Verwendung von Cookies

Diese Website verwendet Cookies. Indem Sie fortfahren, akzeptieren Sie die Verwendung von Cookies. Detailierte Informationen finden Sie hier.

NEU: Netzwerksegmentierung

Die Netzwerksegmentierung ist eine der älteren und bewährten Netzwerkstrategien um Netzwerke sicherer, kontrollierbarer und performanter zu gestalten. Wir haben Ihnen hier unsere Einschätzung in Bezug auf die Realität und drohende Risiken, sowie erste Lösungsansätze zur effektiven Netzwerksegmentierung kurz zusammengefasst.

Netzwerksegmentierung oder "Ich sehe was, was du nicht siehst ..."

Was ist Netzwerksegmentierung?

Formell beruhen die Grundlagen hierzu auf Arbeiten von James Martin sowie von Saltzner und Schröder welche in den 1970er Jahren veröffentlich wurden. Heute ist die physikalische oder logische Segmentierung  fester Bestandteil des IT-Grundschutz. Das Bundesamt für Sicherheit und Informationstechnik behandelt dieses Thema als feste Grundkomponente des IT-Grundschutz im Maßnahmenkatalog M5 unter den Punkten M5.61 und M5.62. Technisch können Netzwerke beispielsweise physikalisch oder logisch getrennt werden. Im ersten Fall über getrennte Switche oder Firewalls, im zweiten Fall über sog. VLANs. Virtual Local Area Networks trennen Netzwerke auf logischer Ebene im OSI-Layer 2 voneinander.

Realität und Risiken:

Doch häufig sieht die Realität anders aus. Historisch gewachsene Strukturen, erweiterte Netzmasken, Zeitmangel und kaum planbare Veränderungen in den Strukturen eines Unternehmens führen zu riesigen, unsegmentierten Netzwerken. Die Folgen hieraus sind träge reagierende Netzwerke mit schlechter Performance, schlechte VoIP Qualität, die mangelnde Möglichkeit der Zugriffeinschränkung und signifikante Sicherheitslücken. Ein aktuelles Beispiel hierzu wäre ein angenommener Befall durch Ransomware in einem nicht segmentierten Netzwerk. Die Verschlüsselungssoftware könnte sich in diesem Fall über sämtliche Unternehmensbereiche hindurch bis auf die Serversysteme ausbreiten und im schlimmsten Fall zu einem vollständigen Blackout führen.

Lösungsansätze

In der Praxis hat sich die Trennung der Netzwerke auf logischer Ebene mittels Verwendung von VLANs durchgesetzt. Beinahe alle Layer 2 Hardware ist in der Lage VLANs zu unterstützen und somit können Sie in den allermeisten Fällen eine Segmentierung Ihres Netzwerks ohne größere Hardware Investitionen umsetzen. Hierbei stehen mehrere Möglichkeiten zur Verfügung bei denen entweder der Switch selbst unterteilt wird (untagged oder portbasierendes VLAN) oder den einzelnen Datenframes eine VLAN Kennung zugewiesen wird (tagged VLAN). Letzteres bietet die Möglichkeit über eine Kabelstrecke mehrere VLANs gleichzeitig zu betreiben.

Kriterien

Um erfolgreich und effizient zu Segmentieren ist die Feststellung des IST Zustands sowie das definieren des Zielszenarios von großer Wichtigkeit. Hierbei werden zum Beispiel folgende Fragen behandelt:

-          Wer oder Was muss auf Was Zugriff bekommen?
-          Wer darf worauf keinen Zugriff bekommen? (Bsp.: Außendienst trennen von Produktion und Finanzbuchhaltung)
-          Welche Bereiche können voneinander getrennt werden? (Bsp.: Produktionsmaschinen von Computern in der Verwaltung)
-          Usw.

Fazit

Die Netzwerksegmentierung ist eine sehr gute Möglichkeit um ein Netzwerk sicherer, performanter und steuerbarer zu gestalten. Wir unterstützen Sie hierbei gern. Beginnend bei der Bestandsaufnahme über die Projektierung und Festlegung des gewünschten Ergebnisses bis hin zur Umsetzung.


Das könnte Sie auch interessieren: Hochverfügbarkeit und Hyperkonvergenz?

Sprechen Sie uns an und lassen Sie uns gemeinsam am Fortschritt arbeiten.