Netzsegmentierung & Mikrosegmentierung: Praxisleitfaden

Fast jeder schwere Sicherheitsvorfall folgt derselben Dramaturgie. Der Angreifer dringt über einen unscheinbaren Brückenkopf ein — ein abgephishtes Passwort, einen offenliegenden Dienst, einen vergessenen Testserver — und stößt dann nicht auf eine Wand, sondern wandert. Von der kompromittierten Maschine zum Fileserver, vom Fileserver zum Domaincontroller, von dort zu den Backups. Der erste Einbruch wäre zu überstehen gewesen. Erst die laterale Bewegung machte daraus eine Schlagzeile.

Netzsegmentierung ist die Disziplin, dieses Wandern schwer zu machen. Richtig umgesetzt verkleinert sie den Schadensradius jeder einzelnen Kompromittierung so, dass ein gekaperter Webserver die Datenbank nicht erreicht und ein infiziertes Notebook nicht an die produktive Steuerungsebene gelangt. Dieser Leitfaden behandelt Segmentierung, die tatsächlich wirkt — von groben VLANs bis zur feingranularen Mikrosegmentierung — und die praktischen Muster, die echte Eindämmung von einem Netzdiagramm unterscheiden, das nur sicher aussieht.

Wofür Segmentierung wirklich da ist

Es lohnt sich, beim Ziel präzise zu sein. Segmentierung soll nicht in erster Linie Angreifer draußen halten — das leisten Perimeterkontrollen, und die versagen irgendwann. Segmentierung regelt, was passiert, nachdem jemand eingedrungen ist. Ihre Aufgabe ist es, dafür zu sorgen, dass ein einzelner kompromittierter Host dem Angreifer Zugriff auf so wenig wie möglich verschafft — und dass jeder Versuch, diesen Zugriff auszuweiten, Reibung, Verkehr und Signale erzeugt, die Sie erkennen können.

Das passende Denkmodell ist der Schadensradius. Jedes System, das Sie betreiben, liegt in einer bestimmten Vertrauenszone. Die Frage, die Segmentierung beantwortet, lautet: Wenn genau dieses eine System vollständig kompromittiert ist, was kann der Angreifer dann erreichen, ohne eine Kontrolle zu überwinden? In einem flachen Netz lautet die ehrliche Antwort: alles. Genau darum geht es bei der Segmentierung — diese Antwort klein und spezifisch zu machen.

Das Spektrum der Segmentierung: von VLANs bis Mikrosegmentierung

Segmentierung ist keine einzelne Technik, sondern ein Spektrum unterschiedlicher Granularität — und die meisten reifen Umgebungen nutzen mehrere Ebenen gleichzeitig.

VLANs und Subnetze: grobe Zonen

Der klassische Ausgangspunkt ist das VLAN — eine Layer-2-Broadcast-Domäne, die Verkehr logisch trennt, ohne separate physische Switches zu verlangen. In Kombination mit Subnetzen und einem Routing über eine Firewall lassen sich mit VLANs Zonen schneiden: eine DMZ für internetzugewandte Dienste, eine interne Anwendungsschicht, eine Datenbankschicht, ein Managementnetz und so weiter. Das ist grob, aber wertvoll: Es verhindert, dass ein kompromittierter öffentlicher Webserver direkt mit internen Datenbanken spricht, und zwingt den Verkehr durch einen Engpass, an dem er gefiltert und protokolliert werden kann.

Die Grenze liegt in der Granularität. Ein VLAN vertraut typischerweise allem in seinem Inneren. Stellen Sie vierzig Server in ein einziges Anwendungs-VLAN, kann ein kompromittierter Server in der Regel die anderen neununddreißig frei erreichen, weil der Ost-West-Verkehr innerhalb des Segments unbeschränkt ist. VLANs ziehen Grenzen zwischen Vierteln, nicht zwischen Häusern.

Mikrosegmentierung: Richtlinien pro Workload

Mikrosegmentierung verschiebt die Grenze hinunter bis zum einzelnen Workload. Statt allem in einem Subnetz zu vertrauen, erhält jede VM, jeder Container, jeder Dienst eine eigene Richtlinie, die genau beschreibt, womit er auf welchen Ports sprechen darf. Die Webschicht darf die Anwendungsschicht auf Port 443 erreichen und sonst nichts; die Anwendungsschicht darf die Datenbank auf ihrem spezifischen Port erreichen; die Datenbank baut überhaupt keine ausgehenden Verbindungen auf. Alles, was nicht ausdrücklich erlaubt ist, wird verweigert.

