Texture Top Right Teal 02

Mikrosegmentierung

Im Unterschied zu konventionellen Lösungen auf der Basis von virtualisierten bzw. gehosteten Firewalls nutzt FireEye Cloudvisory die bestehenden cloudnativen Sicherheitskontrollen des Anbieters für die Mikrosegmentierung von Workloads. Durch den Einsatz cloudnativer APIs für die Erkennung von Komponenten und Datenströmen beschleunigt Cloudvisory die Systemimplementierung, eliminiert Fehlkonfigurationen und minimiert den mit der umfassenden Verwaltung von Least Privilege Policies einhergehenden Aufwand.

Vorteile der Mikrosegmentierung

Cloudvisory ermöglicht eine intuitiv steuerbare und skalierbare Mikrosegmentierung zur standardmäßigen Isolierung einzelner Cloud-Workloads für Unternehmen jeder Größe. 

Cloudnative Sicherheitskontrollen

Cloudnative Sicherheitskontrollen

Zulassungsliste für Datenverkehr

Zulassungsliste für Datenverkehr

Minimierung der Angriffsfläche

Minimierung der Angriffsfläche

Schutz vor (Insider-)Bedrohungen

Schutz vor (Insider-)Bedrohungen

Automatisches Erlernen von Richtlinien zur Aufrechterhaltung des Soll-Zustands

Automatisches Erlernen von Richtlinien zur Aufrechterhaltung des Soll-Zustands

Vermeidung von Konfigurationsdrift

Vermeidung von Konfigurationsdrift

Erkennung von Anomalien bzw. verdächtigem Verhalten

Erkennung von Anomalien bzw. verdächtigem Verhalten

Reaktion auf unerwünschte bzw. unbefugte Änderungen

Reaktion auf unerwünschte bzw. unbefugte Änderungen

Umsetzung eines Zero-Trust-Modells für Nutzer und Anwendungen

Umsetzung eines Zero-Trust-Modells für Nutzer und Anwendungen

„Mikrosegmentierung aus Prinzip. Es empfiehlt sich, alle Sicherheitsrichtlinien anhand von Tags und Zugehörigkeiten anzuwenden.“

- Gartner

Lösungen für die Mikrosegmentierung

Kontextbezogene Mikrosegmentierung

Zur Durchsetzung von Mikrosegmentierungsregeln vergleicht Cloudvisory den Zweck einer Richtlinie mit dem Workload-Kontext (z. B. Tags, Region, Anbieter, Anbieterkonto, Gruppenzugehörigkeit usw.) und reagiert durch die dynamische Orchestrierung von Richtlinien-Updates auf Veränderungen in der Umgebung.

„Golden State“-Mikrosegmentierung

Cloudvisory nutzt statische IP-Adressen zur Durchsetzung von Mikrosegmentierungsregeln und empfiehlt Richtlinien-Updates, die auf maschinell generierten Korrelationen zwischen tatsächlichen Netzwerkströmen und aktuellen Netzwerkrichtlinien basieren.

Wählen Sie einen der Ansätze oder kombinieren Sie beide Lösungen
zur Anpassung der Mikrosegmentierungsrichtlinien an die Bedürfnisse
einzelner Geschäfts- und Unternehmensbereiche.

Kontextbezogene Mikrosegmentierung

Cloudvisory ermöglicht einen kontextbezogenen Ansatz der Mikrosegmentierung, um Cyberangriffe in öffentlichen und privaten Cloud-Umgebungen abzuwehren. Das Produkt unterstützt die automatische Erkennung von Workloads und der zugehörigen Datenströme in mehreren Cloud-Umgebungen und generiert auf diese Weise kontextbezogene Segmentierungsrichtlinien. Detaillierte Richtlinien für Zulassungslisten (Mikrosegmentierung) lassen nur die notwendigen Verbindungen zu einzelnen Workloads oder Anwendungen zu. Wenn sich die Umgebung ändert (Workloads kommen hinzu oder fallen weg), berechnet und aktiviert Cloudvisory umgehend kontextbezogene Richtlinien zur Durchsetzung einer entsprechenden Mikrosegmentierung. Dadurch entstehen weitgehend unumstößliche Sicherheitsregeln, die selbst in komplexen Hybrid- und Multi-Cloud-Umgebungen anwendbar sind.

Kontextbezogene Mikrosegmentierung vereinfacht das systemweite Richtlinienmanagement und ermöglicht dadurch mehr Agilität in den Bereichen Business, DevOps und IT-Sicherheit. Im Gegensatz zu konventionellen Lösungen mit begrenztem Kontext unterliegt die logische Zusammengehörigkeit von Cloud-Ressourcen zwecks kontextbezogener Mikrosegmentierung bei Cloudvisory keinen architekturbedingten Einschränkungen.

