Zum Inhalt springen
Souverän · Ost-West

Ost-West-Segmentierung mit Wirkungsanalyse

Ost-West-Segmentierung mit Wirkungsanalyse: Obhut macht Flows sichtbar, simuliert Regelwirkung vor der Erzwingung und leitet empfohlene Allow-Regeln aus abgelehnten Flows ab.

Ost-West-Segmentierung beschreibt die Kontrolle des internen Datenverkehrs zwischen Diensten, Hosts und Zonen — also der Verbindungen, die nicht durch den Perimeter, sondern innerhalb des Netzes laufen. Obhut adressiert diese Schicht mit Flow-Sichtbarkeit und Wirkungsanalyse: Linux-Agenten melden reale Verbindungen je Dienst, Ziel, Port und Protokoll, und jede geplante Segmentierungsregel lässt sich gegen die beobachteten Flows bewerten, bevor sie greift. Aus abgelehnten Flows leitet Obhut read-only empfohlene Allow-Regeln ab. Die Produktions-Erzwingung auf der Host-Firewall folgt erst nach Host-Validierung; sie ist heute noch nicht aktiv, sondern ein abgesicherter Linux-Codepfad vor der Freigabe.

Warum laterale Bewegung das eigentliche Risiko ist
Ist ein einzelner Dienst kompromittiert, entscheidet der interne Datenverkehr, wie weit ein Angreifer kommt. Ohne Segmentierung kann sich eine Kompromittierung lateral ausbreiten — von einem exponierten Frontend zu Datenbanken, internen APIs und Adminflächen. Ost-West-Segmentierung begrenzt genau diese Bewegung, indem interne Verbindungen nur noch entlang erlaubter Pfade zwischen Diensten möglich sind. Der Perimeter allein leistet das nicht, weil er den Verkehr innerhalb des Netzes nicht sieht.
Zuerst Sichtbarkeit: die Verbindungslandkarte
Segmentierung beginnt mit Wissen, nicht mit Regeln. Obhut-Agenten auf den Linux-Hosts melden die tatsächlich stattfindenden Verbindungen und verdichten sie zu einer Verbindungslandkarte je Dienst, Ziel, Port und Protokoll. Damit wird sichtbar, welche Ost-West-Flows real existieren, statt sie aus veralteten Diagrammen oder Annahmen zu rekonstruieren. Diese Flow-Sichtbarkeit ist die Grundlage für jede belastbare Segmentierungsentscheidung.
Wirkungsanalyse: Regelwirkung vor der Erzwingung simulieren
Der zentrale Unterschied liegt in der Reihenfolge. Bevor eine Standard-Ablehnung wirkt, bewertet die Wirkungsanalyse jede geplante Regel gegen die beobachteten Flows und zeigt, welche realen Verbindungen sie zulassen oder blockieren würde. So wird eine Regel bewertbar, bevor sie Produktionsverkehr verändert — der klassische Grund, warum Segmentierungsprojekte scheitern, entfällt. US-Anbieter wie Illumio arbeiten mit vergleichbaren Modellen; Obhut baut diese Wirkungsanalyse als eigene Technologie im europäischen Datenpfad.
Empfohlene Allow-Regeln aus abgelehnten Flows
Aus den Flows, die eine Standard-Ablehnung treffen würde, leitet Obhut konkrete Allow-Regeln als Empfehlung ab. Diese Empfehlungen sind bewusst read-only: Sie werden vorgeschlagen und lassen sich prüfen, aber nicht automatisch scharfgeschaltet. So entsteht ein nachvollziehbarer Weg von der Beobachtung zur Regel, ohne dass ein Automatismus unbemerkt in den Produktionsverkehr eingreift. Die Entscheidung bleibt bei den Betreibern.
Erzwingung folgt kontrolliert — und ist heute noch nicht aktiv
Ehrlich eingeordnet: Die Rechner-Firewall-Erzwingung auf den Linux-Hosts existiert als abgesicherter Codepfad, ist aber vor der Produktionsfreigabe. Sie wird erst nach Host-Validierung aktiviert, mit Beobachtungsmodus und Rückfallmechanismen, damit eine falsch gesetzte Regel keinen internen Ausfall auslöst. Bis dahin liefert Obhut die Schichten davor — Flow-Sichtbarkeit, Wirkungsanalyse und empfohlene Allow-Regeln —, auf denen die spätere Erzwingung sicher aufsetzt.
Segmentierung als Baustein für NIS2 und Zero Trust
Mikrosegmentierung ist ein wiederkehrendes Thema in NIS2, DORA und einschlägigen ISO- und BSI-Kontrollen, weil sie laterale Ausbreitung nachweisbar begrenzt. Obhut macht diese Kontrolle über sichtbare, prüfbare Datenflüsse und dokumentierte Regelwirkung adressierbar und liefert Evidenz für Prüfer. Obhut ist dabei ein Baustein einer Zero-Trust-Architektur, keine Zertifizierung und keine Compliance-Garantie.
FAQ

