Zero Trust Inside: Gerätesegmentierung für Zweigstelle, Fabrik und Campus

Legacy Netzwerk- und Sicherheitsarchitekturen

In der heutigen komplexen digitalen Landschaft bleibt die laterale Bedrohungsbewegung innerhalb von Niederlassungen, Fabriken und Campus – wo Malware oder Angreifer über ein Netzwerk hinweg agieren – eine große Herausforderung für die Cybersicherheit. Herkömmliche Lösungen, die auf teuren Firewalls oder komplexen Netzwerkzugriffskontrollen (NAC) basieren, sind oft unzureichend, da sie entweder auf stark veralteten Methoden beruhen oder Endpunktagenten erfordern, deren Bereitstellung nicht immer praktikabel ist. Die Zero Trust Device Segmentation von Zscaler bietet eine optimierte, skalierbare Antwort auf diese Sicherheitshindernisse ohne die Komplexität der herkömmlichen Netzwerksegmentierung. Mit einer von Telkonetzwerken inspirierten Zero Trust-Architektur bietet sie eine effektive Strategie zur Isolierung und zum Schutz aller Geräte in Unternehmensnetzwerken.

Das große Problem: Seitliche Bedrohungsbewegung

1. Nicht segmentierte Geräte innerhalb der Niederlassung und Fabrik: Trotz jahrelanger Einführung zusätzlicher punktueller Sicherheitslösungen erlauben herkömmliche Methoden der Netzwerksegmentierung immer noch eine laterale Bewegung. Angreifer können ein Gerät kompromittieren und sich dann seitlich ausbreiten, wodurch vertrauliche Daten offengelegt werden oder der Betrieb gestört wird. Diese „Ost-West“-Bedrohungsbewegung ist insbesondere in Branchen problematisch, in denen die Verfügbarkeit von entscheidender Bedeutung ist, wie etwa im Gesundheitswesen, in der Fertigung, bei kritischen Infrastrukturen, und wo die Netzwerke oft relativ „flach“ sind.

2. Mängel älterer Segmentierungslösungen Viele vorhandene Segmentierungslösungen basieren auf Zugriffskontrolllisten (ACLs) oder NAC-Richtlinien, die eine kontinuierliche manuelle Verwaltung erfordern und für moderne Netzwerke nicht gut skalierbar sind. Darüber hinaus basieren viele Lösungen auf der Bereitstellung von Agenten auf mehreren Geräten. Dies kann in Umgebungen mit Altsystemen, IoT-Geräten und Betriebstechnologie-Ressourcen (OT), die keine agentenbasierte Sicherheit unterstützen, nicht praktikabel sein.

3. Fehlende unternehmensweite Geräteisolierung Das Zero-Trust-Prinzip besagt, dass keinem Gerät, User oder Netzwerksegment standardmäßig vertraut werden sollte. Allerdings fehlt in herkömmlichen Unternehmensnetzwerken oft eine echte Geräteisolierung, sodass Lücken entstehen, über die sich Bedrohungen ausbreiten können. Dies gilt insbesondere für die grobe Segmentierung, die durch den Einsatz von Ost-West-Firewalls und herkömmlicher Perimetersicherheit erreicht wird.Der Ansatz von Zscaler, bei dem jedes Gerät einzeln in ein eigenes alleiniges Netzwerk segmentiert wird, minimiert dieses Risiko, indem sichergestellt wird, dass Geräte nur dort kommunizieren können, wo es ausdrücklich erlaubt ist.

Ein von der Telekommunikation inspirierter Ansatz

Trotz Millionen von Usern wird über die Teilnehmernetze der Telekommunikationsunternehmen niemals Schadsoftware von einem Telefon auf ein anderes übertragen. Wie? In diesen Systemen arbeitet jedes Teilnehmergerät isoliert, wodurch eine seitliche Bewegung verhindert wird. Beispielsweise hat ein kompromittiertes Mobilgerät mit einem Abonnement keine Auswirkungen auf andere Geräte. Zscaler verfolgt mit seiner Zero Trust Device Segmentation eine ähnliche Strategie: Jedes Gerät wird effektiv in seinem eigenen isolierten „Netzwerk“ platziert, wodurch seine Fähigkeit zur seitlichen Verbindung eingeschränkt wird.

