Mikrosegmentierung im Rechenzentrum

Die Idee der Segmentierung von Netzwerken ist nicht neu. Spätestens mit der Einführung von VLANs (virtuellen LANs) hat sie sich etabliert. Dabei hatte der Sicherheitsaspekt von Beginn an eine zentrale Bedeutung – erlaubt eine solche Segmentierung doch, Bereiche des Netzwerks voneinander zu trennen und den Datenverkehr zwischen den Segmenten zu schützen. Allerdings stoßen VLANs traditioneller Prägung bei einer stärkeren Segmentierung an ihre Grenzen, insbesondere was das Management von Sicherheits- und Konfigurationseinstellungen betrifft. Diese wird mit einer wachsenden Zahl an Segmenten zunehmend komplex. Zudem ist die Konfiguration eher statisch und die Sicherheit eher auf die Kommunikationssteuerung auf IP-Ebene statt auf die Anwendungsschicht ausgerichtet.

Neue Herausforderungen für die Sicherheit

Der Schutz des Perimeters reicht alleine nicht mehr aus. Hat es ein Angreifer erst einmal geschafft, in das Unternehmensnetzwerk einzudringen und das (hoffentlich) noch einmal getrennte und separat geschützte Netzwerk des Rechenzentrums oder in einzelne VLANs, dann kann er sich zumindest nur in diesem Bereich frei bewegen. Der traditionelle Schutz ist jedoch auf den "Nord-Süd-Datenverkehr" ausgerichtet, also den eingehenden Datenverkehr. Sobald ein Angreifer aber erst einmal diese Barrieren überwunden hat, bleibt der "Ost-West-Datenverkehr" innerhalb des Segments in der Tendenz ungeschützt. Hier wollen Lösungen für die Mikrosegmentierung mehr Sicherheit bei einfacherer Konfiguration bieten.

Solche Lösungen werden inzwischen von einer Reihe von Anbietern wie Cisco (ACI), Unisys (Stealth) und VMware (NSX) angeboten, mit allerdings durchaus beachtlichen konzeptionellen Unterschieden. Cisco setzt auf die Unterstützung sowohl virtueller als auch physischer Plattformen, während VMware auf die virtualisierten Infrastrukturen innerhalb seines "Software

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.