Container-Segmentierung: SUSE-Leitfaden erklärt Strategien und Methoden

Ist die DMZ tot? In einer Cloud-nativen IT-Welt reichen klassische Sicherheitskonzepte nicht mehr aus, um Geschäftsanwendungen vor unbefugten Zugriffen zu schützen. Stattdessen rückt das Thema Container-Segmentierung immer stärker in den Fokus. Ein aktueller Guide von SUSE beschreibt, wie dieser Ansatz funktioniert – und was ihn von klassischen Security-Lösungen unterscheidet.

Demilitarisierte Zonen (DMZs) und andere Strategien der Netzwerksegmentierung werden schon seit einiger Zeit zur Absicherung von geschäftskritischen Anwendungen genutzt. Die Abschottung von unterschiedlichen Netzwerkbereichen kann Angreifer abwehren und den „Explosionsradius“ von erfolgreichen Attacken begrenzen. Sollte tatsächlich ein Hacker oder eine Schadsoftware ins Netzwerk eindringen, wird durch die Segmentierung die unkontrollierte Ausbreitung verhindert.

In den letzten Jahren haben sich vor allem die folgenden Strategien zur Netzwerksegmentierung etabliert:

• Demilitarisierte Zonen (DMZ): Alle von außen erreichbaren Systeme – wie etwa die Frontend-Server von Web-Anwendungen – werden in einer DMZ platziert. Perimeter-Firewalls kontrollieren den ein- und ausgehenden Datenverkehr und schützen so das interne Netzwerk.
• Interne Netzwerksegmentierung: Auch hinter der DMZ können mehrere Netzwerksegmente für Anwendungen mit unterschiedlichen Vertrauensstufen eingerichtet werden. Dies ermöglicht es, die Kommunikation mit sensiblen Systemen wie Kundendatenbanken zu überwachen.
• Segmentierung auf Rechenzentrumsebene: In besonders kritischen Fällen werden Anwendungen und Infrastruktur in getrennten Rechenzentren untergebracht, die jeweils über eigene Sicherheitsvorkehrungen verfügen.
• Virtual Private Clouds und Sicherheitsgruppen: Public Cloud-Anbieter verwenden mittlerweile häufig Virtual Private Clouds (VPCs) und Sicherheitsgruppen, um den Datenverkehr zu segmentieren und unterschiedliche Kundenumgebungen sicher voneinander zu trennen.
• Trennung von Daten- und Kontroll-Netzwerk: Dieser Ansatz zielt darauf, die Datenübertragung (Data Plane) von der Steuerungsebene (Control Plane) eines Netzwerks zu trennen. Auf diese Weise soll das Risiko von Datenverlusten durch Überwachungs- und Systemtools minimiert werden.

Alle diese Verfahren versuchen, die Netzwerkkommunikation entsprechend den unterschiedlichen Vertrauensstufen der bereitgestellten Anwendungen zu segmentieren. Sie setzen dabei letztlich auf eine physische Kontrolle mit Hilfe von Systemen wie klassischen Firewalls. Sogar VPCs basieren auf traditionellen Vorstellungen von physischen Netzwerksegmenten.

In einer Cloud-nativen IT-Welt stoßen diese Segmentierungsansätze allerdings an ihre Grenzen, da Workloads dynamisch über alle Netzwerke hinweg bereitgestellt werden und eine klare Unterscheidung von Nord-Süd- und Ost-West-Verkehr gar nicht mehr möglich ist.

Unternehmen müssen daher bei der Absicherung von containerisierten Anwendungen neue Wege gehen. Grundsätzlich geht es bei der Container-Segmentierung darum, die Kommunikation zwischen unterschiedlichen Containern zu beschränken und nur autorisierte Verbindungen zuzulassen. So wird verhindert, dass ein Angriff den gesamten Cluster oder – noch schlimmer – die gesamte Container-Umgebung betrifft. Die Bereitstellung und der Schutz von Containern gehen dabei idealerweise Hand in Hand – ganz gleich, ob die Workloads in der Cloud oder im eigenen Rechenzentrum laufen.

Der SUSE-Guide „Container Segmentation Strategies and Patterns” gibt einen Überblick über aktuelle Ansätze der Container-Segmentierung. DevOps- und Security-Spezialisten erfahren darin unter anderem, wie sich containerisiere Workloads segmentieren lassen, selbst wenn diese auf demselben Host, Netzwerk oder Cluster ausgeführt werden. Die Möglichkeit, Workloads mit unterschiedlichen Vertrauensstufen in einer Infrastruktur zu betreiben, bietet IT-Teams maximale Flexibilität und hilft ihnen, die Ressourcennutzung zu optimieren und die Pipeline zu beschleunigen. Zudem wird es dadurch einfacher, Security- und Compliance-Anforderungen wie die Standards der Kreditkartenindustrie (PCI-DSS) zu erfüllen.

Jetzt den Leitfaden herunterladen