nutzen zu können, müssen Firmen für eine umfassende Sicherheit sorgen. Hier bietet CANCOM umfangreiche Unterstützung an.

Lesedauer: 2 Min.

Wie Social Media Plattformen Unternehmen gefährden
Wie Social Media Plattformen Unternehmen gefährden

Fast jedes Unternehmen nutzt heute Social Media Plattformen. Allerdings können diese zum ernsthaften Sicherheitsrisiko werden – so eine aktuelle Studie.

Lesedauer: 2 Min.