Expertenstatement Real Network Segmentation
Divide and Conquer: Real Network Segmentation
Netzwerksegmentierung im Wandel
Durch die zunehmende Vernetzung und Cloud-Integration wächst die Komplexität moderner Unternehmensnetzwerke kontinuierlich. Immer mehr Geräte, Anwendungen und Benutzer greifen auf Netzwerkressourcen zu – vom klassischen Arbeitsplatzrechner über IoT-Sensoren bis hin zu Cloud-Diensten und Remote-Arbeitsplätzen. Gleichzeitig nehmen die Anforderungen an Sicherheit und Compliance zu.
In diesem Umfeld spielt die Netzwerksegmentierung eine zentrale Rolle: Sie strukturiert Netzwerke in logische Zonen, überwacht die Kommunikation zwischen diesen Zonen und bildet die technische Grundlage für moderne Sicherheitskonzepte wie Zero Trust. Das zugrunde liegende Prinzip ist seit Jahrzehnten bekannt. Neu ist jedoch die Art der Umsetzung: weg von manueller Konfiguration, hin zu automatisierter, identitätsorientierter und cloudbasierter Steuerung.
Stefano Natali
Teamlead Engineering
ITRIS One AG
Grundprinzipien der Netzwerksegmentierung
Das Konzept der Netzwerksegmentierung ist simpel: Ein grosses Netzwerk wird in mehrere Teilbereiche unterteilt, die nur kontrolliert miteinander kommunizieren dürfen. So werden Sicherheitszonen geschaffen, Angriffsflächen reduziert und die laterale Bewegung von Bedrohungen eingeschränkt.
Ein klassisches Beispiel ist die Trennung von Produktionsnetz, Büro-IT und Gastzugängen. Wird das Gastnetzwerk kompromittiert, bleibt der Schaden auf dieses Netzwerksegment beschränkt, da eine direkte Kommunikation mit den Produktionssystemen nicht gestattet ist. Die Segmentierung orientiert sich am Prinzip des „Least Privilege“: Benutzer und Geräte erhalten nur die Zugriffsrechte, die für ihre jeweilige Aufgabe erforderlich sind.
Klassische Ansätze: VLAN, ACL, VRF und MPLS
Traditionell erfolgt Netzwerksegmentierung auf der Infrastruktur- und Topologieebene. Gängige Technologien sind Virtual LANs (VLANs), Access Control Lists (ACLs), Virtual Routing and Forwarding (VRF) sowie Multiprotocol Label Switching Virtual Private Network (MPLS-VPN).
- VLANs trennen logische Broadcast-Domänen innerhalb eines Switches oder über mehrere Switches hinweg.
- ACLs steuern den Datenverkehr zwischen VLANs, indem sie definieren, welcher Verkehr zulässig bzw. zu blockieren ist.
- VRF ermöglicht den Betrieb mehrerer logisch getrennter Routing-Instanzen auf derselben physischen Infrastruktur.
- MPLS-VPNs kommen häufig in grossen Netzen oder Provider-Umgebungen zum Einsatz, um mehrere isolierte Netze parallel zu betreiben.
Diese Ansätze sind funktional bewährt, erfordern jedoch einen erheblichen Verwaltungsaufwand. Jede Änderung erfordert manuelle Anpassungen an Switches, Routern und Firewalls. Dieser Vorgang ist fehleranfällig und begrenzt die Skalierbarkeit.
Moderne Segmentierung: Identitäts- und Policy-basiert
Mit Software-Defined Networking (SDN) und Zero Trust hat sich der Fokus deutlich verschoben. Moderne Segmentierungsansätze orientieren sich nicht mehr primär an der Netzwerktopologie, sondern an Identitäten, Rollen und Kontextinformationen. Dadurch werden Benutzer, Geräte und Anwendungen unabhängig von ihrem Standort im Netzwerk eindeutig identifiziert.
Bei ITRIS One kommen die Lösungen von Cisco und Fortinet zum Einsatz. Diese Lösungen abstrahieren die physische Netzwerkinfrastruktur und erstellen darauf basierend mehrere virtuelle Netzwerke (Virtual Networks, VNs). Diese Virtualisierung erlaubt eine klare Trennung von Benutzergruppen, Geräten oder Diensten – und das über das gesamte Campusnetz hinweg.
Dabei spielt die Network Access Control (NAC) eine zentrale Rolle. Sie entscheidet, welche Benutzer und Geräte unter welchen Bedingungen Zugang erhalten. Auf Basis von Identität und Kontext vergibt sie Rollen- und/oder Gruppenzuordnungen, die sowohl Makro- als auch Mikrosegmentierung steuern. Die eigentliche Durchsetzung dieser Entscheidungen erfolgt anschliessend auf den Security-Komponenten.
Makro- und Mikro-Segmentierung im Zusammenspiel
Makro- und Mikro-Segmentierung beschreiben zwei sich ergänzende Ebenen der Netzwerksegmentierung. Gemeinsam ermöglichen sie sowohl die Trennung übergeordneter Sicherheitszonen als auch eine fein granulare Steuerung innerhalb dieser Zonen.
