{"id":23254,"date":"2023-07-24T14:16:32","date_gmt":"2023-07-24T12:16:32","guid":{"rendered":"https:\/\/enginsight.com\/?p=23254"},"modified":"2023-08-28T09:52:53","modified_gmt":"2023-08-28T07:52:53","slug":"leitfaden-implementierung-hostbasierte-mikrosegmentierung","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/leitfaden-implementierung-hostbasierte-mikrosegmentierung\/","title":{"rendered":"Ein Leitfaden zur Implementierung einer hostbasierten Mikrosegmentierung"},"content":{"rendered":"<h2 class=\"wp-block-heading\">Einf&#xFC;hrung in die hostbasierte Mikrosegmentierung<\/h2>\n\n\n\n<p>Cyberangriffe und Hackerattacken nehmen zu und werden komplexer. Das ist nichts Neues. Deshalb ist es wichtig, Sicherheitsstrategien aktuell zu halten. Die hostbasierte Mikrosegmentierung ist hier ein sehr wirksamer Ansatz, der sich in der Praxis bew&#xE4;hrt hat.<\/p>\n\n\n\n<p>Der Netzwerkverkehr wird bei der hostbasierten Mikrosegmentierung auf der<strong> Ebene einzelner Hosts oder sogar einzelner Prozesse<\/strong> innerhalb dieser Hosts kontrolliert. Diese Feingranularit&#xE4;t ist ein wesentlicher Fortschritt gegen&#xFC;ber herk&#xF6;mmlichen Methoden, die den gesamten Datenverkehr durch ein zentrales Netz leiten.<\/p>\n\n\n\n<p>In der Vergangenheit haben hostbasierte Sicherheitskontrollen oft Schwierigkeiten bereitet. Sie waren schwer zu implementieren, schwierig zu verwalten und boten oft unzureichenden Schutz. Moderne hostbasierte Mikrosegmentierungs-Technologien haben jedoch viele dieser Herausforderungen &#xFC;berwunden. Sie bieten eine verbesserte Sichtbarkeit des Netzwerkverkehrs, granulare Kontrollen und eine einfachere Implementierung und Verwaltung. <\/p>\n\n\n\n<p>Der interne Datenverkehr, und besonders sensible Bereiche, wie bspw. der ERP- oder Datenbank-Server, werden damit besser gesch&#xFC;tzt, wenn Hacker einmal ins System eingedrungen sind.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Arten von Mikrosegmentierungs-Technologien<\/h2>\n\n\n\n<p>Es gibt verschiedene Technologien zur Mikrosegmentierung, darunter <strong>infrastrukturbasierte, hypervisorbasierte und hostbasierte L&#xF6;sungen<\/strong>. Jede dieser Technologien hat ihre St&#xE4;rken und Schw&#xE4;chen; die Auswahl h&#xE4;ngt von den spezifischen Anforderungen und der Organisation selbst ab.<\/p>\n\n\n\n<p>Hostbasierte Mikrosegmentierung ist insbesondere in hybriden Cloud-Umgebungen besonders vorteilhaft. Sie bietet eine hohe Flexibilit&#xE4;t und kann sich leicht an wechselnde Netzwerkbedingungen anpassen. Dar&#xFC;ber hinaus bietet sie eine feinere Kontrolle &#xFC;ber den Netzwerkverkehr, was zu einer verbesserten Sicherheit f&#xFC;hrt.<\/p>\n\n\n\n<p>Weitere Arten der Mikrosegmentierung: <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Anwendungssegmentierung <\/strong>&#x2013; Hier wird die East-West-Kommunikation eingeschr&#xE4;nkt.<\/li>\n\n\n\n<li><strong>Segmentierung nach Umgebung<\/strong> &#x2013; Eine Aufteilung erfolgt z. B. in Entwicklungsabteilung, Produktion und Verwaltung. <\/li>\n\n\n\n<li><strong>Prozessbasierte Segmentierung<\/strong> &#x2013; Diese Art ist sehr granular und wird auf Prozess- und Dienstebene abgebildet. Zum Beispiel kann ein spezifischer Software-Dienst isoliert und nur zur Kommunikation auf explizit erlaubten Netzwerkpfaden, Protokollen und Ports zugelassen werden.<\/li>\n<\/ul>\n\n\n\n<div style=\"height:0px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p>Die feingranulare Aufgliederung kennt praktisch keine Grenzen, macht das Ganze nat&#xFC;rlich auch komplexer. Deshalb ist das A und O eine gute Planung, welche Bereiche in der eigenen IT besonders sch&#xFC;tzenswert sind.