Praxiserfahrungen zur Netzsegmentierung

Netzsegmentierung im Access-Bereich

Im Netzwerk Insider  vom April 2025 bin ich darauf eingegangen, dass im Access-Bereich einiger Unternehmensnetze verschiedene Gruppen von Endgeräten betrieben werden müssen, die sich hinsichtlich ihrer Nutzungsart, ihrer Kommunikationsbeziehungen und ihres Schutzbedarfs unterscheiden. Daher baut man an einem Unternehmensstandort verschiedene physisch oder virtuell (logisch) getrennte Netze, mit denen Endgeräte verschiedener Gruppen verbunden werden. Damit die Zuordnung eines Endgeräts zu einer Gruppe automatisch erfolgt, benötigt man an einem Firmenstandort Network Access Control (NAC).

Die Netzsegmentierung im Access-Bereich ist daher sehr eng mit Netzzugangskontrolle und der damit realisierbaren automatischen Zuordnung der Endgeräte zu Netzsegmenten verbunden. Im WLAN sind Netzsegmente mittels der sogenannten Service Set Identifier (SSID) unterscheidbar. Im LAN gibt es keine mit SSID vergleichbare für Endgeräte sichtbare Namen von virtuellen Netzen (VLAN). Daher erfolgt die VLAN-Zuordnung mittels NAC.

Sowohl im Access-LAN als auch im WLAN muss die Anzahl der virtuellen Netzsegmente im überschaubaren und beherrschbaren Rahmen bleiben, maximal im unteren zweistelligen, besser im einstelligen Bereich. Die Netzsegmente müssen ortsunabhängig sein, weil ein Großteil der Endgeräte mobil ist. Ferner dürfen die Netzsegmente nicht einzelne Endgeräte, sondern ganze Gruppen bzw. Typen von Endgeräten enthalten. Regeln für einzelne Endgeräte sind nicht mit vertretbarem Aufwand administrierbar.

Netzsegmentierung im WAN

Das Gros der Kommunikation von Endgeräten erfolgt ohnehin mit zentralen RZ- oder Cloud-Ressourcen, sodass die aus Sicherheitsgründen erforderlichen Policy Enforcement Points (PEP) für die Kommunikation der Endgeräte an zentralen Stellen zu positionieren sind. Die virtuellen Netzsegmente im Access-Bereich müssen daher auch im WAN getrennt bleiben. Zur Netzsegmentierung im WAN können verschiedene Mechanismen zur Anwendung kommen:

• Im MPLS-WAN können verschiedene MPLS-VPN gebildet werden.
• In einem klassischen Router-Netz können pro Router verschiedene VRF-Instanzen die Netzsegmente bedienen.
• Wird Site-to-Site-VPN zur Standortvernetzung genutzt, kann pro Netzsegment ein VPN-Tunnel aufgebaut werden. Alternativ können Regeln auf den VPN-Gateways den Verkehr verschiedener Gruppen separieren.
• In einem Layer-2-WAN ist wie im Access-LAN die Konfiguration verschiedener VLANs möglich.
• Im SD-WAN kontrollieren SD-WAN-Edge-Komponenten Regeln für die Kommunikation verschiedener virtueller Netze. Zum Beispiel können die SD-WAN-Edge-Komponenten anhand zentraler Richtlinien dafür sorgen, dass virtuelle Netzsegmente im Access-Bereich nur mit virtuellen Netzsegmenten am Übergang zum zentralen PEP (in der Regel einer zentralen Firewall) kommunizieren.

Netzsegmentierung im Campus

Die Netzsegmentierung im Campus unterscheidet sich grundsätzlich nicht von der Netzsegmentierung im WAN. Je nach genutzter Netztechnologie können verschiedene virtuelle Netze als MPLS-VPN, Layer-3-Overlay oder Layer-2-Segment realisiert werden. Dabei muss – wie im Access- und WAN-Bereich – die Anzahl der verschiedenen virtuellen Segmente beherrschbar bleiben. Zudem sollten zentrale PEP genutzt werden.

Die Bildung von Fabrics oder ähnlichen Konstrukten im Campus wird daher nicht erforderlich sein. Entscheidend ist die beherrschbare Anzahl von logischen Netzen. Werden zu viele logische Netze gebildet, wird es mit und ohne Fabric sehr schnell unübersichtlich und unbeherrschbar.

Netzsegmentierung im Rechenzentrum

Zentrale PEP zur Kontrolle der Kommunikation der Access-Segmente können zugleich die PEP sein, welche die Kommunikation des Access-Bereichs mit dem RZ kontrollieren. Vor allem im RZ gilt es, die in Regularien der Informationssicherheit spezifizierte Zonenbildung zu realisieren. Der zentrale PEP mit Verbindung zum Access-Bereich ist somit auch für die Zonenbildung im RZ zu nutzen.

Ich habe mich in verschiedenen Beiträgen mit der Netzsegmentierung im RZ befasst, zum Beispiel in einem Beitrag von 2023, in dem ich diverse Verfahren für die RZ-Segmentierung erwähnte. Einige denkbare Verfahren sind wie folgt:

• NAC kann auch im RZ zum Einsatz kommen. Ein NAC-Server kann Regeln für die Kommunikation jedes Switch-Ports im RZ als Access Control List (ACL) den Switches vorgeben. Die Switches müssen dazu lediglich dynamische ACL unterstützen.
• Die eingesetzten Switches können als PEP genutzt werden. Cisco Application-Centric Infrastructure (ACI) oder die HPE/AMD-Pensando-Lösung sind Beispiele für diese Technologie.
• Ein Beispiel für eine Lösung, die Agenten in den Betriebssystemen der Endgeräte als System-Firewalls nutzt und zentral steuert, ist Cisco Secure Workload.
• VMware NSX ist ein Beispiel für eine Hypervisor-basierende Lösung für Segmentierung im RZ. Dabei fungieren die virtuellen Switches, mit denen die virtuellen Maschinen verbunden sind, als PEP.
• Einige aus dem Access-Bereich bekannte Anbieter wie Zscaler unterstützen auch Segmentierung an zentraler Stelle. Bei Zscaler wird dieser Ansatz als Workload Segmentation bezeichnet.
• Last but not least bleibt eine klassische Architektur mit VLANs und Firewalls eine weiterhin nutzbare Option für RZ-Segmentierung.