So funktioniert die Gerätesegmentierung

Die Zero Trust Device Segmentation von Zscaler zielt darauf ab, die Segmentierung zu vereinfachen, indem Zero Trust-Sicherheit direkt in die Netzwerkinfrastruktur eingebettet wird. Hier ist eine Aufschlüsselung der wichtigsten Bereitstellungs- und Betriebsmechanismen:

1. Einfache Bereitstellung

• Platzierung: Das Zscaler Edge-Gerät wird neben dem Core-Switch auf einem Trunk-Port bereitgestellt und erstellt so ein nahtloses Gateway zum Abfangen und Verwalten von Geräteverbindungen.
• Hochverfügbarkeitskonfiguration: Normalerweise werden zwei Geräte als aktives und Standby-Paar installiert, um einen unterbrechungsfreien Dienst und Widerstandsfähigkeit gegenüber einzelnen Ausfallpunkten zu gewährleisten.

2. Automatische Gerätesegmentierung

• SVI-Deaktivierung: Nach der Bereitstellung wird die Switch Virtual Interface (SVI) des Switches für das VLAN deaktiviert und das Zscaler Edge-Gerät übernimmt die Rolle des Standard-Gateways.
• Netzmaskenanpassung zur Isolierung: Wenn Geräte ihre IP-Leases erneuern, ändert das Gerät ihre Netzmaske in eine /32 und isoliert effektiv jedes Gerät mit einer einzigartigen Subnetzmaske.
• Umgang mit Geräten mit statischer IP: Für statische Geräte bietet Zscaler automatisierte Skripte, die deren Netzmaskenkonfigurationen ohne Ausfallzeiten oder Sitzungsabbrüche aktualisieren und so eine nahtlose Integration in Hochverfügbarkeitsumgebungen wie Krankenhäusern und Firmengeländen ermöglichen.

Alles inventarisieren, überall durchsetzen

Sobald die Zero Trust Device Segmentation von Zscaler bereitgestellt ist, ermöglicht sie eine detaillierte Kontrolle und Transparenz im gesamten Netzwerk:

1. Geräteklassifizierung und dynamische Gruppierung

• Die Plattform von Zscaler erkennt, klassifiziert und gruppiert Geräte selbstständig nach Typ (z. B. Drucker, IoT-Geräte, Android-Geräte). Wenn neue Geräte hinzugefügt oder entfernt werden, werden die Gruppenmitgliedschaften dynamisch aktualisiert und bieten so kontinuierliche Transparenz in Echtzeit.
• Gruppierungsflexibilität: Gerätegruppierungen können basierend auf Typ, Betriebssystem oder userdefinierten Attributen konfiguriert werden, was eine gezielte Richtliniendurchsetzung und eine vereinfachte Verwaltung ermöglicht.

2. Richtliniendurchsetzung mit rollenbasierter Kontrolle

• Es können Richtlinien erstellt werden, um die Kommunikation zwischen bestimmten Gerätetypen, Regionen oder Organisationseinheiten einzuschränken. So können Administratoren beispielsweise die Kommunikation von Kameras mit Druckern einschränken oder den internen Remote Desktop Protocol (RDP)-Zugriff organisationsweit blockieren, um die Angriffsfläche deutlich zu verringern.
• Umfangsanpassung: Richtlinien können global, regional oder lokal angewendet werden und bieten Flexibilität für Organisationen mit komplexen, verteilten Netzwerken.
• Zentralisiertes Verwaltungsportal: Die Plattform von Zscaler umfasst ein Verwaltungsportal mit rollenbasierter Zugriffskontrolle, das es Administratoren ermöglicht, Richtlinien festzulegen, die Netzwerkaktivität anzuzeigen und Anpassungen in Echtzeit vorzunehmen.

3. Volle Ost-West-Sichtbarkeit

• Die Plattform bietet eine visuelle Karte der Netzwerkaktivität und erfasst alle Verkehrsflüsse im gesamten Netzwerk. Diese Sichtbarkeit umfasst sowohl Nord-Süd- (externe) als auch Ost-West-Verkehrsmuster (intern) und ermöglicht so eine schnelle Diagnose von Netzwerkproblemen.
• Farbcodierte Flussindikatoren: Netzwerk-Ereignisse werden mit intuitiven Farbcodes dargestellt: Rot für blockierten Datenverkehr, Grün für zulässige Verbindungen und Schwarz für Standardrichtlinien. Administratoren können einfach die MAC-Adresse, den Hostnamen oder die IP eines Geräts eingeben, um dessen Interaktionen in Echtzeit anzuzeigen und so eine schnellere Fehlerbehebung zu ermöglichen.

Warum Zscaler?

