5 Anwendungsfälle für den Einsatz von Mikrosegmentierung in öffentlichen Cloud-Umgebungen

Öffentliche Clouds haben flexible On-Demand-Umgebungen geschaffen, die einfach skaliert werden können, um den sich ändernden Geschäftsanforderungen gerecht zu werden. Anwendungen haben sich von statischen monolithischen Codeblöcken zu Microservices entwickelt, die bei verschiedenen Public-Cloud-Anbietern, in verschiedenen Regionen und mit unterschiedlichen Betriebssystemen bereitgestellt werden können, die auf Automatisierung im großen Maßstab angewiesen sind. Dies stellt bestehende Sicherheitspraktiken in Frage, um das Risiko zu verringern und die laterale Bewegung böser Akteure zu verhindern.

Als Umfang und Umfang von Cyberangriffe entwickeln sich ständig weiter, immer mehr Unternehmen implementieren Mikrosegmentierung als wesentlichen Bestandteil einer Defense-in-Depth-Strategie. Laut einer aktuellen Umfrage unter über 300 IT-Fachleuten haben 45 Prozent derzeit ein Segmentierungsprojekt oder planen eines.

Alle großen Public-Cloud-Anbieter haben ihre eigenen Cloud-Sicherheitslösungen, die auch eine grundlegende Durchsetzung von Richtlinien ermöglichen. Wenn Ihr Cloud-Computing skaliert, können Sie Ihren Public-Cloud-Anbieter um eine Erhöhung der Sicherheitsgruppen bitten, was die betriebliche Komplexität erhöht und das Risiko erhöht, das durch eine Aufblähung von Regeln entsteht. Darüber hinaus sind diese Cloud-Sicherheitstools in der Gesamtarchitektur isoliert. Jede Sicherheitslösung lässt sich in der Sandbox nicht gut mit anderen kombinieren, und das Korrelieren einer Sicherheitsverletzung zwischen allen ist eine umständliche Aufgabe, die zu großen Verzögerungen bei der Behebung führt. Weitere Informationen zu dieser Herausforderung finden Sie unter schau dir diesen Beitrag an von meinem Kollegen Christer.

Sicherheitskontrollen haben entwickelt und bieten jetzt die Möglichkeit, die Cloud-Computing-Instanz im Kontext der Anwendung und des Geschäftsprozesses zu sehen, sodass Benutzer Risiken besser verstehen und Richtlinien erstellen können, indem sie die native, integrierte zustandsbehaftete Firewall in jeder Recheninstanz verfügbar.

Der erste Schritt im Leben einer Packung, bei ihrer Geburt, ist Richtlinie anhängen. Zu dem Zeitpunkt, zu dem ein Paket die Netzwerkweiterleitungsebene erreicht, ist die Sicherheit bereits gewährleistet. Dieser Ansatz bringt die Cloud-Sicherheit sehr nah an das Geschehen und die Kontrollen heran — unabhängig vom Netzwerk. Netzwerk und Sicherheit sind entkoppelt um das Beste aus beiden Welten herauszuholen.

In diesem Beitrag werde ich fünf öffentliche Antworten geben Cloud-Sicherheit Fragen, die sich häufig stellen, wenn Unternehmen eine Mikrosegmentierung in Betracht ziehen.

1. Kann die Cloud-Sicherheit während des gesamten Lebenszyklus eines Workloads durchgesetzt werden?

Absolut. Cloud-Sicherheitskontrollen werden während des gesamten Lebenszyklus automatisch für einen Workload durchgesetzt, von der Erstellung bis zur Beendigung.

Durch die Integration von Orchestrierungstools (wie Ansible, Chef, Puppet) in das Application Program Interface (API) von Illumio werden Workloads gepaart mit Die Policy Compute Engine (PCE) von Illumio. Beim Pairing werden die mit einer Arbeitslast verknüpften Tags den Bezeichnungen auf dem PCE zugeordnet, und die Arbeitslast erbt die richtigen Sicherheitsrichtlinien, die mithilfe der Labels auf dem PCE erstellt wurden. Wenn ein Workload falsch etikettiert ist, lösen wechselnde Bezeichnungen automatisch entsprechende Richtlinienänderungen aus. Wenn sich die IP-Adresse eines Workloads ändert, übernimmt der PCE die neue IP-Adresse automatisch. Da die Sicherheitsrichtlinien vom Netzwerk entkoppelt sind, sind keine weiteren Änderungen erforderlich. Wenn ein Workload beendet wird, löst PCE automatisch entsprechende Richtlinienänderungen aus.

Durch die Entkopplung des Netzwerks von der Segmentierung werden Richtlinienänderungen automatisch ausgelöst, wodurch die richtigen Sicherheitskontrollen für einen Workload während seines gesamten Lebenszyklus durchgesetzt werden. Sicherheit war schon immer wichtig, aber da Unternehmen immer abhängiger von Software werden, um ihr Geschäft voranzutreiben, wird es immer wichtiger, die richtigen Sicherheitsmaßnahmen zu treffen, um das Geschäftsrisiko zu minimieren.

2. Ist die Sichtbarkeit von Anwendungen in der Public Cloud in Echtzeit möglich?

Darauf kannst du wetten. Bewerbungen liegen nicht auf einer Insel. Sie sprechen miteinander, und so funktionieren Geschäftsprozesse.

Einblicke in Anwendungsabhängigkeiten in Echtzeit helfen uns, das Anwendungsverhalten zu verstehen, das zu genauen Segmentierungsrichtlinien führt. Anwendungsorientierte Transparenz ist die entscheidende Grundlage für gute Sicherheit, da Microservices bei verschiedenen Public-Cloud-Anbietern und in verschiedenen Regionen eingesetzt werden.

Illumio Core (früher bekannt als Illumio ASP) bietet eine Echtzeit Abbildung der Anwendungsabhängigkeiten genannt Illumination, die die Kommunikation zwischen Workloads und Anwendungen visualisiert. Die Linien auf der Karte stellen die erkannten Verkehrsflüsse zwischen Workloads dar, unabhängig davon, ob sie sich in der Cloud oder vor Ort befinden. Illumio färbt die Linien rot und grün, um anzuzeigen, ob die Verbindung von zugelassen oder blockiert wird Mikrosegmentierung politik.

Der folgende Screenshot zeigt die Anwendungsabhängigkeitskarte des Verwaltung von Vermögenswerten Bewerbung in der Produktion Umwelt. Hier stellen Linien auf der Karte die erkannten Verkehrsflüsse zwischen Workloads dar. Illumio färbt die Linien rot und grün, um anzuzeigen, ob die Verbindung aufgrund einer Mikrosegmentierungsrichtlinie zugelassen oder blockiert ist. Eine grüne Linie bedeutet, dass eine Richtlinie erstellt wurde, die die Verbindung zulässt. Eine rote Linie bedeutet, dass keine Richtlinie existiert und die Verbindung blockiert wird, wenn in den Erzwingungsmodus gewechselt wird. Rote und grüne Linien machen es unglaublich einfach, Ihre Segmentierungsrichtlinie und Richtlinienverstöße zu visualisieren. Leiden Sie unter Farbenblindheit? Illumio ASP bietet Benutzern eine Farbsehschwäche Option.

Wenn Illumios Agent, der Virtueller Erzwingungsknoten (VEN), wird auf einem Workload installiert und mit dem PCE gekoppelt, sodass Sichtbarkeit und Durchsetzung verfügbar sind. Die Kopplung eines VEN mit einem PCE wird mithilfe von Tools wie Ansible und Terraform automatisiert.

Wenn der VEN nicht auf einem Workload installiert ist, werden Lösungen verwendet, die gemeinsam genutzt werden von Illumio Labs, können Kunden die Anwendungsabhängigkeit von Workloads, die auf Microsoft Azure und Amazon AWS ausgeführt werden, auf dem PCE visualisieren.

3. Kann ich meine Cloud-Sicherheitskontrollen für mehrere Clouds validieren?

Das können Sie auf jeden Fall, ohne Ihre Anwendung zu unterbrechen. Eine der größten Herausforderungen bei einer Multi-Cloud-Bereitstellung ist der Mangel an konsistenter Sicherheit, da jeder Anbieter eine Reihe von Kontrollen anbietet, die zwar konzeptionell ähnlich sind, sich aber in der Implementierung erheblich unterscheiden. Illumio abstrahiert die zugrunde liegende Cloud von der Anwendung, ohne sich bei der Entwicklung von Sicherheitsrichtlinien auf das Wissen oder die Kontrolle der Infrastruktur verlassen zu müssen.

