aus dem Netzwerk Insider April 2019
Traditionelle Zonenkonzepte, bei denen Sicherheitszonen (kurz: Zonen) meist auf Ebene des Netzwerks mit den Mitteln von VLANs und ggf. Virtual Routing and Forwarding (VRF) geschaffen und die Kommunikation von und zu Zonen mit Firewall-Techniken kontrolliert werden, haben bauartbedingte Probleme. Zunächst erfordert der Umzug eines Systems von einer Zone in eine andere Zone eine Änderung der IP-Adresse.
Nur kann eine solche Änderung erhebliche Seiteneffekte haben. Beispielsweise würden Anwendungen, die statt des Namens direkt die IP-Adresse eines IT-Systems (z.B. eines Servers), mit dem sie kommunizieren wollen, verwenden, nach dem Umzug zunächst nicht mehr funktionieren. Daher sind solche Änderungen mit erheblicher Vorsicht durchzuführen, was dazu führt, dass die Umsetzung eines Zonenkonzepts meist als ein langfristig angelegtes strategisches Vorhaben zu sehen ist. Außerdem lassen sich mit VLANs und VRF zwar große Zonen im RZ oder flächendeckend im Campusbereich schaffen, sobald jedoch viele kleine Zonen notwendig sind oder mit einer gewissen Dynamik Zonen neu geschaffen bzw. entfernt werden sollen, sind die Grenzen einer Betreibbarkeit eines traditionellen Zonenkonzepts schnell erreicht.
Genau an dieser Stelle sind die aktuellen Konzepte einer Mikrosegmentierung, welche die verschiedenen Netzwerkausrüster und die Hersteller von Virtualisierungslösungen anbieten, von größtem Interesse. Diese Konzepte basieren im Prinzip darauf, dass eine Zonenbildung unabhängig von einem physischen Netz rein software-basiert auf einer virtuellen Ebene stattfinden kann, ohne dass sich die Netzzugehörigkeit und damit die IP-Adressen der Systeme ändern muss. Damit können auch sehr kleine Zonen, die im Extremfall nur aus einem einzelnen System bestehen, sehr flexibel und sogar dynamisch, d.h. automatisiert geschaffen werden. Ein Beispiel ist hier für den RZ-Bereich VMware NSX mit der Distributed Firewall und für den Campus-Bereich ist hier Cisco Software Defined Access (SDA) zu nennen.
Bei VMware NSX wird beispielsweise einer VM eine dedizierte virtuelle Firewall-Instanz vorgeschaltet, die für das Netz vom virtuellen Layer 2 an aufwärts vollständig transparent ist. VLAN-intern kann auf diese Weise der Verkehr für VMs sehr feingranular so kontrolliert werden, dass innerhalb einer logischen Gruppe von VMs ohne Einschränkungen kommuniziert und zwischen den Gruppen über die Distributed Firewall als Stateful Inspection Firewall der Verkehr mit einem Regelwerk gefiltert werden kann. Das Ergebnis ist eine Mikrosegmentierung innerhalb eines VLAN bzw. unabhängig von einem VLAN. So kann quasi „im Vorbeigehen“ insbesondere auch eine Vermeidung von unerwünschtem Querverkehr innerhalb einer VLAN-basierten Zone geschaffen werden.
Die Frage ist natürlich, ob hier eine vollwertige Firewall notwendig ist oder, ob auf den Switches eine spezielle Software-defined Access Control List (ACL), wie bei Cisco SDA, ausreicht. Die Antwort ist interessanterweise, dass wir in durchaus nicht wenigen Fällen mit einer solchen automatisiert verteilten ACL auskommen können.
Das Instrument der Mikrosegmentierung eröffnet nun höchst interessante Anwendungsmöglichkeiten, die mit den traditionellen Zonierungsinstrumenten nur mit gewissen Einschränkungen möglich sind. Nehmen wir beispielsweise an, dass für einen Server in einer Zone, in der der Server mit diversen anderen Servern positioniert ist, eine bis dato unbekannte Schwachstelle diagnostiziert wird. Der Server könnte von einem Angreifer leicht kompromittiert werden und neben diesem Schaden könnte ausgehend von diesem Server die weitere Server-Landschaft (zumindest in der entsprechenden Zone) angegriffen werden. Nehmen wir nun unangenehmerweise an, dass die Schwachstelle nicht schnell durch einen Patch beseitigt werden kann und wir länger mit der gefährlichen Schwachstelle leben müssten. Mit den Mitteln der Mikrosegmentierung könnten wir nun diesen Server in eine Mikrozone setzen, in der dafür gesorgt wird, dass sich der Server nur noch mit den benötigten Kommunikationszielen und -diensten austauschen kann, was die Angriffsfläche signifikant reduzieren würde. Wenn die Schwachstelle dann irgendwann beseitigt ist, würde der Server einfach aus der Mikrozone entlassen. Diese Operationen kommen ohne Änderungen der IP-Adresse des Servers aus, und die laufenden Anwendungen würden noch nicht einmal bemerken, dass der Verkehr plötzlich gefiltert wird.
