Microsegmentation

Was ist Microsegmentation?

Microsegmentation ist eine Sicherheitsstrategie, die das Netzwerk in fein granular abgegrenzte Segmente aufteilt, um die Kommunikation zwischen Workloads, Containern, virtuellen Maschinen (VMs) oder Anwendungen strikt zu kontrollieren. Im Gegensatz zur klassischen Netzwerksegmentierung, die häufig VLAN- oder Zonen-basiert arbeitet, geht Microsegmentation deutlich weiter und erlaubt die Definition von Zugriffsregeln bis auf Applikations- oder Prozess-Ebene.

Ziel ist es, die sogenannte lateral movement eines Angreifers zu verhindern: Selbst wenn ein System kompromittiert wird, kann der Angreifer sich nicht unkontrolliert im Netzwerk ausbreiten.

Technischer Aufbau & Umsetzung

Typische Komponenten & Plattformen:

• Hypervisor-basierte Segmentierung:
  Systeme wie VMware NSX setzen Security Policies direkt im Hypervisor durch.

• Software-defined Networking (SDN):
  Lösungen wie Cisco ACI ermöglichen segmentiertes Netzwerk-Management über Policy-Konstrukte.

• Kubernetes Network Policies:
  In Container-Umgebungen werden Policies definiert, die den Traffic zwischen Pods explizit erlauben oder blockieren.

Zentrale Funktionen:

• Whitelisting von Workload-Kommunikation

• Zonen-übergreifende Kontrolle innerhalb von Rechenzentren

• Tag-basierte Security Policies (z. B. nach Umgebung, Anwendung oder Rolle)

• Logging und visuelle Darstellung der Kommunikationspfade

Relevanz in der Praxis

Microsegmentation ist ein zentraler Bestandteil moderner Sicherheitsarchitekturen, insbesondere in folgenden Szenarien:

• Zero Trust-Architekturen:
  Jede Kommunikation wird standardmäßig blockiert und nur explizit genehmigt – unabhängig vom Standort im Netzwerk.

• Hybrid- & Multi-Cloud-Umgebungen:
  Unterschiedliche Cloud-Services und On-Prem-Systeme können mit einheitlichen Richtlinien gesichert werden.

• Ransomware-Prävention:
  Verhindert, dass sich Malware innerhalb des Netzwerks ausbreitet, etwa von einem kompromittierten Server zu Datenbanken.

• Compliance:
  Unterstützt regulatorische Anforderungen durch gezielte Isolation sensibler Datenströme (z. B. PCI DSS, HIPAA, ISO 27001).

Standards & regulatorische Anforderungen

• NIST SP 800-207: Zero Trust Architecture

• ISO/IEC 27033-3: Netzwerksicherheitsarchitekturen

• PCI DSS Requirement 1: Netzwerksegmentierung zum Schutz von Karteninhaberdaten

• BSI Grundschutz-Kompendium OPS.1.1.3.A20: Netzwerkschutz durch Segmentierung

Verwandte Begriffe

• Zero Trust

• Firewall

• Kubernetes Security

• VLAN

• Container Security

• Least Privilege

• Network Access Control

Beispiel aus der Praxis

Ein Finanzdienstleister implementierte Microsegmentation mittels VMware NSX, um seine Entwicklungs-, Test- und Produktionsumgebungen vollständig voneinander zu trennen. Bei einem Sicherheitsvorfall in der Testumgebung blieb der Produktionsbereich unangetastet, da alle Zugriffe auf nicht autorisierte Services automatisch blockiert wurden. Das Unternehmen konnte dadurch Ausfallzeiten und Datenschutzverletzungen vermeiden und bestand gleichzeitig ein externes Audit nach ISO 27001 ohne Beanstandungen.