Netzwerksegmentierung
Was ist Netzwerksegmentierung?

Bei der Netzwerksegmentierung handelt es sich um eine Sicherheitspraxis, bei der ein Netzwerk in kleinere Teilnetzwerke unterteilt wird, um die Sicherheit zu verbessern, Verkehrsstaus zu verringern und die Leistung zu steigern.

Bild eines Ingenieurs auf einer Baustelle.
  • Netzwerksegmentierung erklärt
  • Welche verschiedenen Arten der Netzwerksegmentierung gibt es?
  • Welche Vorteile bietet die Netzwerksegmentierung?
  • Was sind die wichtigsten Anwendungsfälle für die Netzwerksegmentierung?
  • Was ist der Unterschied zwischen Netzwerksegmentierung und Mikrosegmentierung?
  • Wie ermöglicht Netzwerksegmentierung Zero Trust?
  • Netzwerksegmentierung und HPE Aruba Networking
Netzwerksegmentierung erklärt

Netzwerksegmentierung erklärt

Bei der Netzwerksegmentierung handelt es sich um eine Sicherheitspraxis, bei der ein Netzwerk in kleinere Teilnetzwerke unterteilt wird, die jeweils bestimmten Geräte-, Benutzer- oder Ressourcengruppen zugeordnet sind. Dieses Verfahren stärkt die Cybersicherheit, indem es den Verkehrsfluss zwischen Teilnetzwerken oder Segmenten kontrolliert und dadurch potenzielle Sicherheitsverletzungen innerhalb eines bestimmten Bereichs eindämmt und dazu beiträgt, die laterale Ausbreitung von Bedrohungen zu verhindern. Darüber hinaus verbessert es die Netzwerkleistung, indem kritische Ressourcen von nicht wesentlichen Workloads isoliert werden.

Durch die Netzwerksegmentierung wird die Sicherheit des Verkehrs zwischen Standorten (Nord-Süd-Sicherheit) verbessert, indem die Angriffsfläche verringert und der Datenverkehr zwischen verschiedenen Bereichen anhand vordefinierter Richtlinien reguliert wird. In einem großen Unternehmen, das Mitarbeitenden, Vertragspartnern und IoT-Geräten Netzwerkzugriff gewährt, kann die Segmentierung beispielsweise Sicherheitsrichtlinien auf Grundlage der Vertrauensebene der verbundenen Geräte durchsetzen und so verhindern, dass IoT-Geräte auf sensible Systeme wie Finanz- oder HR-Systeme zugreifen. Gleichzeitig können Netzwerkressourcen für Arbeitskräfte priorisiert werden, die mit kritischen Ressourcen arbeiten.

Netzwerksegmentierung mit unterschiedlichen Segmenten für verschiedene Benutzer- und Gerätegruppen.
Netzwerksegmentierung mit unterschiedlichen Segmenten für verschiedene Benutzer- und Gerätegruppen.
BILD ZUM ZOOMEN ANKLICKEN
 Welche verschiedenen Arten der Netzwerksegmentierung gibt es?

Welche verschiedenen Arten der Netzwerksegmentierung gibt es?

Zwei Arten der Netzwerksegmentierung erfüllen unterschiedliche Sicherheitsanforderungen:

  • Physische Segmentierung: Diese Methode wird auch als perimeterbasierte Segmentierung bezeichnet und segmentiert ein Netzwerk physisch mithilfe von Firewalls, Switches und Internetverbindungen. Verschiedene Gerätegruppen werden an separate Switches angeschlossen. Diese Art der Segmentierung ist sicherer, aber weniger skalierbar und kosteneffizient.
  • Virtuelle Segmentierung: Diese Methode wird auch als logische Segmentierung bezeichnet und segmentiert physische Netzwerke mithilfe von Technologien wie VLANs (Virtual Local Area Networks) in logisch isolierte virtuelle Netzwerke. Virtuell segmentierte Netzwerke verhalten sich wie separate Netzwerke mit unterschiedlichen Sicherheitsrichtlinien. Diese Art der Segmentierung ist kosteneffizient, wird jedoch mit der Erweiterung des Netzwerks zunehmend komplexer und ressourcenintensiver.
 Welche Vorteile bietet die Netzwerksegmentierung?

Welche Vorteile bietet die Netzwerksegmentierung?