„Golden State“-Mikrosegmentierung

Mikrosegmentierung entsteht nicht in einem Vakuum. Bestimmte Unternehmen mit ausgereiften Cloud-Sicherheitsstrategien setzen bereits Netzwerkrichtlinien für den „Idealzustand“ ein, die für bestehende Betriebsprozesse und Technologien optimiert wurden. In solchen Fällen ist die kontextbezogene Mikrosegmentierung möglicherweise nicht der richtige Ansatz. Allerdings ist dieser Idealzustand oft nicht ganz perfekt und muss auf jeden Fall kontinuierlich nachjustiert werden.

Cloudvisory agiert in Abstimmung mit bestehenden Prozessen und Technologien und reagiert zudem mittels vorausschauender Optimierung vorhandener Sicherheitskontrollen auf Änderungen in der Umgebung. Somit ermöglicht Cloudvisory eine „Golden State“-Mikrosegmentierung durch:

  • die automatische Erkennung und Durchsetzung bestehender Netzwerkrichtlinien (Sicherheitsgruppen),
  • das Erlernen des Soll-Verhaltens durch die agentenlose Erfassung und Analyse der tatsächlichen Netzwerkströme,
  • maschinell generierte Empfehlungen zur Optimierung bestehender Sicherheitsrichtlinien,
  • Simulation der Auswirkungen solcher Änderungen vor ihrer Umsetzung.""

Cloudvisory erfasst bestehende Richtlinien und empfiehlt anhand der tatsächlichen Netzwerkströme intelligente Verbesserungen. Erfahrene Sicherheitsteams können mit Cloudvisory vorhandene „Golden State“-Richtlinien erfassen und durchsetzen. Dabei werden Änderungen automatisch erkannt und entsprechende Warnmeldungen und Empfehlungen generiert, ohne dabei in laufende Prozesse zur Business-Automatisierung einzugreifen.

„Die integrierten Sicherheitsfunktionen des Anbieters der Cloud-Infrastruktur können … über den Lebenszyklus einer Anwendung hinweg zur Automatisierung von Sicherheitskontrollen genutzt werden.“

- Gartner

Cloudnative Sicherheitskontrollen nutzen

Öffentliche und private Cloud-Infrastrukturen verfügen über leistungsstarke Sicherheitskontrollen. Bei korrekter Konfiguration bieten diesen nativen Sicherheitskontrollen einen effizienten Schutz für dynamische Anwendungen und Microservices, die in der Cloud ausgeführt werden. Konventionelle Sicherheitskontrollen sind statisch, kaum skalierbar, schwer konfigurierbar und nicht für Cloud-Umgebungen ausgelegt. Diese älteren Tools können nicht für den reibungslosen Einsatz in der Cloud angepasst werden. Aufgrund der Zulassungslisten in Cloud-Systemen funktionieren die Kontrollen bei konventioneller Segmentierung nur nach einer präzisen Konfiguration der Cloud-Sicherheitskontrollen. Cloudvisory sorgt für die automatische Bereitstellung, Sicherung und Überwachung mehrerer Cloud-Umgebungen mittels anbieterspezifischer Kontrollen zur Durchsetzung von Sicherheitsrichtlinien.

Texture Side Left Teal 02

Öffentliche Cloud-Umgebungen

  • Statische Kontrollen mit hohem Verwaltungsaufwand
  • Zonenbasierte Firewalls an zentralen Datenschleusen
  • Ein oder mehrere Subnetze bzw. VLANs pro Zone
  • Explizite Vertrauensstellungen zwischen Zonen
  • Implizite Vertrauensstellungen innerhalb einzelner Zonen (d. h. jeglicher Datenverkehr innerhalb der Zone ist zulässig)
  • Regeln für Zulassungs- und Ausschlusslisten
  • Zentrale Steuerung durch das Sicherheitsteam
  • Für den Schutz des Netzwerkrands konzipiert
  • Minimale bis keine Einschränkung des Ost-West-Datenverkehrs (laterale Ausbreitung)

Private Cloud-Umgebungen

  • Dynamische Kontrollen für einen einfachen Self-Service
  • Ressourcenspezifische Firewalls
  • Jede Workload (bzw. jeder Port) ist in sich ein Segment bzw. eine Zone
  • Ausschließlich explizite Vertrauensstellungen, selbst innerhalb einzelner Subnetze/VLANs
  • Keine impliziten Vertrauensstellungen
  • Hauptfokus auf der Genehmigung von zulässigem Datenverkehr
  • Steuerung über Aufrufe der API des Cloud-Anbieters
  • Ausgelegt für workloadspezifischen Schutz
  • Kein Ost-West-Datenverkehr (laterale Ausbreitung) ohne ausdrückliche Autorisierung