Die einzigartige Architektur der Zero Trust Device Segmentation von Zscaler bietet wesentliche Vorteile gegenüber herkömmlichen Methoden:

1. Reduzierung von Komplexität und Kosten

• Da keine Ost-West-Firewalls und komplizierten Zugriffskontrollmechanismen mehr erforderlich sind, reduziert Zscaler die Netzwerkkomplexität und die Aktualisierungskosten erheblich. Administratoren müssen keine umfangreichen ACLs mehr verwalten oder sich auf Firewall-Regelaktualisierungen verlassen, um die Segmentierung aufrechtzuerhalten.

2. Agentenlose Segmentierung für Legacy- und IoT-Geräte

• Viele Legacy- und IoT-Geräte können keine Agenten unterstützen, weshalb ihre Absicherung mit herkömmlichen Lösungen schwierig ist. Der agentenlose Ansatz von Zscaler macht ihn zu einer idealen Lösung für Industrieumgebungen, intelligente Einrichtungen und andere Umgebungen mit unterschiedlichen Gerätetypen.

3. Verbesserte Compliance und Erkennung

• Die automatische Geräteerkennung und -klassifizierung von Zscaler optimiert die Einhaltung von Branchenvorschriften, indem sie sicherstellt, dass alle Geräte erfasst und geschützt sind. Darüber hinaus hilft die zentrale Ansicht der Netzwerkflüsse dabei, potenzielle Sicherheitsvorfälle oder Richtlinienverstöße schnell zu erkennen.

4. Schnelle Bereitstellung und Flexibilität

• Die Lösung von Zscaler lässt sich schnell bereitstellen – oft innerhalb eines Tages – und ermöglicht so eine schnelle Wertschöpfung. Die Konfigurationsoptionen bieten Flexibilität, sodass Unternehmen die Segmentierung an ihre betrieblichen Anforderungen anpassen können, ohne dass es zu Ausfallzeiten oder langen Projektzeitplänen kommt.

Gängige Anwendungsfälle für die Gerätesegmentierung

Automatische Geräteerkennung und -klassifizierung

• Ideal für Umgebungen mit einer Mischung aus bekannten und unbekannten Geräten, wie etwa im Gesundheitswesen oder in der Fertigung. Durch die Automatisierung des Erkennungsprozesses ermöglicht Zscaler Administratoren, sowohl verwaltete als auch nicht autorisierte Geräte im Auge zu behalten und so die Netzwerkintegrität sicherzustellen.

Agentenlose Segmentierung für Legacy-, IoT- und OT-Geräte

• Branchen mit operativen Technologieanlagen wie Energie und Fertigung profitieren von der agentenlosen Segmentierung von Zscaler, die robuste Sicherheit bietet, ohne die Produktion zu unterbrechen oder eine Nachrüstung von IP-Endpunkten zu erfordern.

Beseitigung von Ost-West-Firewalls

• Da herkömmliche interne Firewalls nicht mehr erforderlich sind, minimiert Zscaler die Angriffsfläche und senkt die Infrastrukturkosten. Dies ist insbesondere für Organisationen nützlich, die die IT von der OT isolieren oder wichtige Produktionslinien trennen müssen, die ansonsten eine umfangreiche Firewall-Verwaltung erfordern würden.

Das Ende lateraler Bedrohungen innerhalb der Niederlassung, der Fabrik und des Campus

Zscaler Zero Trust Device Segmentation führt einen modernen, effizienten Ansatz zur Zero Trust-Segmentierung für Geräte in Zweigstellen, Fabriken und auf dem Campus ein. Mit der Möglichkeit, jedes Gerät einzeln zu isolieren, herkömmliche Firewalls zu eliminieren und Richtlinien zentral zu verwalten, vereinfacht Zscaler die komplexe Aufgabe der Segmentierung. Inspiriert durch das von Natur aus isolierte Telkomodell sorgt es für Zero Trust auf allen Geräten und unterstützt sowohl die Sicherheit als auch die Betriebskontinuität.

Für Unternehmen, die mit Segmentierungsproblemen zu kämpfen haben, bietet die Lösung von Zscaler die Möglichkeit, echte Sicherheit und Ausfallsicherheit auf Geräteebene zu erreichen – und das innerhalb eines Tages. Mit Zscaler ist die Segmentierung kein langwieriges, ressourcenintensives Projekt mehr, sondern eine optimierte, überschaubare Lösung, die den heutigen Zero-Trust-Prinzipien entspricht. Als Teil von Zscaler Zero Trust für Zweigstellen und Cloud können Sie die Zero-Trust-Prinzipien jetzt überall in Ihrem Unternehmen anwenden.
Weitere Informationen zu Innovationen im Bereich) Zero Trust für Zweigstellen und Cloud finden Sie unter zscaler.com/ztsegmentation