Was ist Netzwerksegmentierung?
Die Netzwerksegmentierung ist die Praxis, ein großes Netzwerk in mehrere kleinere logische Netzwerke oder Segmente aufzuteilen. Netzwerke werden aus einigen Gründen segmentiert, aber hauptsächlich geschieht dies, um entweder die Netzwerksicherheit zu verbessern und/oder die Benutzererfahrung zu verbessern.
Wie werden VLAN und VXLAN verwendet?
Die Netzwerksegmentierung wird durch eines von zwei primären Mitteln erreicht, aber jedes ist sehr ähnlich. Virtual Local Area Networks (VLANs) sind seit Jahrzehnten die primäre Methode zur Segmentierung von Netzwerken und sollten kein neues Konzept sein. VLANs haben eine inhärente Barriere, die sich als Einschränkung erwiesen hat, da die Technologie gewachsen ist, und das heißt, sie sind auf nur 4.094 Netzwerke pro Verwaltungsdomäne beschränkt. Um diese Einschränkung zu überwinden, wurde Virtual Extensible Local Area Network (VXLAN) erstellt, das diese Zahl auf 16 Millionen Netzwerke pro administrativer Domäne erweitert. Subnetze, eine weitere Methode der Netzwerksegmentierung, verwenden IP-Adressen, um ein Netzwerk in kleinere Subnetze zu partitionieren, die über Netzwerkgeräte verbunden sind. Dieser Ansatz ermöglicht nicht nur eine effizientere Netzwerkleistung, sondern dient auch dazu, Bedrohungen einzudämmen, die sich über ein bestimmtes VLAN oder Subnetz ausbreiten.
Verbesserung der Sicherheit durch Überwachung des Ost-West-Verkehrs
Neben der Erweiterung der verfügbaren Netzwerke ergeben sich zusätzliche Vorteile aus der Netzwerksegmentierung. Die erste besteht darin, die IT-Sicherheit zu verbessern. Durch die Segmentierung des Netzwerks kann jede Malware oder Verletzung in einem Segment des Netzwerks auf dieses kleinere Netzwerksegment beschränkt werden, was die Verbreitung im gesamten Netzwerk erschwert.
Verbesserung der Leistung durch Reduzierung der Layer-2-Workloads
Als Nächstes kann die Netzwerksegmentierung die Benutzererfahrung verbessern. Sie können Segmentierung verwenden, um Endbenutzern ein persönlicheres Erlebnis zu bieten. Die Netzwerksegmentierung kann auch die Leistung (Bandbreite) für eine Gruppe oder Gruppen von Geräten sicherstellen, indem sie Netzwerküberlastungen und -störungen eliminiert oder reduziert. Gästenutzer in ein vom Unternehmensnetzwerksegment getrenntes Netzwerksegment zu versetzen, das geschäftskritischen Datenverkehr unterstützt, kann auch zu Leistungsvorteilen führen, da Geräte, die an geschäftskritischen Aktivitäten beteiligt sind, nicht mehr mit Besuchern konkurrieren, die auf Anwendungen wie Videostreaming zugreifen.
Netzwerksegmentierung endet an der Firewall, um die Cybersicherheit zu verbessern
Wenn Sie das Netzwerk in Segmente aufteilen, können sich Bedrohungen, die es in das Netzwerk schaffen, nicht seitlich über Netzwerksegmente hinweg bewegen, um sich leicht auf andere Geräte auszubreiten. Diese kleineren Segmente erleichtern auch die Bestimmung, woher die Bedrohungen stammen, da sie in einem kleineren Netzwerk isoliert sind, anstatt in einem einzigen großen Netzwerk. In Bezug auf die Vorteile der IT-Sicherheit kann es auch einfacher sein, die Einhaltung gesetzlicher Vorschriften zu erreichen, wenn einige Geräte und Benutzer von anderen weggesucht werden. IT-eigene und von verwaltete Geräte sind im Vergleich zu Gast- und sogar internen BYOD-Geräten im Allgemeinen risikoarm, sodass es nur sinnvoll ist, sie in ihre eigenen kleineren Segmente zu platzieren.
Wenn eines dieser Geräte mit höherem Risiko kompromittiert wird, kann sich die Bedrohung angesichts der bestehenden Netzwerksegmentierung nicht auf kritischere IT-Ressourcen in anderen Netzwerksegmenten ausbreiten. Wenn dieser segmentierte Datenverkehr versucht, die Firewall zu überqueren, kann er blockiert und gemeldet werden, was den Alarm früher bei Kompromissen auslöst.