Die Stärke dieses Ansatzes ist, dass er laterale Bewegung aktiv feindselig macht. Ein Angreifer, der auf einem Webserver landet, stellt fest, dass dieser schlicht keine Sitzung zum Backupserver oder zum Verzeichnisdienst öffnen kann — nicht, weil eine weit entfernte Firewall es blockiert, sondern weil die an diesen Workload gebundene Richtlinie es verbietet. Mikrosegmentierung verwandelt das Netz von offenen Fluren in ein Gebäude, in dem jede Tür die Identität prüft.

Zonen entwerfen, die der realen Kommunikation entsprechen

Der häufigste Fehler in Segmentierungsprojekten ist, Zonen um das Organigramm statt um den tatsächlichen Verkehr zu zeichnen. Ein Segment sollte Systeme bündeln, die wirklich miteinander kommunizieren müssen und ein ähnliches Vertrauens- und Expositionsniveau teilen. Dazu kartieren Sie zunächst die realen Flüsse: welche Systeme mit welchen sprechen, auf welchen Ports, in welcher Richtung. Werkzeuge, die bestehende Verbindungen visualisieren, sind hier Gold wert, denn Architekturdiagramme sind fast immer optimistische Fiktion im Vergleich zu dem, was das Netz tatsächlich tut.

Aus dieser Karte ergeben sich meist einige beständige Zonen. Internetzugewandte Dienste gehören in ihre eigene, scharf beobachtete Zone. Die Anwendungslogik sitzt dahinter. Datenspeicher bilden eine Zone, die selbst kaum Verbindungen initiiert und nur von benannten Vorsystemen Verbindungen annimmt. Management und Orchestrierung — die Steuerungsebene — verdienen die strengste Isolation überhaupt, denn sie sind der Generalschlüssel. Und alles, was regulierte Daten oder privilegierte Identitäten verarbeitet, sollte enger umzäunt werden als allgemeine Workloads.

Default-Deny ist die einzige Haltung, die trägt

Welche Zonen Sie auch definieren — die Regel, die sie erst bedeutsam macht, ist Default-Deny. Nur die beabsichtigten Verbindungen auf eine Allow-Liste zu setzen und alles übrige zu blockieren, ist der Unterschied zwischen Segmentierung, die einen Vorfall eindämmt, und Segmentierung, die ihn lediglich dokumentarisch verlangsamt. Default-Allow mit ein paar Block-Regeln sieht auf dem Diagramm ähnlich aus, verhält sich unter Angriff aber völlig anders — denn jeder Fluss, den Sie zu bedenken vergessen haben, ist ein Fluss, den der Angreifer frei nutzen kann.

Ost-West-Verkehr: die Hälfte, die alle vergessen

Jahrelang konzentrierten sich Sicherheitsbudgets auf den Nord-Süd-Verkehr — den Fluss zwischen Internet und Rechenzentrum — während der Ost-West-Verkehr zwischen internen Systemen weitgehend ungeprüft blieb. Angreifer haben das bemerkt. Einmal drinnen, leben sie fast ausschließlich in der Ost-West-Ebene, und in einem klassisch entworfenen Netz ist diese Ebene ein weites, offenes Feld.

Moderne Rechenzentrums-Fabrics machen dies zugleich wichtiger und beherrschbarer. In einer Leaf-Spine-Architektur ist der überwiegende Teil des Verkehrs konstruktionsbedingt Ost-West, was bedeutet, dass die Segmentierungsrichtlinie zunehmend in der Fabric selbst liegt. Overlay-Netze auf Basis von VXLAN mit einer EVPN-Steuerebene erlauben es, Segmente logisch zu definieren und über die Fabric zu spannen, ohne physisch neu zu verkabeln — so trägt ein Workload seine Segmentzugehörigkeit mit sich, selbst wenn er zwischen Hosts wandert.

Segmentierung in der virtualisierten und cloud-nativen Welt

Wenn Workloads virtuell und kurzlebig sind, muss die Segmentierung ihnen folgen. Statische, IP-basierte Firewall-Regeln zerbrechen in dem Moment, in dem eine VM neu eingeplant oder ein Container durch eine frische Instanz auf einer anderen Adresse ersetzt wird. Die Antwort sind Richtlinien, die in Identitäten und Labels statt in Adressen ausgedrückt sind: Eine Regel, die besagt, dass payment-service die ledger-database erreichen darf, gilt unabhängig davon, wo beide Workloads gerade laufen.