Makro-Segmentierung
Die Makro-Segmentierung trennt grössere Netzwerkbereiche voneinander, beispielsweise Abteilungen wie Finance, HR oder Produktion. Jedes dieser Segmente wird als eigenes logisches Netzwerk (Virtual Network (VN)) betrieben. Der Datenverkehr zwischen diesen VNs ist standardmässig eingeschränkt und darf nur über kontrollierte Übergänge, etwa über zustandsbehaftete Firewalls (stateful Firewalls), passieren. Dies entspricht dem Prinzip „Trust but Verify“: Auch interne Verbindungen werden geprüft und überwacht. Die Makro-Segmentierung beantwortet damit die grundlegende Frage: In welchem übergeordneten Netzwerksegment darf sich ein Endpoint befinden?
Mikro-Segmentierung
Die Mikro-Segmentierung sorgt innerhalb eines Virtual Networks für zusätzliche Kontrolle. Sie definiert, welche Benutzer, Geräte oder Anwendungen miteinander kommunizieren dürfen. So kann beispielsweise festgelegt werden, dass innerhalb einer Finance-Zone nur bestimmte Endpunkte Zugriff auf Abrechnungssysteme erhalten, während IoT-Geräte oder POS-Terminals strikt isoliert bleiben. Die Mikro-Segmentierung beantwortet somit die Frage: Welche Kommunikation ist innerhalb eines Segments erlaubt?
Abbildung: Mikro-Segmentierung am Beispiel von Cisco SDA und ISE
Im Zero-Trust-Modell fungiert das NAC als verbindendes Element zwischen Makro- und
Mikro-Segmentierung. Es führt Identität, Kontext und Policy zusammen und übersetzt diese Informationen in segmentierungsrelevante Entscheidungen.
Praxisbeispiel: Segmentierung im Campus-Netz
Ein anschauliches Beispiel ist ein Flughafen. Physisch existiert ein Netzwerk. Logisch sind darin jedoch mehrere getrennte Netze aktiv:
- Airline A nutzt ein eigenes Virtual Network für Buchung und Gepäcksysteme.
- Airline B betreibt ein separates VN für Check-in-Terminals.
- Behörden und Sicherheitsdienste arbeiten in strikt abgeschotteten Netzbereichen.
Diese Struktur ermöglicht eine klare Trennung der Zuständigkeiten bei gleichzeitiger Nutzung gemeinsamer Infrastruktur. Die Segmentierung bleibt dabei unabhängig von der physischen Topologie flexibel erweiterbar.
Segmentierung über cloudbasierte Management-Plattformen
Cloudbasierte Management-Plattformen ermöglichen eine zentrale und standortübergreifende Steuerung der Netzwerksegmentierung. Über ein einheitliches Dashboard lassen sich Netzwerkgeräte inventarisieren, Software- und Konfigurationsstände verwalten sowie Segmentierungs- und Sicherheitsrichtlinien konsistent ausrollen.
Moderne Cloud-gesteuerte Fabric-Architekturen nutzen Overlay-Technologien wie EVPN-VXLAN, um logische Segmente von der physischen Infrastruktur zu entkoppeln. Änderungen an Segmenten lassen sich dadurch schnell und ohne tiefgreifende Anpassungen an der Netzwerktopologie umsetzen.
Ergänzend kommen cloudbasierte Identitäts- und Zugriffsdienste zum Einsatz. Diese authentifizieren Benutzer und Geräte kontextabhängig und ordnen sie dynamisch den passenden Segmenten zu. Zero-Trust-Prinzipien lassen sich so einheitlich für kabelgebundene und drahtlose Zugänge umsetzen.
Vorteile einer modernen Segmentierungsstrategie
Eine ganzheitlich gedachte Netzwerksegmentierung bietet sowohl technische als auch organisatorische Vorteile:
- Sicherheitsgewinn: Reduzierte Angriffsfläche und begrenzte laterale Bewegung im Falle einer Kompromittierung.
- Automatisierung: Dynamische Zuweisung von Richtlinien über Identitäten und Gruppen anstelle statischer Netzparameter, was gleichzeitig die Fehleranfälligkeit reduziert.
- Skalierbarkeit: Segmentierungsmodelle, die auf übergeordneten Steuerungsebenen basieren, lassen sich problemlos erweitern, ohne dass die logische Struktur des Netzwerks neu gebaut werden muss.
- Transparenz: Zentrale Sicht auf Policies, Gerätezuweisungen und Verkehrsflüsse erlaubt es Abhängigkeiten schneller zu erkennen und vereinfacht die Fehlersuche.
- Flexibilität: Unterstützung von On-Premise-, Cloud- und hybriden Umgebungen mit einem einheitlichen Zero-Trust-Modell.
Fazit: Segmentierung als strategische Grundlage für Zero Trust
Netzwerksegmentierung ist längst mehr als ein Mittel zur Strukturierung von Netzwerken. Sie ist ein zentrales Element moderner IT-Sicherheitsarchitekturen. Während klassische Ansätze auf statische Trennung setzen, ermöglichen moderne Technologien eine dynamische, identitätsbasierte und automatisierte Umsetzung des Zero-Trust-Prinzips.
Unternehmen gewinnen dadurch nicht nur an Sicherheit, sondern auch an Kontrolle, Transparenz und Effizienz – und schaffen die Grundlage für Netzwerke, die flexibel genug sind, um zukünftige Anforderungen zu erfüllen.
Haben Sie noch Fragen? Zögern Sie nicht uns zu kontaktieren.