Sie können auch entscheiden, dass bestimmte IoT-Geräte einem höheren Risiko ausgesetzt sind als andere Geräte im Netzwerk und sie in ein separates Netzwerksegment einteilen. Sie können sogar jede Art von IoT-Gerät in ein eigenes Netzwerk stellen, getrennt von anderen Geräten und von anderen Netzwerkressourcen, die Sie schützen möchten. Obwohl es schlecht ist, ein Gerät in Ihrem Netzwerk kompromittiert zu haben, können Sie durch die Netzwerksegmentierung diese Geräte von anderen trennen, um zu verhindern, dass sich die Bedrohung ausbreitet. Es gibt genügend Geschichten über IoT-Botnets im Internet, die eine Netzwerksegmentierung zur Unterstützung des IoT in Betracht ziehen.
Netzwerksegmentierung zur Verbesserung der Benutzererfahrung
Die Anwendungsfälle für die IT-Sicherheit gelten für eine Vielzahl von Branchen, während die Anwendungsfälle für die Benutzererfahrung tendenziell branchenspezifischer sind. Die Netzwerksegmentierung macht im Bereich der Mehrfamilienhäuser (MDU) viel Sinn. Ein MDU ist jede Umgebung, die sich durch Wohnen in mehreren Haushalten auszeichnet – denken Sie an Wohnkomplexe, Seniorengemeinschaften, Wohnmobilparks usw. Auch Schlafräume in der Hochschulbildung passen in dieses Umfeld.
Diese Arten von Immobilien haben zunehmend Netzwerke der Enterprise-Klasse verwaltet und nicht den traditionellen Ansatz, bei dem sich jeder Bewohner separat bei einem Internetdienstanbieter anmeldet. Dies bietet den Vorteil eines Unternehmensnetzwerks in einer Umgebung, die normalerweise einem Vorort ähnelt, in dem Bewohner die Konnektivität verlieren, wenn sie sich außerhalb der Reichweite ihrer Einheit befinden. Sobald ein Netzwerk im Unternehmensstil eingerichtet ist, können Netzwerkadministratoren diese zusätzlichen Vorteile dank einer einheitlichen Infrastruktur anbieten.
Mikrosegmentierung zur Verbesserung der Privatsphäre und Sicherheit der Benutzer
IT-Teams und Managed Service Provider können diese einheitliche Infrastruktur nutzen, um personalisierte Netzwerke für Bewohner bereitzustellen. Jede Einheit in einem MDU-Objekt erhält ein eigenes persönliches Netzwerk (VLAN/VXLAN), in dem die Bewohner nur ihre eigenen Geräte sehen und nicht diejenigen, die zu Nachbarn gehören. Diese Isolierung verbessert die Ressourcenauslastung auf dem Draht, da die Anzahl der Geräte, die auf Broadcast-Frames reagieren, nun auf eine einzige Einheit beschränkt ist, nicht auf die gesamte Eigenschaft. Diese Funktion bewahrt auch die Privatsphäre der Bewohner, da ihre Geräte und ihr Verkehr von ihren Nachbarn isoliert sind und sie auch die Geräte und den Verkehr ihrer Nachbarn nicht sehen können.
Das Beste ist, dass ihre SSID ihnen folgt, wenn sie jede Annehmlichkeit auf dem Hotelgelände mit einem personalisierten Netzwerk mit durchgängiger Drahtlosverbindung über das gesamte Hotel hinweg besuchen. Es ist ein großartiges Benutzererlebnis für Bewohner und kann dazu beitragen, dass eine Immobilie Bewohner anzieht und hält. Für die Hochschulbildung sind persönliche Netzwerke eine großartige Möglichkeit, um die hohen Erwartungen der Schüler an das WLAN zu erfüllen – ein Netzwerk vom Typ „zu Hause“, aber in einer Schlafumgebung.
Wie man eine Netzwerksegmentierung mit durchführt RUCKUS
RUCKUS® Networks verfügt über alles, was erforderlich ist, um die Netzwerksegmentierung durch Unterstützung aller IEEE-Branchenstandards zu ermöglichen. RUCKUS verwendet VLANs und VXLANs, um eine Netzwerksegmentierung zu ermöglichen, bei der bis zu 4.094 VLANs und 16 Millionen VXLANs im Netzwerk vorhanden sind. Wie bereits erwähnt, ist diese Einschränkung nicht RUCKUS-spezifisch, sondern Teil des IEEE 802.1Q-Standards. VXLANs, die in der Lage sind, bis zu 16 Millionen „Netzwerke“ auf einer einzigen administrativen Domäne zu skalieren, bieten ebenfalls einen zusätzlichen Vorteil – sie können mehrere physische Netzwerksegmente und geografische Gebiete umfassen. Dies geschieht durch Design, da VXLANs als Layer-3-Overlay über dem Layer-2-Teil des Netzwerks existieren.
Das Herzstück der Netzwerksegmentierungs-Engine mit RUCKUS ist das Cloudpath® Enrollment System, unser Cloud-Service (auch als lokale Software verfügbar) für sicheres Netzwerk-Onboarding und -Zugriff. Das Schöne an dem Cloudpath-System ist, dass Sie es ohne RUCKUS® Access Points, SmartZone™-Controller oder ICX®-Switches verwenden können. Die volle Leistung der Cloudpath-Technologie wird jedoch nur in Kombination mit dem konvergenten RUCKUS-Controller, RUCKUS Access Points und ICX®-Switches realisiert.