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Mikrosegmentierung vs. Makrosegmentierung<\/h2>\n\n\n\n<p>Makrosegmentierung bzw. Netzwerksegmentierung teilt ein Netzwerk in mehrere gro&#xDF;e Segmente oder Zonen auf. Im Gegensatz dazu geht Mikrosegmentierung tiefer und f&#xFC;gt jedes Ger&#xE4;t oder sogar jede Anwendung in ein eigenes Segment. Dies erm&#xF6;glicht eine granulare Sichtbarkeit und Sicherheitskontrolle.<\/p>\n\n\n\n<p>Bei der Netzwerksegmentierung wird der Datenverkehr zwischen Ger&#xE4;ten oder Anwendungen innerhalb eines bestimmten Netzwerksegments nicht durch eine Next-Generation-Firewall (NGFW) inspiziert. Mikrosegmentierung hingegen unterzieht den gesamten Verkehr im Unternehmensnetzwerk einer Inspektion. Dies erh&#xF6;ht die Sicherheit, da jeglicher unautorisierter Zugriff auf eine Anwendung oder ein Ger&#xE4;t blockiert werden kann, unabh&#xE4;ngig von seinem Ursprung.<\/p>\n\n\n\n<p>F&#xFC;r die Umsetzung einer <strong>Zero-Trust-Sicherheitsrichtlinie<\/strong> ist Mikrosegmentierung unerl&#xE4;sslich. Zero-Trust erfordert die F&#xE4;higkeit, jeglichen unautorisierten Zugriff auf eine Anwendung oder ein Ger&#xE4;t zu blockieren, was die Inspektion aller Verkehrsstr&#xF6;me zu dieser Ressource erfordert, unabh&#xE4;ngig von ihrem Ursprung.<br><\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><\/th><th>Mikrosegmentierung<\/th><th>Netzwerksegmentierung<\/th><\/tr><\/thead><tbody><tr><td><strong>Definition<\/strong><\/td><td>Teilt das Netzwerk in kleine Segmente auf der Ebene einzelner Hosts oder Prozesse auf.<\/td><td>Teilt das Netzwerk in gr&#xF6;&#xDF;ere Segmente oder Zonen auf. <\/td><\/tr><tr><td><strong>Fokus<\/strong><\/td><td>Granulare Kontrolle und Sichtbarkeit auf der Ebene einzelner Ger&#xE4;te oder Anwendungen.<\/td><td>Fokus auf gr&#xF6;&#xDF;ere Netzwerksegmente oder Zonen.<\/td><\/tr><tr><td><strong>Zero Trust<\/strong><\/td><td>Unverzichtbar f&#xFC;r die Umsetzung einer Zero-Trust-Sicherheitsrichtlinie, da jeglicher unautorisierter Zugriff auf eine Anwendung oder ein Ger&#xE4;t blockiert werden kann.<\/td><td>Zero Trust kann schwieriger umzusetzen sein, da der Verkehr innerhalb eines Netzwerksegments nicht inspiziert wird.<\/td><\/tr><tr><td><strong>Verwaltung<\/strong><\/td><td>Kann komplexer in der Verwaltung sein aufgrund der Feingranularit&#xE4;t.<\/td><td>Einfacher in der Verwaltung aufgrund der gr&#xF6;&#xDF;eren Netzwerksegmente.<\/td><\/tr><tr><td><strong>Vorteile<\/strong><\/td><td>Verbesserte Sicherheit, granulare Kontrolle und Sichtbarkeit, Flexibilit&#xE4;t.<\/td><td>Einfachere Implementierung und Verwaltung, weniger Komplexit&#xE4;t.<\/td><\/tr><tr><td><strong>Nachteile<\/strong><\/td><td>Kann komplexer in der Implementierung und Verwaltung sein.<\/td><td>Weniger granulare Kontrolle und Sichtbarkeit, m&#xF6;glicherweise weniger effektiv f&#xFC;r Zero Trust.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Praktische Tipps: Best-Practices beim Implementieren<\/h2>\n\n\n\n<p>Die Implementierung und Verwaltung der hostbasierten Mikrosegmentierung kann eine Herausforderung sein. Es gibt Best-Practices, die den Prozess erleichtern k&#xF6;nnen.