Fest steht jedenfalls nur, dass die Segmente im RZ immer kleiner werden und damit die Notwendigkeit von Routing innerhalb der Segmente entfällt. Im oben letztgenannten klassischen Ansatz wird die Firewall zur alleinigen Routing-Instanz im RZ.

Management der Kommunikationsregeln

Alle mit Firewall-Betrieb Vertrauten kennen das Problem der ständig wachsenden Liste von Regeln. Eine Ursache des Problems liegt darin, dass Regeln ständig angefordert, jedoch oft nicht abgemeldet werden, wenn sie nicht mehr notwendig sind. So wächst das Regelwerk weiter und weiter.

Der Prozess der Einrichtung und Verwaltung von Firewall-Regeln kann mit der Einführung eines zentralen Werkzeugs für das Management von Firewall-Regeln optimiert werden. Solche Werkzeuge lassen sich in zwei Kategorien unterteilen:

• Tools der Firewall-Hersteller: In einer homogenen Firewall-Umgebung bietet das Regelwerk-Management des Firewall-Herstellers vor allem Vorteile bei der gesicherten Interoperabilität und der einfachen Integration mit den eingesetzten Firewalls. Auch wenn als Perimeter-Firewall aus Sicherheitsgründen ein anderer Firewall-Typ eingesetzt wird, kann ein und dasselbe Management-Tool für das Regelmanagement der internen Firewalls genutzt werden. Das Tool muss die in der Regel überschaubaren und statischen Perimeter-Firewall-Regeln nicht unbedingt steuern.
• Tools von Drittherstellern wie z.B. Tufin oder Algosec: Diese bieten in einer heterogenen Umgebung mit Firewalls von verschiedenen Herstellern den Vorteil einer zentralen Regeladministration über die Grenzen der Umgebung eines einzelnen Firewall-Herstellers hinaus. Ferner haben diese Tools aufgrund ihrer Spezialisierung auf Regelverwaltung einige Vorteile.

Bei der Auswahl des Werkzeugs für die Verwaltung von Firewall-Regeln können die folgenden Kriterien relevant sein:

• Anpassbare Automatisierungs-Workflows
• Schnittstellen zu etablierten, vor allem den in einer Umgebung eingesetzten Firewall-Systemen
• Audit-fähige, automatisierte Dokumentation von Firewall-Regeln
• Housekeeping-Funktion mit Reports über nicht mehr benötigte Regeln
• Möglichkeit der Planung der Einführung (Scheduling) von Firewall-Regeln
• Tracking von Änderungen in Echtzeit
• Automatisierte Erkennung von Kommunikationsströmen der Applikationen

Netzsegmentierung in der Cloud

Oft wird Infrastructure as a Service (IaaS) in einer externen Cloud als Ergänzung zum eigenen RZ genutzt. Cloud-Betreiber wie AWS und Microsoft unterstützen Mechanismen wie ACL oder Security Groups für die Definition von Regeln, die bis zur Granularität einzelner Server konfiguriert werden können. Hinzu kommen komplexere Schutzmechanismen der Clouds wie Web Application Firewalls (WAF).

Regeln für Zonenbildung

Unabhängig von der für Segmentierung genutzten Technologie ist die Frage zu beantworten, welche Regeln der Zonenbildung zugrunde zu legen sind:

• Oft wird die Trennung der Zonen für Test, Entwicklung, Vorproduktion und Produktion erforderlich sein.
• Einige Organisationen bilden verschiedene Zonen anhand des Schutzbedarfs.
• Zur Verhinderung der lateralen Bewegung bei einem teilweise kompromittierten Netz wird die sogenannte Swim Lane Isolation angewandt. Dabei wird in der Regel getrennt nach Applikationen ein sogenannter Stack derart gebildet, dass die Kommunikation der pro Applikation notwendigen Instanzen wie Applikationsserver und Datenbanken möglich ist, der Zugriff auf andere Swim Lanes jedoch verhindert wird.
• Auch die Zonenbildung nach dem Zwiebelschalenmodell ist üblich: Äußere Zone als Front End, getrennt von der Zone für Applikationsserver, diese wiederum getrennt von den Datenbanken. Die PEP sorgen dafür, dass nur benachbarte Schalen nach bestimmten Regeln miteinander kommunizieren dürfen.
• Schließlich kommt die Bildung getrennter Zonen für verschiedene Mandanten hinzu.

Die Kombination aller oben genannten Varianten bedeutet in letzter Konsequenz die Mikrosegmentierung, d.h. die Realisierung des Prinzips Zero Trust.

Fazit

Es gibt verschiedene Verfahren für die Netzsegmentierung. Dabei sind die Anforderungen an die Segmentierung in den Bereichen Access-LAN, WLAN, Campus, RZ und Cloud zu unterscheiden. Die größten Herausforderungen gibt es im Rechenzentrum.