In unserem Bericht Der Zustand der Segmentierung im Jahr 2023 sind wir zu dem Ergebnis gekommen, dass die größte Hürde bei der Implementierung einer Segmentierung geschäftskritischer Assets der allgemeine Mangel an Fachkompetenten und -kenntnissen ist. Wenn wir erreichen wollen, dass mehr Teams ihre Workloads und kritischen Anwendungen segmentieren, müssen wir die Implementierung der Segmentierung einfacher und schneller machen.

Die Kennzeichnung ist der zentrale Bestandteil jeder softwarebasierten Segmentierung und Mikrosegmentierung. Die Durchsetzung von Sicherheitsrichtlinien wurde von zugrunde liegenden physischen Eigenschaften wie Port und IP abstrahiert und wird basierend auf der Kennzeichnung einer bestimmten Komponente, eines Rechners oder einer Rechnergruppe angewendet. Es ließe sich beispielsweise eine Sicherheitsrichtlinie erstellen, die bei der folgenden Kennzeichnung alle direkten Verbindungen aus dem Internet zu allen Komponenten an jedem beliebigen Port und über jedes Protokoll blockiert: Rolle = Datenbank oder Anwendung = CRM (Customer Relationship Management).

Das Problem besteht darin, dass es in vielen Unternehmen nicht keine zentrale Datenquelle mit einem vollständigen und aktuellen Satz der Servermetadaten gibt. Diese wird aber gebraucht, um die Richtigkeit der Kennzeichnung und die korrekte Durchsetzung einer umfassenden Sicherheitsrichtlinie zu gewährleisten. Weil die Metadaten fehlen, wird die Kennzeichnung zu einem aufwändigen manuellen Untersuchungsprozess – und unserer Erfahrung nach hat dieser Umstand die Implementierung von Lösungen bei einigen unserer eigenen Kunden verzögert.