Netzwerksegmentierung
Bei der Segmentierung werden dem Unternehmensnetzwerk sprichwörtlich Türen und Wände eingebaut. Aus technischer Sicht wird das gesamte Netzwerk in einzelne Netzwerksegmente, also IP-Subnetze, unterteilt. Kriterien können zum Beispiel sein, ob die enthaltenen Systeme unmittelbar mit dem Internet verbunden sind, ob die Geräte direkt im Benutzerzugriff stehen oder ob im Segment sogar unkontrollierbare Fremdgeräte platziert werden können.
Abbildung Netzwerksegmentierung “Sicherer Perimeter” mit zweistufiger Firewall
In welche Netzwerkzonen kann man pauschal segmentieren?
Die wichtigsten Stereotypen und Grundgedanken seien aber erwähnt:
Trusted Zonen
Sind Zonen, in welchen ausschliesslich verwaltete Geräte mit bekannter Konfiguration und bekanntem Gesundheitszustand zu finden sind. Ein Bespiel wäre ein gut geschütztes Client-Netz. In der Grafik in Magenta dargstellt. Jener Zonentyp garantiert implizit, dass keine Gefahr für die Nutzer der Zone durch Fremdgeräte herrscht. Für Netzwerksegmente, welche Server/Services beinhalten, ist dies leicht zu garantieren. Die einzige Schnittstelle ist der Zonenübergang an der Firewall. Alle Systeme darin werden von Administratoren bereitgestellt und betrieben. Eine Herausforderung hingegen sind die Clientnetzwerksegmente. Einerseits sitzen hinter den Clients Benutzer, welche bei unzureichender Schutzkonfiguration aus Unwissenheit oder Absicht Unfug mit ihren Endgeräten betreiben können. Andererseits sind Netzwerkports und WLAN-Zugänge häufig Dritten (Kunden, Passanten, Lieferanten) oder sogar der Öffentlichkeit zugänglich. Für vertrauenswürdige Zonen gilt deshalb: Nebst einem durchdachten Firewall-Regelset ist auch der Zugriff auf das Netzwerk durch eine «Network Access Control»-Lösung (NAC-Lösung) zu implementieren. Damit sind die Übergänge geschützt. Diese sogenannten Endpoint-Clients sind nochmals durch eine Endpoint Security abgesichert. (Siehe hier), welche die Zweckentfremdung der Endgeräte weitgehend unmöglich macht.
DMZ-Zonen
Sind Zonen, welche den Austausch mit dem Internet in kontrollierter Art und Weise ermöglichen, um Dienste wie E-Mail, Webzugang, Authentisierung (Federation), etc. bereitzustellen. Jene Zonen exponieren sich im Internet. Dabei sollte darauf geachtet werden, dass die Systeme darin weitest möglich auf Netzwerkebene geschützt sind, sprich, die Systeme stehen hinter einer Perimeter-Firewall (externe Firewall), welche den Zugriff nur auf den nötigsten IPs und Ports erlaubt. Ein häufiges Missverständnis sei noch erwähnt: DMZs erlauben zwar den Zugriff aus dem Internet, jedoch ist zu keiner Zeit ein Zugriff direkt auf dem Medium (Einstecken eines Endgeräts) zu erlauben. Netzwerktechnisch handelt es sich um besonders gekapselte Zonen, in welchen keine Benutzerendgeräte anzutreffen sind. Die im besteht lediglich auf Netzwerkebene und durch eine Firewall.
Management-Zonen
Sie beinhalten ausschließlich Systeme, welche zur Bereitstellung und Verwaltung der IT-Infrastruktur dienen und werden nur von privilegierten Administratoren genutzt. Die Systeme darin sollten stets als äusserst sensitiv betrachtet werden, da mit ihnen die Steuerung der IT-Infrastruktur möglich ist. Als Grundregel beim Erstellen der Zonenmatrix und beim Implementieren der Firewall-Regeln gilt: Aus Management-Zonen darf in verschiedene Zonen zugegriffen werden (Source), jedoch sind Zugriffe in Management-Zonen (Destination) weitestgehend zu vermeiden. Medienzugriff aus dem Access-Bereich ist strikt untersagt.
Wichtig ist, dass alle Systeme innerhalb der Zone ähnliche Anforderungen an den Schutzbedarf stellen. Gradmesser und Taktgeber ist jenes System, welches die höchsten Anforderungen stellt.