Beschreiben der Netzwerksegmentierung in Azure

  • 2 Minuten

Bei Segmentierung geht es darum, etwas in kleinere Einheiten zu teilen. Eine Organisation besteht beispielsweise in der Regel aus kleineren Geschäftseinheiten wie Personal, Vertrieb, Kundendienst und mehr. In einer Büroumgebung ist es üblich, dass jede Geschäftseinheit über einen eigenen dedizierten Bürobereich verfügt, während sich Mitglieder derselben Einheit ein Büro teilen. Dadurch können Mitglieder derselben Geschäftseinheit räumlich getrennt von anderen Einheiten zusammenarbeiten und dabei die Vertraulichkeitsanforderungen des Unternehmens erfüllen.

Das gleiche Konzept gilt für Unternehmens-IT-Netzwerke. Hauptgründe für die Netzwerksegmentierung:

  • Die Möglichkeit, verwandte Ressourcen zu gruppieren, die Bestandteil von Workloadvorgängen sind (oder diese unterstützen).
  • Isolation von Ressourcen.
  • Von der Organisation festgelegte Governancerichtlinien.

Die Netzwerksegmentierung unterstützt für Sicherheitszwecke außerdem das Zero Trust-Modell und einen Ansatz mit mehreren Ebenen als Teil einer Strategie zur tiefgreifenden Verteidigung.

Von einer Sicherheitsverletzung auszugehen, ist ein Prinzip des Zero Trust-Modells. Die Fähigkeit, einen Angreifer aufzuhalten, ist daher entscheidend für den Schutz von Informationssystemen. Wenn Workloads (oder Teile einer bestimmten Workload) in separaten Segmenten platziert werden, können Sie den Datenverkehr von/zu diesen Segmenten kontrollieren, um Kommunikationspfade zu schützen. Wird ein Segment kompromittiert, können Sie die Auswirkungen besser eindämmen und die seitliche Ausbreitung des Angriffs im Rest des Netzwerks verhindern.

Netzwerksegmentierung kann Interaktionen zwischen Perimetern schützen. Dieser Ansatz kann den Sicherheitsstatus einer Organisation erhöhen, Risiken durch eine Sicherheitsverletzung verringern, und Angreifer daran hindern, Zugriff auf eine gesamte Workload zu erlangen.

Azure Virtual Network

Azure Virtual Network (VNet) ist der Grundbaustein für das private Netzwerk Ihrer Organisation in Azure. Ein virtuelles Netzwerk ist ähnlich einem herkömmlichen Netzwerk, das Sie in Ihrem Rechenzentrum betreiben, bietet jedoch die zusätzliche Vorteile der Infrastruktur von Azure, z. B. Skalierbarkeit, Verfügbarkeit und Isolation.

Mit einem virtuellen Azure-Netzwerk können Organisationen ihr Netzwerk segmentieren. Organisationen können mehrere virtuelle Netzwerke pro Region und Abonnement erstellen, sowie mehrere kleinere Netzwerke (Subnetze) innerhalb jedes virtuellen Netzwerks.

VNets bieten die Kapselung von Ressourcen auf Netzwerkebenen, wobei standardmäßig kein Datenverkehr über VNets hinweg oder eingehend in das virtuelle Netzwerk zugelassen wird. Die Kommunikation muss ausdrücklich ermöglicht werden. Dies bietet mehr Kontrolle darüber, wie Azure-Ressourcen in einem virtuellen Netzwerk mit anderen Azure-Ressourcen, dem Internet und lokalen Netzwerken kommunizieren.

Diagram depicting network segmentation using Azure Virtual Networks.