In einer OpenStack-Umgebung ist genau das die Aufgabe der Netzwerkschicht. Neutron-Sicherheitsgruppen wirken als zustandsbehaftete Firewalls pro Instanz, und mit OVN als Backend wird die Segmentierungsrichtlinie über die Fabric verteilt und nahe an jedem Workload durchgesetzt, statt durch einen zentralen Engpass gezwängt zu werden. Mandanten erhalten standardmäßig isolierte virtuelle Netze, und die Ost-West-Regeln reisen mit den Instanzen. clouditiv baut auf genau diesem Fundament auf — OpenStack Neutron mit OVN auf einer Leaf-Spine-Fabric — sodass Mikrosegmentierung eine Eigenschaft der Mandantenbereitstellung ist und kein nachträgliches Projekt, mit dem nötigen Monitoring für Ost-West-Flüsse von Anfang an.

Häufige Fallstricke, die Segmentierung still untergraben

Einige Fehlermuster wiederholen sich oft genug, um sie zu benennen. Das erste ist das zu freizügige Managementnetz: Organisationen segmentieren die Produktion sorgfältig und lassen dann ein flaches Management- oder Jump-Host-Netz übrig, das alles erreichen kann — und reichen Angreifern damit eine Hintertür, die alle sorgsame Zonierung umgeht. Das zweite ist der Regel-Wildwuchs: temporäre Allow-Regeln, die während eines Vorfalls oder einer Migration hinzugefügt und nie wieder entfernt werden und die Richtlinie langsam zurück Richtung Default-Allow erodieren.

Ein dritter Fehler ist, das Netz zu segmentieren, nicht aber die darauf liegende Identitäts- und Berechtigungsebene: Funktioniert dasselbe Admin-Konto in jeder Zone, zählen Netzgrenzen weit weniger, als sie scheinen. Und ein vierter ist, Segmentierung als einmaliges Projekt zu behandeln. Workloads, Abhängigkeiten und Teams ändern sich ständig; eine Richtlinie, die nie überprüft wird, driftet aus der Wirklichkeit, bis sie eine Topologie schützt, die es nicht mehr gibt.

Wie Sie ausrollen, ohne die Produktion zu zerlegen

Die Angst, die die meisten Segmentierungsvorhaben ausbremst, ist das Kappen einer legitimen Verbindung, die niemand dokumentiert hat. Der Weg hindurch führt über einen Beobachtungsmodus zuerst. Die meisten modernen Policy-Engines können Regeln in einem reinen Monitor-Zustand laufen lassen, der protokolliert, was blockiert worden wäre, ohne tatsächlich zu blockieren. Lassen Sie das über einen repräsentativen Zeitraum laufen, studieren Sie die beinahe verweigerten Flüsse, und Sie entdecken den realen Abhängigkeitsgraphen — einschließlich der überraschenden, undokumentierten Verbindungen, die es immer gibt.

Von dort aus ziehen Sie schrittweise an. Erzwingen Sie Default-Deny zuerst in den wertvollsten Zonen, wo der Nutzen am größten und der Verkehr am besten verstanden ist, und arbeiten Sie sich nach außen vor. Segmentieren Sie die Managementebene früh, denn sie ist zugleich hochwertig und meist einfacher als ausufernde Anwendungsschichten. Und behandeln Sie Richtlinien als lebende Konfiguration unter Versionskontrolle, die bei Änderungen überprüft wird, damit die Segmentierung zur Umgebung passt, statt langsam zu verfallen.

Das Fazit

Netzsegmentierung gehört zu den wirkungsvollsten Sicherheitsinvestitionen überhaupt — gerade weil sie davon ausgeht, dass der Perimeter versagt, und plant, was danach kommt. VLANs liefern grobe Zonen; Mikrosegmentierung liefert Eindämmung pro Workload; Default-Deny und identitätsbewusste Richtlinien machen aus beidem echte Barrieren statt bloßer Bremsschwellen. Die Organisationen, die einen Einbruch als eingegrenzten Vorfall statt als Katastrophe erleben, sind fast immer jene, die diese Arbeit im Voraus geleistet haben — und sich, bevor ein Angreifer die Frage erzwang, genau überlegt haben, wie klein ihr Schadensradius sein sollte.