Mit einem vollständigen RUCKUS-Netzwerk können Administratoren VLANs oder VXLANs nutzen, um die Netzwerksegmentierung basierend auf Ihren Bedürfnissen und Fähigkeiten durchzuführen. Wenn Sie Cloudpath für die Netzwerksegmentierung verwenden, können Sie auch jedem Gerät eine Benutzeridentität zuordnen.
Wo Sie mehr erfahren können
Erfahren Sie mehr über die Netzwerksegmentierung, indem Sie die RUCKUS-Lösungsseite zum Thema besuchen, wo Sie Videos, eine Lösungsbeschreibung und mehr finden. Sie können sogar auf unsere aktuelle Fallstudie mit AVE Union zugreifen, einem MDU-Hotel, das VLANs verwendet, um Bewohnern persönliche Netzwerke bereitzustellen. Die Netzwerksegmentierung bringt viele Vorteile für Unternehmen mit sich. Zögern Sie nicht, Ihren RUCKUS-Partner zu kontaktieren, wenn Sie daran interessiert sind, diese Technologie in Ihrer Umgebung zu implementieren.
Was sind die 3 Hauptvorteile der Netzwerktrennung (Mikrosegmentierung)?
Die drei Hauptzwecke der Netzwerksegmentierung sind:
- Erhöhte Sicherheit: Die Netzwerksegmentierung reduziert die Angriffsfläche, indem ein flaches Netzwerk in mehrere Teilnetzwerke oder Segmente unterteilt wird. Diese Trennung schränkt die seitliche Bewegung von Angreifern innerhalb des Netzwerks ein. Wenn ein Angreifer das Netzwerk verletzt, hätte er nur Zugriff auf einen begrenzten Teil des Netzwerks, nicht auf das gesamte System. Hier kommt die Mikrosegmentierung ins Spiel und bietet durch die Anwendung von Sicherheitsrichtlinien auf Workload-Ebene ein granulareres Sicherheitsniveau. Es ist ein wichtiger Teil einer Strategie mit den geringsten Privilegien, bei der jedes Segment nur den Zugriff hat, den es benötigt, und nicht mehr. Dieser Ansatz ist besonders wichtig, um sensible Daten wie Kreditkarteninformationen in Übereinstimmung mit Standards wie dem Payment Card Industry Data Security Standard (PCI DSS) zu schützen.
- Verbesserte Leistung: Die Netzwerksegmentierung kann zu einer besseren Netzwerkleistung führen. Durch die Trennung des Netzwerkverkehrs können Sie sicherstellen, dass kritische Dienste die Bandbreite erhalten, die sie benötigen. Dies ist besonders nützlich in einer Rechenzentrumsumgebung, in der verschiedene Arten von Datenverkehr, wie z. B. Ost-West-Datenverkehr (Datenverkehr zwischen Servern in einem Rechenzentrum), effizient verwaltet werden müssen. Segmentierung kann auch dazu beitragen, Staus zu reduzieren, indem unnötiger Datenverkehr zwischen Segmenten begrenzt wird.
- Größere Kontrolle und Überwachung: Die Netzwerksegmentierung bietet eine bessere Transparenz und Kontrolle über Ihr Netzwerk. Durch die Aufteilung des Netzwerks in kleinere Teile ist es einfacher, den Datenverkehr zu überwachen, Anomalien zu identifizieren und potenzielle Verstöße zu erkennen. Sie ermöglicht auch eine präzisere Zugriffskontrolle mit unterschiedlichen Vertrauensstufen für verschiedene Segmente. Endpunkte mit sensiblen Daten können beispielsweise von solchen isoliert werden, die ein höheres Gefährdungsrisiko aufweisen. Technologien wie Software-Defined Networking (SDN) und Virtualisierung können diesen Prozess überschaubarer und flexibler machen.
Fazit
Denken Sie daran, dass die Netzwerksegmentierung zwar Ihre Cybersicherheitshaltung erheblich verbessern kann, es sich jedoch nicht um eine silberne Kugel handelt. Die Netzwerksegmentierung sollte Teil einer mehrschichtigen Verteidigungsstrategie sein, die Firewalls, Authentifizierungsmechanismen und robuste Sicherheitsrichtlinien umfasst.
© 2023 CommScope, Inc. Alle Rechte vorbehalten. CommScope und das CommScope Logo sind eingetragene Marken von CommScope und/oder seinen Tochterunternehmen in den USA und in anderen Ländern. Weitere Informationen zu den Marken finden Sie unter https://www.commscope.com/trademarks. Alle Produktnamen, Marken und eingetragenen Marken sind Eigentum der jeweiligen Eigentümer.
