Im Zusammenhang mit Zero-Trust-Networking ist Mikrosegmentierung (Micro-segmentation) eine Sicherheitsstrategie, die ein Netzwerk in extrem kleine, isolierte Segmente unterteilt, um die Ausbreitung von Bedrohungen zu verhindern.
Kernkonzept: Vom „Burggraben“ zum „Zimmersafe“
Traditionelle Netzwerksicherheit gleicht einer Burg: Ein starker Perimeter (Firewall) schützt das Innere. Ist ein Angreifer einmal im Netzwerk, kann er sich oft ungehindert von Server zu Server bewegen (Lateral Movement).
Mikrosegmentierung ändert dies, indem sie:
- Individuelle Sicherheitszonen für jede einzelne Arbeitslast (Workload), Anwendung oder sogar einzelne Prozesse schafft.
- Software-definierte Perimeter nutzt, anstatt sich nur auf physische Hardware-Firewalls oder VLANs zu verlassen.
- Standardmäßiges Blockieren (Default Deny) umsetzt: Nur explizit erlaubte Kommunikation zwischen Segmenten ist möglich.
Die Rolle im Zero-Trust-Modell
Mikrosegmentierung ist ein zentraler Baustein für die Umsetzung von Zero Trust. In einem Zero-Trust-Modell wird keinem Gerät oder Nutzer vertraut, nur weil es sich “innerhalb” des Netzwerks befindet.
- Eindämmung (Blast Radius): Wenn ein System (z.B. ein Webserver) kompromittiert wird, verhindert die Mikrosegmentierung, dass der Angreifer auf andere Teile des Netzwerks (z.B. die Datenbank) zugreifen kann.
- Least Privilege (Minimale Rechte): Es wird sichergestellt, dass Workloads nur über die Ports und Protokolle kommunizieren, die sie zwingend für ihre Funktion benötigen.
- Sichtbarkeit und Kontrolle: Da jeder Datenfluss (“East-West-Traffic” innerhalb des Rechenzentrums) geprüft wird, erhalten Sicherheits-Teams eine präzise Kontrolle über alle internen Aktivitäten.
Beispiel aus der Praxis
Anstatt die gesamte IT-Abteilung in ein Netzwerksegment zu stecken, würde man mittels Mikrosegmentierung festlegen, dass beispielsweise die Personalabrechnungs-App ausschließlich mit der Gehaltsdatenbank kommunizieren darf, aber niemals mit dem Webserver des öffentlichen Blogs.
Im Jahr 2026 gilt die Mikrosegmentierung als Standard, um komplexe hybride Cloud-Umgebungen und Container-Strukturen abzusichern, in denen klassische IP-basierte Regeln oft nicht mehr ausreichen.