Die Segmentierung verbessert die Netzwerksicherheit, -effizienz und -verwaltung durch:

  • Eindämmung von Sicherheitslücken:  Durch die Netzwerksegmentierung wird eine regulierte Netzwerkzugriffssteuerung in jedem Teilnetzwerk ermöglicht. Dadurch werden Angriffsflächen begrenzt, und die Ausbreitung von Sicherheitsverletzungen auf andere Teilnetzwerke wird verhindert.
  • Verbesserung der Einhaltung gesetzlicher Vorschriften: Regionale gesetzliche und branchenspezifische Compliance-Frameworks wie die DSGVO, PCI DSS usw. schreiben eine Beschränkung des Benutzer- und Gerätezugriffs auf Daten vor. Durch die Netzwerksegmentierung wird der Geräte- und Benutzerzugriff eingeschränkt, indem kontrolliert wird, mit welchen Teilnetzwerken sie sich verbinden. Durch die Netzwerksegmentierung können Compliance-Audits außerdem vereinfacht werden, indem die Überprüfungen nicht auf das gesamte Netzwerk, sondern nur auf die betroffenen Teilnetzwerke (z. B. Finanzdaten) beschränkt werden. 
  • Das Netzwerk effizienter machen: Durch die Netzwerksegmentierung wird das Netzwerk entlastet, indem wesentlicher und nicht wesentlicher Datenverkehr getrennt wird. Beispielsweise können Gäste und Mitarbeitende eine Verbindung zu separaten Teilnetzwerken herstellen, sodass etwaige Bandbreitenprobleme im Gast-Teilnetzwerk keine Auswirkungen auf die Netzwerkleistung für die Belegschaft haben.  
  • Fokussierung auf die Fehlerbehebung: Durch die Netzwerksegmentierung können IT- und Sicherheitsteams ihren Handlungsbereich präzisieren und Probleme schnell beheben, da sie sich nur auf die Teilnetzwerke konzentrieren müssen, in denen ein Netzwerkproblem oder eine Sicherheitsverletzung aufgetreten ist.
 Was sind die wichtigsten Anwendungsfälle für die Netzwerksegmentierung?

Was sind die wichtigsten Anwendungsfälle für die Netzwerksegmentierung?

  • Zugang für Gäste: Durch die Netzwerksegmentierung können Sicherheitsteams Gästen mit minimalem Risiko Netzwerkzugriff gewähren. Wenn sich ein Benutzer als Gast anmeldet, ist er nur mit dem Teilnetzwerk für Gäste verbunden und hat somit zwar eine Internetverbindung, aber kaum oder gar keinen Zugriff auf das Unternehmensnetzwerk.
  • Zugriff auf BYOD- und IoT-Geräte: BYOD- und IoT-Geräte können ein hohes Sicherheitsrisiko darstellen. Durch die Verbindung mit einem isolierten Teilnetzwerk mit strengen Zugriffsrichtlinien lassen sich Sicherheitsverletzungen, die von diesen Geräten ausgehen, in der Praxis eindämmen. 
  • Benutzergruppenzugriff: Verschiedene Benutzergruppen benötigen unterschiedliche Zugriffsebenen. Ein Entwicklungsteam sollte keinen Zugriff auf Finanzdaten oder HR-Systeme haben. Indem sie verschiedene Benutzergruppen mit unterschiedlichen Teilnetzwerken verbinden, können Sicherheitsteams einschränken, welche Gruppe auf was zugreift, und so etwaige Sicherheitslücken schließen.
  • Netzwerk-Audit: Zur Einhaltung gesetzlicher Vorschriften müssen kritische Informationen wie Finanzdaten, Kreditkartendetails oder persönliche Daten sicher gespeichert werden, was strengere Kontrollen und Prüfungen erforderlich macht. Durch die Netzwerksegmentierung wird der Zugriff auf kritische Informationen eingeschränkt, indem die Daten in einem separaten Teilnetzwerk abgelegt und mit strengen Sicherheitsrichtlinien geschützt werden. 
 Was ist der Unterschied zwischen Netzwerksegmentierung und Mikrosegmentierung?

Was ist der Unterschied zwischen Netzwerksegmentierung und Mikrosegmentierung?

Bei der Netzwerksegmentierung wird ein großes Netzwerk in kleinere Segmente oder Teilnetzwerke aufgeteilt, um die Netzwerkleistung und -sicherheit zu verbessern. Mikrosegmentierung ist eine weitere Aufgliederung von Teilnetzwerken basierend auf Workloads oder Anwendungen. Durch Mikrosegmentierung wird die Sicherheit auf eine detailliertere Ebene gebracht, und Anwendungen werden innerhalb verschiedener Teilnetzwerke mithilfe strengerer Sicherheitsrichtlinien geschützt. 

