Best Practices für Netzwerksegmentierungssicherheit

Die Netzwerksegmentierung ermöglicht es einem Unternehmen, das Cybersicherheitsrisiko zu reduzieren und ist ein wichtiger erster Schritt zur Definition einer Zero-Trust-Sicherheitsrichtlinie. Durch die Netzwerksegmentierung werden Netzwerkgrenzen geschaffen, an denen eine Zero-Trust-Sicherheitsrichtlinie Zugriffskontrollen erzwingen kann.

 

In der Vergangenheit definierten viele Organisationen nur eine sichere Grenze am Netzwerkrand. Die folgenden Schritte beschreiben, wie Sie eine effektive Segmentierung innerhalb des Unternehmensnetzwerks implementieren.

Sicherheitsuntersuchung IDC IoT-Sicherheitsleitfaden

#1. Identifizieren Sie wertvolle Daten und Vermögenswerte

Nicht alle Daten und Vermögenswerte innerhalb einer Organisation sind gleichwertig. Einige Systeme, wie zum Beispiel die Kundendatenbank, können für die Aufrechterhaltung des normalen Betriebs unerlässlich sein. Andere, wie zum Beispiel ein Drucker, sind nützlich, aber für das Funktionieren des Unternehmens nicht lebenswichtig.

 

Die Zuordnung von Wichtigkeits- und Wertstufen zu Vermögenswerten ist ein wichtiger erster Schritt für die Netzwerksegmentierung. Diese Labels werden später verwendet, um die verschiedenen Vertrauenszonen innerhalb des Netzwerks zu definieren.

#2. Weisen Sie jedem Asset Klassifizierungsbezeichnungen zu

Neben dem Wert der Vermögenswerte ist es auch wichtig, die Sensibilität der darin enthaltenen Daten zu berücksichtigen. Vermögenswerte, die sehr sensible Daten wie Kundeninformationen, Forschungs- und Entwicklungsdaten usw. enthalten, erfordern möglicherweise zusätzliche Schutzmaßnahmen zur Compliance von Datenschutzbestimmungen oder der Sicherheitsrichtlinie des Unternehmens.

 

Diese Bezeichnungen sollten sowohl die Sensibilität der Daten berücksichtigen (d. h (öffentlich bis stark eingeschränkt) und die Arten von Daten, die ein Asset enthält. Dies hilft bei der Definition von Segmentierungsrichtlinien, die den geltenden Vorschriften entsprechen, beispielsweise dem Payment Card Industry Data Security Standard (PCI DSS).

#3. Kartendatenflüsse im gesamten Netzwerk

Die Netzwerksegmentierung trägt zur Verbesserung der Netzwerksicherheit bei, indem sie das Netzwerk in isolierte Segmente aufteilt. Dadurch wird es für einen Angreifer schwieriger, sich seitlich durch das Netzwerk zu bewegen, nachdem er zunächst Fuß gefasst hat.

 

Es gibt jedoch eine Reihe legitimer Datenströme, die zugelassen werden müssen. Alle Datenflüsse über alle Systeme im Netzwerk sollten abgebildet werden, einschließlich:

 

  • Verkehr in Richtung Norden: Der Verkehr in Richtung Norden verlässt das Unternehmensnetzwerk, beispielsweise wenn Mitarbeiter saleforce.com von einem verwalteten Gerät aus besuchen, das mit dem Unternehmensnetzwerk verbunden ist.
  • Ost-West-Verkehr: Der Ost-West-Verkehr bewegt sich zwischen Systemen innerhalb des Netzwerkperimeters, beispielsweise einem Front-End-Webserver und Back-End-Datenbankservern im Rechenzentrum Netzwerk.
  • Südwärts gerichteter Datenverkehr: Südwärts gerichteter Datenverkehr umfasst Daten, die in ein Netzwerksegment oder eine Netzwerkzone gelangen, beispielsweise wenn Kunden oder Mitarbeiter auf einen Webserver zugreifen, der sich vor Ort in einem DMZ-Netzwerk oder im Intranet des Unternehmens befindet.

#4. Definieren Sie Asset-Gruppen

Bestimmte Vermögenswerte innerhalb des Netzwerks einer Organisation werden für ähnliche Zwecke verwendet und kommunizieren regelmäßig. Eine Trennung dieser Systeme voneinander ist nicht sinnvoll, da zur Aufrechterhaltung der normalen Funktionalität eine Reihe von Ausnahmen erforderlich wären.