„Der Netzwerkrand ist tot.“

- Anonym

Angriffe verhindern und Bedrohungen isolieren

Angreifer wissen, dass die meisten Unternehmen sowohl in modernen Cloud-Umgebungen als auch in älteren Rechenzentren:

  1. überwiegend auf präventive Sicherheitskontrollen am Netzwerkrand setzen,
  2. kaum über interne Kontrollen zur Einschränkung des Ost-West-Datenverkehrs verfügen,
  3. aufgrund fehlender Transparenz keine lang andauernden, niederschwelligen Angriffe erkennen.

Angreifer gehen den Weg des geringsten Widerstands und Präventivmaßnahmen sind zum Scheitern verurteilt.

Da die meisten Unternehmen bei der Cybersicherheit primär auf vorbeugende Sicherheitskontrollen am Netzwerkrand setzen, konzentrieren sich die Angreifer von heute weiterhin zunächst auf die Umgehung dieser Abwehrmaßnahmen. Die Erfahrung hat sie gelehrt, dass das „Überwinden der Burgmauer“ der schwierige Teil des Angriffs ist. Wenn das gelingt, rechnet der Angreifer damit, mittels Command-and-Control-Kommunikation weitgehend unbehelligt durch das Unternehmensnetzwerk navigieren zu können, um sich lateral an wertvolle Zielobjekte heranzutasten. &

Durch die Umstellung auf eine Multi-Cloud-Implementierung ist der „Rand“ des Unternehmensnetzwerks nicht mehr zentral, statisch und physisch definiert, sondern verteilt („Multi-Cloud“), dynamisch (Konfiguration über die APIs der Cloud-Anbieter) und logisch definiert (öffentliche „floating“ IPs)." Darüber hinaus wurden zwar durch Self-Service-Technologien zur Cloud-Virtualisierung die Effizienz und Skalierbarkeit verbessert, das jedoch auf Kosten von Sicherheit und Transparenz. Die Anzahl der sich immer öfter ändernden, sicherheitsrelevanten Ressourcen und Kontrollen ist heute einfach größer als je zuvor.

Deshalb ist ein neuer Ansatz erforderlich, wobei die Effizienz und Skalierbarkeit einer cloudbasierten Umgebung nicht beeinträchtigt werden dürfen und gleichzeitig bestehende Sicherheitsmaßnahmen durch tiefgehende Transparenz, kontinuierliche Compliance und durchsetzbare Governance verbessert werden müssen.

Verhalten OHNE Mikrosegmentierung

  • Angreifer nutzen ausgeklügelte Methoden, um den Perimeter eines Unternehmensnetzwerks zu durchbrechen (Nord-Süd).
  • Minimale interne Segmentierung ermöglicht Angreifern die laterale Bewegung im Unternehmensnetzwerk (Ost-West).
  • Durch fehlende Transparenz werden die Auswirkungen interner Schwachstellen verstärkt und Angreifer können so lange wie nötig mittels Command-and-Control-Kommunikation unerkannt durch das Unternehmensnetzwerk navigieren.
  • Irgendwann stoßen Angreifer auf wertvolle Datenressourcen, die sie aus dem Unternehmen entwenden.
  • Die meisten Angriffe werden nie aufgedeckt, und falls ja, bleibt der Angreifer durchschnittlich sechs bis zwölf Monate lang unerkannt.

Verhalten MIT Mikrosegmentierung

  • Die Angriffsfläche bleibt sehr klein.
  • Die Ausbreitung im Netzwerk (Ost-West-Datenverkehr) wird minimiert, da durch Mikrosegmentierung sichergestellt wird, dass interne Kontrollen genauso stark sind wie die externen Segmentierungskontrollen am Netzwerkrand.
  • Die umfassende Transparenz des tatsächlichen Netzwerkverhaltens ermöglicht eine schnelle Erkennung von verdächtigen Aktivitäten, z. B. Command-and-Control-Kommunikation bzw. bekannten Bedrohungen (verwertbare Bedrohungsdaten).
  • Dank Mikrosegmentierung können Angriffe frühestmöglich abgewehrt werden.