Die Netzwerksegmentierung ermöglicht eine starke Nord-Süd-Verkehrskontrolle, während die Mikrosegmentierung im Allgemeinen zur Kontrolle des Ost-West-Verkehrs verwendet wird. 

 Wie ermöglicht Netzwerksegmentierung Zero Trust?

Wie ermöglicht Netzwerksegmentierung Zero Trust?

Zero Trust arbeitet nach dem Prinzip der geringstmöglichen Zugriffsrechte. Durch die Netzwerksegmentierung wird Zero Trust auf Netzwerkebene ermöglicht, indem der Zugriff für Benutzer und Geräte basierend auf ihrem Typ eingeschränkt wird. Gäste und Auftragnehmende können von Mitarbeiterbereichen und betriebliche IoT-Gerätegruppen von Finanzsystemen getrennt werden.
 
Durch die Netzwerksegmentierung wird eine zusätzliche Sicherheitsebene um die verschiedenen Ressourcen herum hinzugefügt und kann dazu beitragen, die Ausweitung von Sicherheitsverletzungen auf seitliche Segmente zu verhindern.  
 Netzwerksegmentierung und HPE Aruba Networking

Netzwerksegmentierung und HPE Aruba Networking

HPE Aruba Networking bietet mit seinem Ansatz für dynamische Segmentierung eine moderne Methode zur Netzwerksegmentierung. Die dynamische Segmentierung nutzt eine richtlinienbasierte Zugriffssteuerung für kabelgebundene, kabellose und WAN-Infrastrukturen und stellt sicher, dass Benutzer und Geräte nur mit Zielen kommunizieren können, auf die sie zugriffsberechtigt sind, was für Zero Trust- und SASE-Frameworks ein grundlegendes Prinzip ist.
 
HPE Aruba Networking unterstützt zwei Modelle der dynamischen Segmentierung basierend auf der gesamten Netzwerkarchitektur eines Unternehmens und der Wahl des Overlays. Zentralisiert und verteilt.
 
Bei der zentralisierten dynamischen Segmentierung wird der Datenverkehr mithilfe von GRE-Tunneln zwischen Access Points und HPE Aruba Networking Gateways sicher und getrennt gehalten. Die Cloud-native Netzwerkzugriffssteuerung (NAC) von Cloud Auth, HPE Aruba Networking ClearPass Policy Manager und HPE Aruba Networking Central NetConductor bieten Funktionen zur Rollen- und Zugriffsdefinition sowie Verwaltung. Gateways fungieren über die HPE Aruba Networking Layer 7 Policy Enforcement Firewall (PEF) als Eintrittspunkte zur Durchsetzung von Richtlinien.
 
Distributed Dynamic Segmentation verwendet ein EVPN/VXLAN-Overlay, Cloud-natives NAC und Cloud-native Services von HPE Aruba Networking Central NetConductor. Die Richtlinie wird inline über HPE Aruba Networking Gateways und Fabric-fähige Switches durchgesetzt, die Zugriffssteuerungsinformationen interpretieren, die in standardbasierten Global Policy Identifiers (GPIDs) enthalten sind.
 

Zugehörige Lösungen, Produkte oder Services

HPE Aruba Networking ClearPass

Sorgen Sie für solide Netzwerksicherheit und vereinfachten Zugriff für autorisierte Benutzer und Geräte mit minimalen Berechtigungskontrollen. 

Weitere Informationen

HPE Aruba Networking Dynamic Segmentation

Identitätsbasierte Zugriffskontrolle für Zero Trust und SASE-Sicherheit Edge-to-Cloud im globalen Maßstab.

Weitere Informationen

HPE Aruba Networking Central NetConductor

Cloud-native Full-Stack-Netzwerk- und -Sicherheitsorchestrierung, die die Konfiguration sowie die Definition und Durchsetzung von Richtlinien auf globaler Ebene automatisiert.

Weitere Informationen

Zugehörige Themen

Dynamische Segmentierung

Weitere Informationen

Zero Trust

Weitere Informationen

Netzwerksicherheit

Weitere Informationen

Netzwerkzugriffssteuerung

Weitere Informationen

Netzwerk-Firewall

Weitere Informationen

Cloud-Sicherheit

Weitere Informationen