Freigeben über

Netzwerkisolation (Secure Future Initiative)

Pfeilername: Schützen von Netzwerken
Mustername: Netzwerkisolation

Kontext und Problem

Moderne Bedrohungsakteure nutzen schwache Netzwerkgrenzen, um lateral zu wechseln und Berechtigungen zu eskalieren. Häufige Angriffspfade sind gestohlene Anmeldeinformationen, Protokollmissbrauch und Tokenwiedergabe. Einmal innerhalb nutzen Angreifer häufig schlechte Segmentierung, übermäßig eingeschränkte Berechtigungen oder freigegebene Infrastruktur für den Zugriff auf vertrauliche Workloads.  

Herkömmliche flache Netzwerke erschweren das Erzwingen des Zugriffs auf die geringsten Rechte und lassen häufig Ressourcen allgemein erreichbar. Ohne klare Isolation können interne und externe Bedrohungen mehrere Systeme schnell kompromittieren. Die Herausforderung besteht darin, die Netzwerksegmentierung zu standardisieren, Perimeter zu erzwingen und sicherzustellen, dass Datenverkehrsflüsse streng kontrolliert werden, um laterale Bewegungen zu verhindern und Verstöße zu enthalten.

Lösung

Die Netzwerkisolation sichert Netzwerke, indem Sie Netzwerke in Segmente unterteilen und isolieren und den Netzwerkzugriff steuern. Es kombiniert identitätsfähige Netzwerksicherheitslösungen und Verbesserungen der Sichtbarkeit, Überwachung und Erkennungsfunktionen. Kernpraktiken sind:

  • Netzwerksegmentierung und softwaredefinierte Umkreise: Gehen Sie von Sicherheitsverletzungen aus und beschränken Sie laterale Bewegungen mit Netzwerkpartitionierung und dynamischem, risikobasiertem Zugriff. Erzwingen Sie das Prinzip der minimalen Berechtigung durch bereichsspezifische Zugriffe und überprüfen Sie explizit mit identitätsbasierter Zugriffssteuerung.

  • SASE und ZTNA: Verwenden Sie SASE-Architekturen (Secure Access Service Edge, SASE) und Zero Trust Network Access (ZTNA), um Sicherheit und Netzwerk zu integrieren. Harmonisieren Sie Zero Trust Prinzipien, indem Sie den Zugriff basierend auf Kontext, Identität und bedingten Zugriffssteuerungen gewähren und einschränken.

  • Verschlüsselung und Kommunikation: Gehen Sie von einer Sicherheitsverletzung aus, indem Sie Daten während der Übertragung mit starker, moderner Verschlüsselung und Kommunikationsmethoden schützen. Begrenzen Sie das Risiko von Datenmanipulationen und blockieren Sie schwache Protokolle.

  • Sichtbarkeit und Bedrohungserkennung: Annehmen einer Verletzung mit kontinuierlicher Sichtbarkeit und Überwachung und Protokollierung von Netzwerkaktivitäten. Erzwingen Sie die geringste Berechtigung , und überprüfen Sie explizit mit Zugriffssteuerungen und Bedrohungserkennung, um Anomalien zu finden und anzuzeigen. Erzwingen Sie Zero Trust, indem Sie Bereitstellung, Verwaltung und Zuordnung von Netzwerkressourcen und Steuerelementen im großen Maßstab automatisieren. Ohne Automatisierung können Verzögerungen, Inkonsistenzen und Lücken schnell auftreten.

  • Richtliniengesteuerte Steuerelemente: Explizit überprüfen und das Prinzip des geringsten Privilegs mit granularen, adaptiven, identitätszentrierten, richtliniengesteuerten Steuerelementen für bedingten Zugriff anwenden. Gehen Sie von einer Breach-Annahme mit standardmäßiger Verweigerung aus und bewerten Sie das Risiko ständig neu.

  • Cloud- und Hybridnetzwerksicherheit: Annehmen von Sicherheitsverletzungen und Überprüfung explizit in Multicloud- und Hybridumgebungen durch Isolieren von Cloud-Workloads in geschützte Mikroperimeter und verwendung von Identitätsfähigen Proxys und CASB-Lösungen (Cloud Security Access Broker) für SaaS- und PaaS-Apps. Wenden Sie Zero Trust-Prinzipien mit einheitlichen Sicherheitsrichtlinien in der Cloud und lokal an, sichere Hybridverbindungsmechanismen, Verbesserung der Cloud-/Hybridsicherheitslage und zentrale Sicherheitsüberwachung.

