Was ist Identitätssegmentierung?

Identitäten (d. h. Benutzer, Mitarbeiterkonten, Service Accounts, privilegierte Konten) sind eine wichtige Säule im Framework für Zero-Trust-Sicherheit. Da bei mehr als 80 % aller Angriffe Anmeldedaten missbraucht werden, sollte der Perimeter näher an die Benutzer – die „letzte Verteidigungslinie“ – heranrücken.

Identitätssegmentierung ist eine Methode, um Zugriff auf Anwendungen bzw. Ressourcen anhand von Identitäten zu beschränken.

Identitätssegmentierung und identitätsbasierte Segmentierung im Vergleich

Es sollte beachtet werden, dass Identitätssegmentierung von CrowdStrike anders definiert wird als von Gartner mit seiner „identitätsbasierten Segmentierung“. Die Identitätssegmentierung von CrowdStrike setzt risikobasierte Richtlinien auf der Basis von Mitarbeiteridentitäten durch und beschränkt damit den Zugriff auf Ressourcen.

Die identitätsbasierte Segmentierung von Gartner folgt hingegen dem Prinzip der Mikrosegmentierung, d. h. die Richtlinien werden anhand von „Anwendungs- bzw. Workload-Identitäten“ wie Tags und Labels durchsetzt. Sie muss während der Konfiguration mitunter manuell definiert werden und hat mit Mitarbeiteridentitäten nichts zu tun.

Identitätssegmentierung und Netzwerksegmentierung im Vergleich

Im Folgenden wird der Unterschied in der Funktionalität zwischen Netzwerksegmentierung und Identitätssegmentierung erläutert:

PositionNetzwerksegmentierungIdentitätssegmentierung
Transparenz und SicherheitskontrolleDeckt Netzwerkverbindungen und -zonen ab.Deckt Benutzeridentität, Transparenz über Angriffspfad, Authentifizierungs-Infrastruktur, Verhalten und Risiko ab.
RichtlinienRichtlinien werden für Workload-Identitäten, Ports und IP-Adressen angewandt, die sich mit der Ressource bzw. dem Workload verbinden. Richtlinien werden basierend auf Verhalten, Risiko und über 100 Analysen für Identitäten angewandt.
Legacy-SystemschutzSchutz für ältere Systeme ist mitunter schwierig (z. B. wenn bei einem Ransomware-Angriff laterale Bewegung durch kompromittierte Anmeldedaten erfolgt).Schützt ältere Ressourcen und proprietäre Anwendungen durch Erweiterung risikobasierter Identitätsüberprüfung (Multifaktor-Authentifizierung).
OperationalisierungIst beschränkt durch Netzwerkumfang und Anwendungstyp, besonders bei SaaS-Anwendungen und Private Clouds. Zusätzliche Komplexität bei Zonenerstellung und Richtliniendurchsetzung. Schützt lokale und SaaS-Anwendungen unabhängig vom Standort.
IntegrationenIntegration von Bedrohungsdaten, Verhalten und weitere Integrationen sind nötig, um Zugriffskontrollen durchzusetzen.Integrierte Bedrohungsanalyse, Bedrohungserkennung und Prävention in Echtzeit werden durch die CrowdStrike Security Cloud für alle automatisch klassifizierten Mitarbeiter-Identitäten unterstützt, sowohl auf lokalem Active Directory (AD) als auch in der Cloud (Azure AD). APIs lassen sich in SSO- und Verbundlösungen wie Okta, AD FS und PingFederate sowie viele andere Sicherheitstools wie UEBA, SIEM und SOAR integrieren.

Der CrowdStrike-Ansatz für Identitätsschutz

CrowdStrike Falcon Identity Protection rückt den Perimeter mit Identitätssegmentierung näher an die „letzte Verteidigungslinie“ heran und bietet folgende Vorteile:

  • Detaillierter Überblick über mehrere Verzeichnisse und kontinuierlicher Einblick in alle Konten
  • Automatische Klassifizierung aller Konten: menschliche Benutzer, Service Accounts, privilegierte Konten, Konten mit kompromittierten Kennwörtern, inaktive Benutzerkonten und andere
  • Identifizierung von Sicherheitslücken anhand individueller Risikowerte aus über 100 Verhaltensanalysen
  • Überblick über den Angriffspfad, um Bedrohungen während verschiedener Phasen der Angriffskette (z. B. Reconnaissance, laterale Bewegung und Persistenz) zu erkennen
  • Durchsetzung von Segmentierungsrichtlinien, um Zugriff auf Ressourcen anhand von Identität zu beschränken

Network Segmentation vs. Identity Segmentation

Laden Sie dieses Whitepaper herunter und machen Sie sich mit dem CrowdStrike-Ansatz für Identitätssegmentierung vertraut.

<b>Jetzt herunterladen</b>