Häufige Fragen zur Ost-West-Segmentierung

Ost-West-Segmentierung ist die Kontrolle des internen Datenverkehrs zwischen Diensten, Hosts und Zonen — also der Verbindungen innerhalb des Netzes, im Gegensatz zum Nord-Süd-Verkehr, der den Perimeter kreuzt. Ziel ist, die laterale Bewegung eines Angreifers nach einer Kompromittierung zu begrenzen, indem interne Verbindungen nur entlang erlaubter Pfade möglich sind. Obhut adressiert diese Schicht mit Flow-Sichtbarkeit, Wirkungsanalyse und empfohlenen Allow-Regeln.

Die Wirkungsanalyse bewertet eine geplante Segmentierungsregel gegen die real beobachteten Flows, bevor sie erzwungen wird. Sie zeigt, welche bestehenden Verbindungen eine Regel zulassen oder blockieren würde, sodass sich die Wirkung prüfen lässt, ohne Produktionsverkehr zu riskieren. Damit wird der häufigste Grund für gescheiterte Segmentierungsprojekte adressiert: das blinde Scharfschalten von Regeln.

Nein, nicht produktiv. Flow-Sichtbarkeit, Wirkungsanalyse und read-only empfohlene Allow-Regeln aus abgelehnten Flows sind vorhanden. Die Rechner-Firewall-Erzwingung auf den Linux-Hosts existiert als abgesicherter Codepfad, ist aber vor der Produktionsfreigabe und wird erst nach Host-Validierung aktiviert. Diese Reihenfolge — erst beobachten, dann erzwingen — ist bewusst gewählt.

Indem interne Verbindungen zwischen Diensten explizit auf erlaubte Pfade beschränkt werden, statt jedem Host freien Zugriff auf alle anderen zu geben. Ist ein Dienst kompromittiert, kann der Angreifer nur noch die freigegebenen Verbindungen nutzen und nicht frei zu Datenbanken, internen APIs oder Adminflächen springen. Obhut macht dafür zuerst sichtbar, welche Flows real existieren, und lässt Regeln vor der Erzwingung gegen diese Flows bewerten.

Die Kernidee — Flows sichtbar machen und Regelwirkung vor der Erzwingung simulieren — ist vergleichbar. Der Unterschied liegt in Jurisdiktion und Herkunft der Technologie: Obhut ist eine europäische Plattform, in Deutschland betrieben, mit eigener Kerntechnologie im Datenpfad statt eines Wrappers über fremder Infrastruktur. Zudem ist Obhut vorab ehrlich über den Reifegrad: Die Produktions-Erzwingung folgt erst nach Host-Validierung.

Mikrosegmentierung adressiert Anforderungen aus NIS2 und angrenzenden Rahmen wie DORA, ISO 27001 und BSI-Vorgaben, weil sie die laterale Ausbreitung nachweisbar begrenzt. Obhut macht diese Kontrolle über sichtbare, prüfbare Datenflüsse und dokumentierte Regelwirkung adressierbar und liefert Evidenz für Prüfer. Obhut ist dabei ein Baustein und ersetzt weder eine Zertifizierung noch eine rechtliche Bewertung Ihrer NIS2-Pflichten.

Die Flow-Erfassung und die Erzwingung setzen auf Linux-Hosts mit dem Obhut-Agenten auf. Der Agent meldet ausgehende Verbindungen und liefert die Grundlage für Verbindungslandkarte und Wirkungsanalyse. Die Rechner-Firewall-Erzwingung ist als Linux-Codepfad angelegt und wird nach Host-Validierung freigegeben.

Sehen, was in Ihrem Netz wirklich verbindet — bevor Sie erzwingen.

Starten Sie kostenlos, setzen Sie den Agenten neben Ihre Dienste und lassen Sie sich die Verbindungslandkarte und die Wirkung geplanter Regeln zeigen — oder begleiten Sie die Erzwingungs-Validierung als Design-Partner.