Ein weiteres Beispiel ist ein Endgerät, das mit einer Schadsoftware infiziert ist, die vom Virenschutz erkannt wird. Der zentrale Virenschutz könnte hier an eine NAC-Lösung oder an ein SIEM einen Alarm schicken1. Die NAC-Lösung (ggf. vom SIEM angesteuert) könnte dann dafür sorgen, dass das entsprechende Endgerät in eine Quarantäne-Mikrozone gesetzt wird. Dies ist keinesfalls akademisch, sondern wird in einigen bestehenden Netzen bereits eingesetzt, wenn auch teilweise mit konventionellen Methoden, bei denen auf den Switches z.B. eine Quarantäne-ACL geladen bzw. aktiviert wird.
NAC-Lösungen haben schon immer die Möglichkeit geboten, im Rahmen der Authentisierung eines Endgeräts auch eine VLAN-Zuweisung vorzunehmen, um unterschiedliche Gruppen von Endgeräten unterschiedlichen Zonen zuzuordnen. Im WLAN ist dieser Vorgang absolut unproblematisch. Am WLAN Controller oder am WLAN Access Point werden einfach entsprechende VLANs ausgekoppelt. Im kabelbasierten LAN ist dagegen dieser Mechanismus bis heute komplex und nicht seiteneffektfrei. Hier kann der Einsatz von Mikrosegmentierung in Kooperation mit einer NAC-Lösung auf eine elegantere und bessere Weise die Trennung der Gruppen auch in einem Campus-LAN erreichen.
Internet-DMZs sind ein anderes Beispiel, bei dem Mikrosegmentierung sehr hilfreich sein kann2. Es gibt durchaus Fälle, in denen vergleichsweise viele Server in DMZs positioniert werden müssen, weil eine entsprechend vielfältige Landschaft an ggf. sehr heterogenen Web-Anwendungen unterstützt werden muss. Zur Absicherung von Web-Anwendungen realisiert man üblicherweise mehrere DMZs auf VLAN-Basis. Von der Firewall, die direkt vom Internet aus erreichbar ist, geht es in eine DMZ für die Web-Frontends, von dort über eine innere Firewall-Stufe zu einer DMZ mit den Web-Anwendungs-Servern und dann wieder über die innere Firewall in eine DMZ mit den Datenbanken für die Web-Anwendungen. Innerhalb einer DMZ können nun Systeme auf Ebene des Netzes ungeregelt miteinander kommunizieren, sofern keine weiteren Sicherheitsmaßnahmen greifen, und genau hier liegt das Problem. Nehmen wir an, dass es einem Angreifer gelingt, einen Web-Anwendungs-Server zu übernehmen. Der Angreifer könnte nun versuchen, alle anderen Server in der entsprechenden DMZ anzugreifen. Dies kann dann nur noch eine Host-basierte Firewall verhindern, die natürlich ein entsprechend gepflegtes Regelwerk haben muss. Eine effizientere Lösung kann dann eine Mikrosegmentierung einer DMZ sein, bei der auf eine sehr einfache Weise unerwünschter Querverkehr zwischen den Servern verhindert werden kann.
Mikrosegmentierung stellt also ein sehr hilfreiches Sicherheitsinstrument dar. Nur müssen natürlich auch Mikrosegmente sowie die damit verbundenen Policies zentral gemanagt werden. Hier können mit akzeptablem Betriebsaufwand nicht beliebig viele und individuelle Regeln gepflegt werden. Nachteilig ist außerdem, dass Mikrosegmentierung zumindest nach dem aktuellen Stand der Technik stets proprietär (herstellerspezifisch) ist. Mikrosegmentierung ist daher eher als sinnvolle Ergänzung einer Makrosegmentierung auf Ebene des Netzes mit VLAN, VXLAN und VRF zu sehen.
Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.
ComConsult GmbH
Pascalstraße 27
DE-52076 Aachen
Telefon: 02408/951-0
Fax: 02408/951-200
E-Mail: info@comconsult.com
Teile diesen Eintrag