Leitfaden

Organisationen können ein ähnliches Muster mit den folgenden Aktionen anwenden:

Anwendungsfall Empfohlene Aktion Resource
Mikrosegmentierung
  • Verwenden Sie Netzwerksicherheitsgruppen (Network Security Groups, NSGs) und ACLs, um den Zugriff auf geringste Übersichtsberechtigungen zwischen Workloads zu erzwingen.
 Übersicht über Azure-Netzwerksicherheitsgruppen
Isolieren virtueller Netzwerke
  • Verwenden von Tools wie Microsoft Defender Vulnerability Management zum Scannen von Systemen und Priorisieren von CVEs
 Isolieren von VNets – Virtuelle Azure-Netzwerke
Umkreisschutz für PaaS-Ressourcen
  • Verwenden Sie den sicheren Zugriff auf Dienste wie Speicher, SQL und Key Vault von Azure Network Security.
 Was ist ein Netzwerksicherheitsperimeter?
Sichere Konnektivität mit virtuellen Computern
  • Verwenden Sie Azure Bastion, um eine sichere RDP/SSH-Verbindung mit virtuellen Computern herzustellen, ohne Ressourcen für das Internet verfügbar zu machen.
 Informationen zu Azure Bastion
Einschränken des ausgehenden virtuellen Zugriffs
  • Entfernen Sie den standardmäßigen ausgehenden Internetzugriff, und wenden Sie das geringst mögliche Privileg-Netzwerk für den Dienstegress an.
 Standardmäßiger ausgehender Zugriff in Azure – Virtuelles Azure-Netzwerk
Mehrschichtige Umkreisabwehr
  • Wenden Sie Firewalls, Diensttags, NSGs und DDoS-Schutz an, um mehrschichtige Sicherheit zu erzwingen.
 Übersicht über Azure DDoS Protection
Zentrale Richtlinienverwaltung
  • Verwenden Sie Azure Virtual Network Manager mit Sicherheitsadministratorregeln, um Netzwerkisolationsrichtlinien zentral zu verwalten.
 Sicherheitsadministratorregeln in Azure Virtual Network Manager

Ergebnisse

Vorteile

  • Resilienz: Schränkt den Strahlradius eines Angriffs ein.  
  • Skalierbarkeit: Standardisierte Netzwerkisolation unterstützt Unternehmensumgebungen.  
  • Sichtbarkeit: Servicetagging und -überwachung bieten eine klarere Zuordnung von Datenverkehrsflüssen.  
  • Regulierungsausrichtung: Unterstützt die Einhaltung von Frameworks, die eine strikte Trennung vertraulicher Ressourcen erfordern.  

Trade-offs

  • Betriebsaufwand: Das Entwerfen und Verwalten von segmentierten Netzwerken erfordert Planung und laufende Updates.
  • Komplexität: Eine weitere Segmentierung kann zusätzliche Verwaltungsebenen einführen und eine Skalierung der Automatisierung erfordern.  
  • Leistungsüberlegungen: Einige Isolationsmaßnahmen können die Latenz leicht erhöhen.  

Wichtige Erfolgsfaktoren

Um den Erfolg nachzuverfolgen, messen Sie Folgendes:

  • Die Anzahl der Workloads, die in isolierten virtuellen Netzwerken ohne direkte Internetexposition bereitgestellt werden.  
  • Prozentsatz der Dienste, die durch zentral verwaltete Sicherheitsrichtlinien gesteuert werden.  
  • Reduzierung der lateralen Bewegungspfade, die bei Rot-Team-Tests identifiziert wurden.  
  • Einhaltung der Richtlinien mit den geringsten Rechten in allen Umgebungen.  
  • Zeit, um anomale Netzwerkaktivitäten zu erkennen und zu beheben.  

Zusammenfassung

Die Netzwerkisolation ist eine grundlegende Strategie, um laterale Bewegungen zu verhindern und vertrauliche Workloads zu schützen. Durch das Segmentieren von Ressourcen, das Erzwingen von Umkreisen und das Anwenden von mehrstufigen Abwehrmaßnahmen reduzieren Organisationen ihre Angriffsfläche und schaffen Resilienz gegen moderne Gegner.

Das Isolieren von Netzwerken ist nicht mehr optional---It ist eine notwendige Kontrolle zum Schutz von Cloud- und Hybridumgebungen. Das Netzwerkisolationsziel bietet ein klares Framework zur Verringerung der Lateralbewegung, zur Ausrichtung an Zero Trust und zum Schutz von Unternehmensumgebungen.  

Darüber hinaus sollten alle Netzwerk-, Identitäts- und Geräteaktivitäten kontinuierlich überwacht werden. Zentralisieren Sie die Protokollierung und Korrelierung von Sicherheitswarnungen mithilfe von XDR-Lösungen (Extended Detection and Response) und SIEM-Tools, um Anomalien und Bedrohungen effektiv zu erkennen. Koppeln Sie die Erkennung mit Verhaltensanalysen, tiefer Paketinspektion und automatischer Bedrohungsreaktion, um verdächtige Aktivitäten schnell einzudämmen und eine effiziente Reaktion auf Vorfälle zu unterstützen.

Bewerten Sie Ihre aktuelle Netzwerktopologie, und implementieren Sie Segmentierungs- und Umkreissteuerelemente, um das Ziel der Netzwerkisolation auszurichten.

  • Last updated on