Mikrosegmentierung und Firewalls sind beide zentrale Bestandteile einer Zero-Trust-Architektur, sie lösen jedoch unterschiedliche Aufgaben auf verschiedenen Ebenen.
Firewalls filtern den eingehenden und ausgehenden Datenverkehr zwischen internem Netzwerk und externen auf Basis von IP-Adressen, Ports oder Protokollen.
Mikrosegmentierung wirkt dagegen innerhalb des Netzwerks. Sie kontrolliert, welche Systeme, Anwendungen oder Hosts miteinander kommunizieren dürfen, und setzt feingranulare Richtlinien direkt am Workload durch – also auf der Ebene, wo der Datenfluss tatsächlich entsteht.
Warum das relevant ist:
Mikrosegmentierung funktioniert nur dort, wo ein Agent installiert ist. Geräte, auf denen kein Agent installiert ist wie bspw. Drucker, werden nicht von Mikrosegmentierungsregeln erfasst. Selbst wenn ganze IP-Bereiche über Regeln abgedeckt sind, bleibt dieses Gerät ein blinder Fleck, es kann weiterhin Verbindungen aufbauen, da die Kontrolle nicht greift.
Wichtig: Mikrosegmentierung ersetzt keine Firewall!
Eine Firewall kontrolliert den Zugang ins Netzwerk. Mikrosegmentierung regelt den Verkehr im Inneren des Netzwerks.
Hinweis zu CIDR-basierten Mikrosegmenten:
Auch wenn sich Mikrosegmente technisch anhand von IP-Adressbereichen (CIDR) definieren lassen, sollte dies nicht als primärer Mechanismus zur Segmentbildung verwendet werden. CIDR-basierte Regeln ähneln in ihrer Logik klassischen Firewall-Konfigurationen und führen häufig dazu, dass auch nicht betroffene Hosts unnötige Regeln erhalten, was zu erhöhter Komplexität und CPU-Last führen kann.
Empfohlen wird daher eine segmentbasierte Steuerung über konkrete Hostreferenzen oder dynamische Tags, da nur so eine kontextbasierte und durchsetzbare Mikrosegmentierung möglich ist. CIDR-basierte Segmente greifen hingegen nur bei verwalteten Hosts und bieten keinen zuverlässigen Schutz für ungemanagte Geräte (Drucker, alte VMs,..), die keine Regelverarbeitung unterstützen.