Was ist Identitätssegmentierung?
Identitäten (d. h. Benutzer, Mitarbeiterkonten, Service Accounts, privilegierte Konten) sind eine wichtige Säule im Framework für Zero-Trust-Sicherheit. Da bei mehr als 80 % aller Angriffe Anmeldedaten missbraucht werden, sollte der Perimeter näher an die Benutzer – die „letzte Verteidigungslinie“ – heranrücken.
Identitätssegmentierung ist eine Methode, um Zugriff auf Anwendungen bzw. Ressourcen anhand von Identitäten zu beschränken.
Identitätssegmentierung und identitätsbasierte Segmentierung im Vergleich
Es sollte beachtet werden, dass Identitätssegmentierung von CrowdStrike anders definiert wird als von Gartner mit seiner „identitätsbasierten Segmentierung“. Die Identitätssegmentierung von CrowdStrike setzt risikobasierte Richtlinien auf der Basis von Mitarbeiteridentitäten durch und beschränkt damit den Zugriff auf Ressourcen.
Die identitätsbasierte Segmentierung von Gartner folgt hingegen dem Prinzip der Mikrosegmentierung, d. h. die Richtlinien werden anhand von „Anwendungs- bzw. Workload-Identitäten“ wie Tags und Labels durchsetzt. Sie muss während der Konfiguration mitunter manuell definiert werden und hat mit Mitarbeiteridentitäten nichts zu tun.
Identitätssegmentierung und Netzwerksegmentierung im Vergleich
Im Folgenden wird der Unterschied in der Funktionalität zwischen Netzwerksegmentierung und Identitätssegmentierung erläutert:
| Position | Netzwerksegmentierung | Identitätssegmentierung |
|---|---|---|
| Transparenz und Sicherheitskontrolle | Deckt Netzwerkverbindungen und -zonen ab. | Deckt Benutzeridentität, Transparenz über Angriffspfad, Authentifizierungs-Infrastruktur, Verhalten und Risiko ab. |
| Richtlinien | Richtlinien werden für Workload-Identitäten, Ports und IP-Adressen angewandt, die sich mit der Ressource bzw. dem Workload verbinden. | Richtlinien werden basierend auf Verhalten, Risiko und über 100 Analysen für Identitäten angewandt. |
| Legacy-Systemschutz | Schutz für ältere Systeme ist mitunter schwierig (z. B. wenn bei einem Ransomware-Angriff laterale Bewegung durch kompromittierte Anmeldedaten erfolgt). | Schützt ältere Ressourcen und proprietäre Anwendungen durch Erweiterung risikobasierter Identitätsüberprüfung (Multifaktor-Authentifizierung). |
| Operationalisierung | Ist beschränkt durch Netzwerkumfang und Anwendungstyp, besonders bei SaaS-Anwendungen und Private Clouds. Zusätzliche Komplexität bei Zonenerstellung und Richtliniendurchsetzung. | Schützt lokale und SaaS-Anwendungen unabhängig vom Standort. |
| Integrationen | Integration von Bedrohungsdaten, Verhalten und weitere Integrationen sind nötig, um Zugriffskontrollen durchzusetzen. | Integrierte Bedrohungsanalyse, Bedrohungserkennung und Prävention in Echtzeit werden durch die CrowdStrike Security Cloud für alle automatisch klassifizierten Mitarbeiter-Identitäten unterstützt, sowohl auf lokalem Active Directory (AD) als auch in der Cloud (Azure AD). APIs lassen sich in SSO- und Verbundlösungen wie Okta, AD FS und PingFederate sowie viele andere Sicherheitstools wie UEBA, SIEM und SOAR integrieren. |
Der CrowdStrike-Ansatz für Identitätsschutz
CrowdStrike Falcon Identity Protection rückt den Perimeter mit Identitätssegmentierung näher an die „letzte Verteidigungslinie“ heran und bietet folgende Vorteile:
- Detaillierter Überblick über mehrere Verzeichnisse und kontinuierlicher Einblick in alle Konten
- Automatische Klassifizierung aller Konten: menschliche Benutzer, Service Accounts, privilegierte Konten, Konten mit kompromittierten Kennwörtern, inaktive Benutzerkonten und andere
- Identifizierung von Sicherheitslücken anhand individueller Risikowerte aus über 100 Verhaltensanalysen
- Überblick über den Angriffspfad, um Bedrohungen während verschiedener Phasen der Angriffskette (z. B. Reconnaissance, laterale Bewegung und Persistenz) zu erkennen
- Durchsetzung von Segmentierungsrichtlinien, um Zugriff auf Ressourcen anhand von Identität zu beschränken
Network Segmentation vs. Identity Segmentation
Laden Sie dieses Whitepaper herunter und machen Sie sich mit dem CrowdStrike-Ansatz für Identitätssegmentierung vertraut.
<b>Jetzt herunterladen</b>
