Microsegmentatie is een methode voor het creëren van granulaire beveiligde zones in datacenters en cloudimplementaties tot aan individuele workloads met behulp van virtualisatietechnologie om lateraal verkeer te bewaken en te beschermen. Traditionele beveiligingsoplossingen, zoals firewalls, VPN’s en netwerktoegangscontrole (NAC), zijn primair gericht op het beschermen van de perimeter van een netwerk, ook wel bekend als noord-zuidverkeer. Microsegmentatie daarentegen bewaakt en beveiligt het oost-west- of laterale verkeer. Dit omvat server-naar-server-, applicatie-naar-server- en web-naar-server-verbindingen binnen het netwerk.
Door de toenemende acceptatie van softwaregedefinieerde netwerken en netwerkvirtualisatie is er behoefte aan meer gedetailleerde interne beveiligingsmaatregelen. Microsegmentatie vormt de kern van Zero Trust-beveiliging.
Microsegmentatie versus netwerksegmentatie
Organisaties met hardware-gebaseerde omgevingen gebruiken firewalls, VPN’s en VLAN’s voor netwerksegmentatie. Deze methode beschermt de perimeter maar beveiligt geen intern verkeer. Het is gebaseerd op grof beleid dat beperkte controle over het verkeer biedt. Als een aanvaller toegang kan krijgen, wordt hij vertrouwd om zich vrij door het netwerk te verplaatsen. Microsegmentatie heeft tot doel deze ongeautoriseerde verbindingen te blokkeren.
Granulair beveiligingsbeleid wordt aan elk segment toegewezen met microsegmentatie om beveiligingsparameters weg te halen van netwerken en IP-adressen en te focussen op gebruikersidentiteit en applicaties. Dit beleid voorkomt dat ongeautoriseerde gebruikers en applicaties lateraal door een netwerk bewegen. Beleid kan worden gedefinieerd volgens real-world constructies, zoals gebruikersgroepen, toegangsgroepen en netwerkgroepen. Als een beleidsschending wordt gedetecteerd, sturen microsegmentatietools een waarschuwing en blokkeren in sommige gevallen niet-goedgekeurde activiteiten. Duizenden grove beleidsmaatregelen voor elk segment zouden nodig zijn om dezelfde zijdelingse verkeersbescherming te bereiken die microsegmentatie kan bieden.
Core to zero trust beveiliging
Microsegmentatie is de sleutel tot het implementeren van een zero trust-raamwerk. Dit model is gebaseerd op het concept van “vertrouw niets en verifieer alles”. Het is bedoeld om elke afzonderlijke verbinding die binnen het netwerk wordt gemaakt, te verifiëren om te voorkomen dat aanvallers van de ene gecompromitteerde werklast naar de andere gaan. Door workloads te segmenteren en fijnmazig beveiligingsbeleid toe te passen, helemaal tot aan afzonderlijke machines en applicaties, wordt het algehele aanvalsoppervlak van een netwerk verkleind.