„Auch der längste Marsch beginnt mit dem ersten Schritt.“

- Laotse

Der Weg zur Mikrosegmentierung

Mikrosegmentierung stellt eine Untergruppe der cloudnativen Governance-Funktionen dar, die in Cloudvisory zur Verfügung stehen.

Gute Governance erfordert tiefgehende Transparenz und eine kontinuierliche Compliance. Für eine schnelle und umfassende Umsetzung der Mikrosegmentierung muss man die ersten Schritte kennen und auch die richtigen Tools zur Verfügung haben.

TRANSPARENZ

TRANSPARENZ

Die Transparenz des tatsächlichen Netzwerkverhaltens ist der erste Schritt zur Umsetzung der Mikrosegmentierung.

  • Agentenlose Erkennung von Ressourcen und zugehörigen Netzwerkströmen in Multi-Cloud-Umgebungen
  • Visualisierung der tatsächlichen Netzwerkströme zwischen Cloud-Workloads, logischen Gruppen, Regionen, Anbieterkonten und Cloud-Anbietern&
  • Ad-hoc-Audits erkannter Cloud-Ressourcen, Kontextinformationen, Sicherheitskontrollen und Vorfälle&
  • Evaluierung empfohlener Änderungen der Netzwerkrichtlinien durch Simulation""
  • Echtzeitnahe Anzeige der Netzwerkströme für eine schnelle Erkennung und Abwehr
  • Vollständiger Verlauf der Netzwerkdaten für forensische Analysen
COMPLIANCE

COMPLIANCE

Transparenz bildet die Basis für Compliance-Prüfungen zur Definition sinnvoller Grenzen für zulässige Self-Service-Regeln und ebnet zugleich den Weg zu einer standardmäßigen Mikrosegmentierung.

  • Kontinuierliches Monitoring zur Sicherstellung der Compliance in Multi-Cloud-Umgebungen
  • Identifizierung bestehender Security Group Rules, die in einer Cloud-Umgebung absolut unerwünscht sind
  • Definition von Ad-hoc-Audits (Transparenz) als regelmäßige Compliance Checks
  • Reaktion auf fehlgeschlagene Compliance Checks durch automatische Benachrichtigung aller Verantwortlichen&
  • Rasche Erkennung bekannter Bedrohungen durch echtzeitnahe Vergleiche der tatsächlichen Netzwerkströme mit Bedrohungsdaten aus TI-Feeds
  • Benutzerdefinierte Orchestrierung der Schadensbehebung in Cloud-Umgebungen nach fehlgeschlagenen Compliance Checks bzw. bei Bekanntwerden von Bedrohungen
GOVERNANCE

GOVERNANCE

Governance ist die Erweiterung von Compliance durch die Festlegung expliziter Regeln für bestimmte Cloud-Workloads und die Durchsetzung einheitlicher Sicherheitsrichtlinien für Cloud-Anbieter, Konten und Regionen.

  • Automatische Erkennung von Richtlinienverstößen und Einleitung entsprechender Gegenmaßnahmen
  • Skalierbare Durchsetzung von workloadspezifischen Mikrosegmentierungsrichtlinien
  • Maschinell generierte Empfehlungen für eine intelligente Optimierung der Cloud-Sicherheit
  • Umsetzung der Mikrosegmentierung im Workload-Kontext oder anhand bestehender „Golden State“-Netzwerkrichtlinien
  • Umsetzung der Mikrosegmentierung in Unternehmen und Geschäftsbereichen in Übereinstimmung mit spezifischen Anforderungen und Ansprüchen

Die Vorteile von Cloudvisory

CSPM+CWPP

Nur FireEye Cloudvisory vereint Sicherheitsmanagement für Cloud-Umgebungen (CSPM) und Schutz von Workloads (CWPP) in einer einzigen Plattform.

Mikrosegmentierung

Cloudvisory nutzt die Sicherheitsfunktionen Ihres Cloud-Anbieters für die Mikrosegmentierung von Workloads.

DevSecOps

Cloudvisory bietet vielfältige Integrationen und Lösungen zur Unterstützung und Verbesserung von DevSecOps-Prozessen.

Sind Sie bereit?

Erfahren Sie mehr über FireEye Cloudvisory oder wenden Sie sich an den Vertrieb, um eine Demo zu vereinbaren.

+49 35185034500 +1 888-227-2721 +32 28962867 +1 877-347-3393 +971 45501444 +358 942451151 +33 170612726 +353 (0)216019160 +39 0294750535 +81 3 4577 4401 +52 5585268207 +31 207941289 +48 223072296 +7 4954658084 +27 105008408 +34 932203202 +94 788155851 +46 853520870 +66 2787 3392 +44 2036087538 +842444581914