 

Bei der Definition von Asset-Gruppen ist es wichtig, sowohl diese ähnliche Funktionalität als auch die Sensibilität der verschiedenen Assets im Unternehmensnetzwerk zu berücksichtigen. Alle Vermögenswerte, die ähnlichen Zwecken dienen und ähnliche Sensibilitätsstufen aufweisen, sollten in einem Segment zusammengefasst werden, getrennt von anderen Vermögenswerten mit unterschiedlichen Vertrauensstufen oder Funktionen.

#5. Stellen Sie ein Segmentierungs-Gateway bereit

Das Definieren von Segmentgrenzen ist wichtig, bringt der Organisation jedoch keinen Nutzen, wenn diese Grenzen nicht durchgesetzt werden. Die Durchsetzung von Zugriffskontrollen für jedes Netzwerksegment erfordert die Bereitstellung eines Segment- Gateway.

 

Um eine Segmentgrenze durchzusetzen, muss der gesamte Netzwerkverkehr, der in dieses Segment eintritt und es verlässt, das Gateway passieren. Daher benötigt eine Organisation möglicherweise mehrere Gateway , um eine effektive Segmentierung zu implementieren. Diese Anforderungen können bei der Entscheidung helfen, ob eine Hardware-Firewall oder eine virtuelle Firewall ausgewählt werden soll.

#6. Erstellen Sie Zugriffskontrollrichtlinien

Der Datenverkehr zwischen Vermögenswerten innerhalb eines bestimmten Segments kann uneingeschränkt fließen. Die Kommunikation zwischen den Segmenten muss jedoch vom Segment-Gateway überwacht werden und den Zugriffskontrollrichtlinien entsprechen.

 

Diese Richtlinien sollten auf der Grundlage des Prinzips der geringsten Rechte definiert werden, das besagt, dass eine Anwendung, ein Gerät oder ein Benutzer über das für die Ausführung ihrer Aufgabe erforderliche Mindestmaß an Berechtigungen verfügen sollte. Diese Berechtigungen sollten auf den in Nr. 3 genannten legitimen Datenflüssen basieren.

#7. Führen Sie regelmäßige Audits und Überprüfungen durch

Nach der Definition von Mikrosegmenten, der Bereitstellung eines Segmentierungs- Gateway und der Erstellung und Durchsetzung von Zugriffskontrollrichtlinien ist der Prozess der Implementierung der Netzwerksegmentierung weitgehend abgeschlossen. Die Definition einer Netzwerk-Segmentierungsrichtlinie ist jedoch keine einmalige Aufgabe.

 

Die Netzwerksegmentierungsrichtlinien können sich aufgrund der Entwicklung des Unternehmensnetzwerks oder aufgrund von Versäumnissen und Fehlern im anfänglichen Designprozess ändern. Um diese potenziellen Probleme anzugehen, sind regelmäßige Prüfungen erforderlich, um festzustellen, ob Änderungen vorgenommen wurden, ob unnötige Risiken im System bestehen und wie Netzwerksegmente und Zugriffskontrollen aktualisiert werden können, um diese Risiken zu mindern.

#8. Automatisieren Sie, wo möglich

Das Definieren einer Netzwerksegmentierungsrichtlinie kann eine große Aufgabe sein, insbesondere für Netzwerke im Unternehmensmaßstab. Der Versuch, alle diese Schritte manuell durchzuführen, kann schwierig oder unmöglich sein.

 

Aus diesem Grund ist es wichtig, wo immer möglich Automatisierungsmöglichkeiten zu nutzen. Insbesondere in der Erkennungs- und Klassifizierungsphase kann die Automatisierung von unschätzbarem Wert sein, um neue, dem Netzwerk hinzugefügte Assets, ihre Kommunikationsflüsse, ob sie Schwachstellen enthalten, und die Anwendung der Netzwerksegmentierungsrichtlinie zu identifizieren.

Implementierung der Netzwerksegmentierung für IoT mit Check Point

Mit dem Wachstum des Internets der Dinge (IoT) ist die automatisierte Erkennung und Kennzeichnung immer wertvoller geworden. Diese Geräte sind oft unsicher und eine Segmentierung ist erforderlich, um sie von kritischen Systemen im Unternehmensnetzwerk zu isolieren. Die Implementierung effektiver IoT-Sicherheit erfordert jedoch eine Firewall, die IoT-Protokolle versteht. Um die Netzwerksegmentierung für IoT in Aktion zu sehen, können Sie gerne eine Demo anfordern.

Loslegen

Whitepaper zur Zero-Trust-Sicherheit

Zero-Trust-Sicherheitslösung

Kaufratgeber Firewall der nächsten Generation

Verwandte Themen

Was ist Netzwerksegmentierung?

Was ist Mikrosegmentierung?

What is Macro-Segmentation?

ICS-Sicherheit

Operational Technology (OT) Sicherheit

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK