# Zero Trust Networking: Architektur & Mikrosegmentierung für Fortgeschrittene

TL;DR / Management Summary Das klassische Sicherheitsmodell (“Harte Schale, weicher Kern”) ist im Zeitalter von Cloud und Home-Office veraltet. Zero Trust Networking folgt der Regel: “Never trust, always verify”. Wir gehen davon aus, dass ein Angreifer bereits im Netz ist. Ein Senior Admin nutzt Mikrosegmentierung (Artikel 710), um jeden Workload einzeln zu isolieren und den Zugriff nicht nur an die IP, sondern an die Geräte-Identität und den User-Kontext zu binden.

# 1. Die Kernprinzipien von Zero Trust

Das Ende des blinden Vertrauens.

1. Explizite Verifizierung: Authentifizierung und Autorisierung bei jedem Zugriff, basierend auf allen verfügbaren Datenpunkten (User, Gerät, Standort, App).
2. Least Privilege Access: Zugriff nur auf das Nötigste beschränken (Just-In-Time & Just-Enough Administration).
3. Assume Breach: Design des Netzwerks unter der Annahme, dass der Host bereits kompromittiert ist.

# 2. Mikrosegmentierung in der Praxis

Die interne Brandmauer.

Während VLANs (Artikel 729) grobe Abteilungen trennen, isoliert Mikrosegmentierung einzelne VMs.

• Technik: Die Proxmox Firewall (Artikel 710) fängt den Traffic direkt an der Bridge des Hosts ab.
• Regel: Ein Webserver darf nur mit dem Datenbank-Server auf Port 5432 sprechen. Jeglicher andere Traffic (z.B. SSH zwischen den Servern) wird blockiert.
• Vorteil: Wenn der Webserver gehackt wird, kann der Angreifer den Datenbank-Server nicht scannen oder angreifen.

# 3. Deep Dive: ZTNA (Zero Trust Network Access)

VPN-Ersatz für die Cloud.

VPNs (Artikel 567) geben dem User oft vollen Zugriff auf ein gesamtes Subnetz. ZTNA ist präziser.

• Konzept: Der User verbindet sich nicht mit dem “Netz”, sondern mit einem App-Connector.
• Nutzen: Der Mitarbeiter sieht nur die Anwendungen, für die er explizit freigeschaltet wurde. Alle anderen IPs im RZ bleiben für ihn unsichtbar (Dark Cloud).

# 4. Day-2 Operations: Identitätsbasierte Richtlinien

Die IP ist tot, das Zertifikat lebt.

In einer Zero Trust Welt ist eine IP-Adresse kein Sicherheitsmerkmal (da sie gefälscht werden kann).

• Aktion: Nutzen Sie mTLS (Mutual TLS) für die Kommunikation zwischen Servern.
• Wirkung: Bevor Server A Daten an Server B schickt, müssen sich beide mit einem gültigen Firmenzertifikat (Artikel 520) gegenseitig ausweisen.

# 5. Troubleshooting & “War Stories”

Wenn die Isolation die Arbeit blockiert.

# Top 3 Fehlerbilder

1. Symptom: “Intermittent Connection Drops”.

   • Ursache: Zu strikte Zeit-basierte Policies (Just-in-Time Access), die den Zugriff kappen, während der Admin noch arbeitet.
   • Lösung: Timeouts an die realen Arbeitsabläufe anpassen.

2. Symptom: Monitoring-System ist blind.

   • Ursache: Mikrosegmentierung blockiert den SNMP/WMI Scan des Monitoring-Hosts.
   • Fix: Erstellen Sie eine “Management-Overlay” Policy, die dem Monitoring-Server den Zugriff erlaubt.

3. Symptom: Hohe Komplexität beim Onboarding neuer Apps.

# “War Story”: Der “Laterale” Ransomware-Stopp

Ein Unternehmen wurde Opfer eines Ransomware-Angriffs über ein infiziertes Office-Dokument eines Buchhalters. Das Ereignis: Der Virus versuchte sofort, die SQL-Datenbanken nach Backups zu scannen. Das Ergebnis: Da die Firma Mikrosegmentierung auf den Proxmox-Hosts aktiv hatte, durfte der Laptop des Buchhalters physisch nur mit dem Mailserver und dem Intranet sprechen. Der Scan-Versuch auf das Server-VLAN wurde von der Proxmox-Firewall sofort blockiert und ein Alarm an das SOC (Artikel 585) gesendet. Lehre: Zero Trust verhindert den Einbruch nicht, aber es verhindert die Ausbreitung (Containment). Der Schaden blieb auf einen einzigen Laptop begrenzt.

# 6. Monitoring & Reporting

Compliance-Check.

# Zero Trust Visibility

Überwachen Sie mit Tools wie Cilium (Artikel 774) den Datenfluss.

• KPI: Blocked Lateral Connection Attempts.
• Aktion: Analysieren Sie jeden Block-Event als potenziellen Sicherheitsvorfall.

# 7. Fazit & Empfehlung

Zero Trust ist der Goldstandard für moderne Infrastrukturen.

• Empfehlung: Beginnen Sie mit der Mikrosegmentierung Ihrer kritischen Tier-0 Server (DC, PKI).
• Wichtig: Zero Trust ist eine Reise. Es erfordert eine enge Zusammenarbeit zwischen Netzwerk-, System- und Sicherheits-Teams.

# Anhang: Die 5 Stufen zum Zero Trust

1. Named Users & MFA überall.
2. Geräte-Inventarisierung & Compliance-Checks.
3. VLAN Segmentierung (Nord-Süd Traffic).
4. Mikrosegmentierung (Ost-West Traffic).
5. Kontinuierliche Analyse & dynamische Richtlinien.

# Referenzen

• NIST SP 800-207: Zero Trust Architecture
• Google: BeyondCorp - A New Approach to Enterprise Security
• Microsoft: Zero Trust Maturity Model