Eine typische Strategie ist die Abtrennung von besonders schutzbedürftigen und/oder kritischen Systemen. Für ein Industrieunternehmen könnte beispielsweise eine Separierung der Industrial IT, inklusive der Automatisierung, sowie des Entwicklungsbereichs von der sonstigen IT zunächst im Vordergrund stehen.
Das BSI fordert in dem im Februar 2018 veröffentlichten IT-Grundschutz-Kompendium sogar pauschal die strikte Trennung von Clients und Servern, siehe Anforderung NET.1.1.A5 Client-Server-Segmentierung: „Clients und Server MÜSSEN in unterschiedlichen Sicherheitssegmenten platziert werden. Die Kommunikation zwischen diesen Segmenten MUSS mindestens durch einen zustandsbehafteten Paketfilter (Firewall) kontrolliert werden.“ Außerdem wird eine bedarfsorientierte weitere Unterteilung des Netzes in Sicherheitssegmente empfohlen, die sich am Schutzbedarf der IT-Systeme orientiert.
Das Ergebnis ist eine Separierung unterschiedlicher Gruppen im Netz mit den Mitteln von beispielsweise VLANs, VRFs, MPLS-VPNs, VXLANs oder Security Group Tags (SGTs). Die Übergänge zwischen den so geschaffenen Segmenten (Sicherheitszonen) werden meist durch Firewalls gebildet, die den ein- und ausgehenden Verkehr kontrollieren können. Innerhalb der Sicherheitssegmente wird die Kommunikation dann auf Ebene des Netzes oft nicht weiter eingeschränkt und genau hier liegt ein interessantes Problem.
Nehmen wir das oben skizzierte Beispiel einer strikten Client- und Serversegmentierung. Die Server sind so vor unberechtigten Zugriffen von Clients in einem gewissen Rahmen geschützt. Nehmen wir außerdem an, dass die Server, die besonders kritische Daten verarbeiten, in einem zusätzlichen eigenen Sicherheitssegment für den hohen Schutzbedarf abgetrennt werden. Auf den ersten Blick scheint dies eine passable Lösung zu sein, die einmal aufgebaut wird und dann ein solides Sicherheitsniveau liefern kann.
Leider gibt es da noch die ausgesprochen dynamische Welt der Schwachstellen. Es kann nämlich durchaus sein, dass (vielleicht sogar von den Servern mit hohem Schutzbedarf) gewisse Server als unsicher zu werten sind, da z.B. die Betriebssysteme auf Grund der laufenden Anwendungen nicht geregelt (oder gar nicht) gepatcht werden dürfen oder die Anwendungen selbst Schwachstellen aufweisen, die auf absehbare Zeit nicht beseitigt werden können. Diese Server stellen dann natürlich grundsätzlich eine Bedrohung dar, denn die vorhandenen Schwachstellen könnten von einem Angreifer ausgenutzt werden, um die betroffenen Systeme zu kompromittieren und Daten zu entwenden bzw. zu manipulieren oder von dieser Angriffsbasis aus die anderen Server unter Beschuss zu nehmen.
Das BSI IT-Grundschutz-Kompendium sagt dann auch folgerichtig in Anforderung NET.1.1.A6 Endgeräte-Segmentierung im internen Netz: „Es DÜRFEN NUR Endgeräte in einem Sicherheitssegment positioniert werden, die einem ähnlichen Sicherheitsniveau entsprechen.“
Der Reflex ist nun klar: Mit den Mitteln der Netzsegmentierung wird weiteres Sicherheitssegment als Giftschrank aufgebaut, in dem unsichere Systeme (in unserem Beispiel sind es Server) gelagert werden. Der Verkehr von und zu dem Giftschrank kann dann z.B. durch ein besonders strenges Regelwerk und durch Intrusion-Prevention-Techniken genauestens kontrolliert werden.
Nur, so einfach ist das nicht. Wenn ein schützenswertes System im Giftschrank landet, ist es dort auch der Bedrohung durch andere Systeme im Giftschrank ausgeliefert und ein weiterer Schutz vor bösartigem Querverkehr zwischen den Systemen ist notwendig. Der Aufbau eines Giftschranks für IT-Systeme erfordert also eine genauere „mikroskopische“ Betrachtung und an dieser Stelle rücken automatisch moderne Techniken des Software-Defined Networking (SDN) in den Vordergrund. Mit den Mitteln einer Mikrosegmentierung könnte beispielsweise durch den Einsatz der Distributed Firewall unter VMware NSX ein solcher zielgerichteter Schutz von VMs bedarfsweise geschaffen werden. Diese Lösung ist hier auch deshalb interessant, weil die Distributed Firewall für das Netz transparent ist und das System netztechnisch nicht in ein anderes Sicherheitssegment umgezogen werden müsste. Ein weiteres Beispiel ist der Einsatz von Cisco ACI zur Mikrosegmentierung.
In der Praxis zeigt sich immer wieder, dass Netzsegmentierungen auch stets den Umgang mit unsicheren Systemen berücksichtigen müssen und damit nie statischer Natur sind. Ohne ein Konzept für den Aufbau von Giftschränken und den Umgang mit ihnen ist eine Netzsegmentierung nicht besonders sinnvoll. Eine Netzsegmentierung muss also dynamisch und schnell genug auf neue Schwachstellen in den Systemen reagieren und flexibel einen zusätzlichen Schutz für betroffene Systeme schaffen können. Wenn dieser Schutz nicht mehr benötigt wird (weil vielleicht ein Patch die Schwachstellen beseitigt hat) muss er außerdem auch genauso flexibel wieder entfernt werden können. Der Schutz muss also hier möglichst nah an den betroffenen Endgeräten liegen und für Layer 3 transparent sein. Eine traditionelle Netzsegmentierung auf Basis von VLANs kann dies nicht leisten und SDN-basierte Lösungen werden vermehrt diese Lücke schließen.
Teile diesen Eintrag