<\/p>\n\n\n\n<p><strong>Erstens<\/strong> ist es wichtig, eine vollst&#xE4;ndige <strong>Sichtbarkeit des Netzwerkverkehrs<\/strong> zu haben, sowohl des Nord-S&#xFC;d- als auch des Ost-West-Verkehrs. W&#xE4;hrend der Netzwerkentdeckungsphase sollten Informationen &#xFC;ber Anwendungen, Workloads und aktive Verbindungen zwischen ihnen gesammelt werden. <\/p>\n\n\n\n<p>Quellen f&#xFC;r zus&#xE4;tzliche Informationen k&#xF6;nnten Konfigurationsmanagement-Datenbanken (CMDBs), Orchestrierungstools, Systeminventare, Verkehrs- und Ereignisprotokolle, Firewalls und SIEM sowie Lastverteiler sein.<\/p>\n\n\n\n<p><strong>Zweitens<\/strong> geht die Mikrosegmentierung Hand in Hand mit der <strong>Zero-Trust-Architektur.<\/strong> Indem sorgf&#xE4;ltig die &#x201E;Schutzfl&#xE4;che&#x201C; &#x2013; die wertvollsten Segmente &#x2013; identifiziert werden, entstehen klare Handlungsfelder f&#xFC;r die n&#xE4;chsten Schritte. Diese Segmente sind in der Regel entscheidend f&#xFC;r das &#xDC;berleben der Organisation (compliancebezogen oder ausnutzbar). <\/p>\n\n\n\n<p>Sobald die Segmente definiert sind, k&#xF6;nnen Segmentierungsgateways oder Next-Generation-Firewalls eingerichtet werden.<\/p>\n\n\n\n<p><strong>Drittens<\/strong> ist das <strong>Tagging von Workloads<\/strong> wichtig. Die Zeiten, in denen sich Sicherheitsprofis IP- und Subnetz-basierte Richtlinien schrieben und sich auf Netzwerkkonstrukte wie VLAN\/IP\/VRFs verlie&#xDF;en, sind vorbei. <\/p>\n\n\n\n<p>Das Identifizieren und Kennzeichnen von Workload-Tags in Ihrem Netzwerk ist ein unglaublicher Mehrwert, insbesondere wenn man automatisierte L&#xF6;sungen f&#xFC;r das Tagging bestehender und neuer Anwendungsworkloads in Betracht zieht.<\/p>\n\n\n\n<p><strong>Viertens<\/strong> erfordert eine umfassende Richtlinie strenge <strong>Sicherheitsrichtlinien und Bedrohungserkennung.<\/strong> Und im Falle der Mikrosegmentierung existieren diese Richtlinien innerhalb des Netzwerks an Ihren Mikro-Perimetern. In mikrosegmentierten Netzwerken sind Kontrollen zu App-ID, User-ID, dateibasierten Einschr&#xE4;nkungen, URL-Filterung und Bedrohungspr&#xE4;vention notwendig.<\/p>\n\n\n\n<p>Diese Praktiken erleichtern den Prozess der Implementierung und Verwaltung der hostbasierten Mikrosegmentierung erheblich und verbessern die Sicherheit des Netzwerks.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Hostbasierte Mikrosegmentierung mit Enginsight<\/h2>\n\n\n\n<p>Mit der Cybersecurity-Plattform von Enginsight unterteilen Sie Ihr Netzwerk in isolierte Bereiche, um das Risiko von Cyberangriffen und Malware zu minimieren. Dies wird durch die Funktion &#x201E;Shield&#x201C; erm&#xF6;glicht. Sie nimmt Regeln von der API entgegen, wandelt sie f&#xFC;r die Systemfirewall um und aktiviert diese.<\/p>\n\n\n\n<p>Die erstellten Mikrosegmente lassen sich im Shield-Modul &#xFC;bersichtlich verwalten und feingranular konfigurieren. <\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/Elemente-Mikrosegment.webp\"><img fetchpriority=\"high\" decoding=\"async\" width=\"954\" height=\"410\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/Elemente-Mikrosegment.webp\" alt=\"Elemente des Mikrosegments\" class=\"wp-image-23260\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/Elemente-Mikrosegment.webp 954w, https:\/\/enginsight.com\/wp-content\/uploads\/Elemente-Mikrosegment-300x129.webp 300w, https:\/\/enginsight.com\/wp-content\/uploads\/Elemente-Mikrosegment-768x330.webp 768w\" sizes=\"(max-width: 954px) 100vw, 954px\"\/><\/a><\/figure>\n\n\n\n<p>Elemente des Mikrosegments: Sie k&#xF6;nnen entscheiden, welche Hosts und\/oder IP-Adressen (CIDR IP-Range) zum Mikrosegment hinzugef&#xFC;gt werden sollen. Dar&#xFC;ber hinaus k&#xF6;nnen Sie Kommentare hinzuf&#xFC;gen oder den fachlichen Host-Verantwortlichen des jeweiligen Hosts anzeigen lassen.