Skip to content

Was ist Netzwerksegmentierung, und wie verhält sie sich zu einem Zero-Trust-Modell?

Kurzantwort

Segmentierung teilt ein Netzwerk in isolierte Zonen, sodass ein Einbruch in einer die anderen nicht ungehindert erreichen kann, was laterale Bewegung begrenzt. Zero Trust geht weiter: Es entfernt implizites Vertrauen auf Basis des Netzwerkstandorts vollständig und authentifiziert und autorisiert jede Anfrage, egal woher sie stammt – Mikrosegmentierung ist eine Möglichkeit, es umzusetzen.

Beide Ideen greifen dieselbe Schwäche an: die alte Annahme, dass man, sobald man im Netzwerk ist, vertrauenswürdig sei. Dieses Flat-Network-Modell bedeutet, dass ein einziger kompromittierter Host sich frei bewegen kann – genau so verbreitet sich Ransomware.

Netzwerksegmentierung

Segmentierung zerlegt das Netzwerk in isolierte Zonen – per VLAN, Subnetz, Sicherheitsgruppe oder Firewall-Richtlinie – und kontrolliert den zwischen ihnen erlaubten Verkehr. Das Ziel ist, laterale Bewegung einzuschränken: Kompromittiert ein Angreifer eine Workstation in der Benutzerzone, hindert ihn die Segmentierung daran, direkt in die Datenbankebene zu pivotieren. Jede Grenze ist ein Durchsetzungs- und Detektionspunkt. Gut umgesetzt mit feiner Granularität – Mikrosegmentierung – kontrollierst du den Verkehr bis zur einzelnen Workload und erlaubst nur die spezifischen Flüsse, die jeder Dienst benötigt.

Zero Trust

Zero Trust ist die Architekturphilosophie »niemals vertrauen, immer verifizieren«. Sie verwirft die Vorstellung, dass der Netzwerkstandort überhaupt Vertrauen verleiht. Ob eine Anfrage aus dem Firmen-LAN oder aus dem öffentlichen Internet kommt, sie muss auf Basis von Identität, Geräte-Posture und Kontext authentifiziert, autorisiert und kontinuierlich bewertet werden – nicht danach, in welchem Subnetz sie sich befindet. Der Perimeter verlagert sich faktisch zu jeder einzelnen Ressource.

Wie sie zusammenhängen

Segmentierung ist ein Mechanismus; Zero Trust ist das Modell. Mikrosegmentierung ist eine der wichtigsten Methoden, Zero Trust auf der Netzwerkebene umzusetzen – aber Zero Trust ist breiter und legt darüber starke Identität, Geräte-Gesundheitsprüfungen, geringste Rechte und Richtliniendurchsetzung. Du kannst Segmentierung ohne Zero Trust haben (und dem Verkehr innerhalb einer Zone weiterhin vertrauen), aber echtes Zero Trust ohne segmentierungsartige Kontrollen ist kaum möglich.

Worauf Interviewer achten

Eine Antwort auf Senior-Niveau unterscheidet beide sauber: Segmentierung begrenzt laterale Bewegung, Zero Trust beseitigt implizites standortbasiertes Vertrauen. Das Tiefensignal besteht darin, Mikrosegmentierung als eine Umsetzung von Zero Trust zu rahmen und beide mit Identität und geringsten Rechten zu verknüpfen, nicht nur mit VLANs.

Wahrscheinliche Anschlussfragen

  • Was ist laterale Bewegung und wie verlangsamt Segmentierung sie?
  • Was bedeutet »niemals vertrauen, immer verifizieren« in der Praxis?
  • Wie segmentierst du Workloads in einer Cloud-VPC gegenüber On-Prem?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.