<\/p>\n\n\n\n<p>Die Software bietet erweiterte Einstellungen f&#xFC;r eine spezifische Zuordnung, bspw. wenn mehrere Netzwerke identische IP-Adressen aufweisen. Dies kann durch die Verwendung von Tags oder durch eine direkte Referenz erfolgen, um eine korrekte Zuordnung zu gew&#xE4;hrleisten.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/abgeschottetes-mikrosegment.png\"><img decoding=\"async\" width=\"1024\" height=\"203\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/abgeschottetes-mikrosegment-1024x203.png\" alt=\"Abgeschottetes Mikrosegment\" class=\"wp-image-23262\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/abgeschottetes-mikrosegment-1024x203.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/abgeschottetes-mikrosegment-300x59.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/abgeschottetes-mikrosegment-768x152.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/abgeschottetes-mikrosegment.png 1246w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><\/a><\/figure>\n\n\n\n<p>Schlie&#xDF;lich k&#xF6;nnen Sie mit Enginsight Regelwerke erstellen und verwalten, die festlegen, wie die Kommunikation innerhalb und zwischen den Mikrosegmenten erfolgen soll. Sie k&#xF6;nnen den Namen und eine passende Beschreibung f&#xFC;r Ihr Regelwerk festlegen, Ihre gew&#xFC;nschten Mikrosegmente ausw&#xE4;hlen und die Kommunikationsprotokolle und Portbereiche festlegen, &#xFC;ber die das Mikrosegment kommunizieren darf.<\/p>\n\n\n\n<p>Mit diesen Funktionen bietet Enginsight eine leistungsstarke und flexible L&#xF6;sung f&#xFC;r die Implementierung und Verwaltung der hostbasierten Mikrosegmentierung.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>Zum Weiterlesen:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/enginsight.com\/de\/mikrosegmentierung\/\">Mikrosegmentierung, ein Feature in Enginsight<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/enginsight.com\/de\/blog\/ohne-konfigurationen-dezentrales-intrusion-detection-system-ids-etablieren\/\">Wenn der Hacker schon im System ist: Intrusion Detection implementieren<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Einf&#xFC;hrung in die hostbasierte Mikrosegmentierung Cyberangriffe und Hackerattacken nehmen zu und werden komplexer. Das ist nichts Neues. Deshalb ist es wichtig, Sicherheitsstrategien aktuell zu halten. Die hostbasierte Mikrosegmentierung ist hier ein sehr wirksamer Ansatz, der sich in der Praxis bew&#xE4;hrt hat. Der Netzwerkverkehr wird bei der hostbasierten Mikrosegmentierung auf der Ebene einzelner Hosts oder sogar [&#x2026;]<\/p>\n","protected":false},"author":8,"featured_media":23326,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_eb_attr":"","footnotes":""},"categories":[174,10],"tags":[],"class_list":["post-23254","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-use-case","category-endpoint-netzwerksicherheit"],"_links":{"self":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/23254","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/comments?post=23254"}],"version-history":[{"count":0,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/23254\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media\/23326"}],"wp:attachment":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media?parent=23254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/categories?post=23254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/tags?post=23254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}