Illumio bietet zwei Lösungen zur Validierung Ihrer Sicherheitskontrollen:

• Schalten Sie Illumination in die Entwurfsansicht um, um die Richtlinienentwürfe zu visualisieren und zu sehen, was passiert, wenn Sie Änderungen bereitstellen.
• Ändern Sie den Status der Workloads-Richtlinie auf Testen um alle Regeln in Ihrem Regelsatz anzuwenden und den gesamten Datenverkehr zu visualisieren, der blockiert würde, wenn Sie die Workloads in den Status Enforced Policy versetzen würden. Es ist kein Verkehr blockiert Testen Staat.

4. Ist Mikrosegmentierung auf Platform-as-a-Service (PaaS) möglich?

Ja. Illumio Labs hat Lösungen gemeinsam genutzt, die Transparenz und Durchsetzung der Microsoft Azure SQL-Datenbank und Amazon AWS RDS bieten.

Illumio Labs skizziert drei Schritte für Sichtbarkeit und Durchsetzung. Hier, die Firewall auf Serverebene, die den Azure SQL-Datenbankserver schützt, wird anhand der auf dem PCE definierten Sicherheitsrichtlinien programmiert.

Illumio Labs auch Umrisse sechs Schritte für Sichtbarkeit und Durchsetzung. S3-Buckets werden zum Speichern von Flow-Protokollen verwendet, die eine Lambda-Funktion auslösen, die die VPC-Sicherheitsgruppen auf der Grundlage der im PCE definierten Sicherheitsrichtlinien neu programmiert.

5. Kann Illumio bei einer schwerwiegenden Sicherheitsverletzung in der Cloud helfen?

Ohne Zweifel. Wenn Sie die Sicherheit falsch einstellen, kann dies zu Datenverlust führen. Datenschutzverletzung, Offenlegung sensibler Daten, Auswirkungen auf den Umsatz, nachhaltige Auswirkungen auf die Marke und sogar Strafen im Zusammenhang mit der Einhaltung von Vorschriften. Die Sicherheit hat mit der Entwicklung, die wir in den Bereichen Infrastruktur und Anwendungen beobachtet haben, nicht Schritt gehalten. Sie müssen die Sicherheit auf eine neue Art angehen und anders über Anwendungsumgebungen und deren Schutz nachdenken.

Eine der größten Herausforderungen bei einer Sicherheitsverletzung ist die laterale Bewegung. Illumio wurde so konzipiert, dass seitliche Bewegungen verhindert und der Explosionsradius reduziert wird. Illumio folgt konstruktionsbedingt einem“Zulassungsliste“ -Modell. Wenn also ein Workload kompromittiert wird, werden die Sicherheitsrichtlinien für alle anderen Workloads automatisch aktualisiert, um den Datenverkehr von dem gefährdeten Workload zu blockieren.

Die Sicherheitskontrollen des Center for Internet Security (CIS) sind weit verbreitet und bestehen seit mehr als 10 Jahren. Die Kontrollen sind von den gängigsten abgeleitet Angriffsmuster in den wichtigsten Bedrohungsberichten hervorgehoben und in einer sehr breiten Gemeinschaft von Vertretern aus Regierung und Industrie überprüft. Sie spiegeln das kombinierte Wissen von Experten für Forensik und Reaktion auf Zwischenfälle aus Wirtschaft und Regierung wider. Die Funktionen von Illumio helfen Ihnen direkt triff oder unterstütze CIS basic, grundlegende und organisatorische Kontrollen.

Kurzer Rückblick

Die Mikrosegmentierung ist ein sehr effektiver Ansatz zur Vorbeugung unbefugte seitliche Bewegung innerhalb Ihrer Organisation, und es ist kein Zufall, dass es zu einem wichtigen Grundsatz geworden ist, wenn Zero-Trust-Framework.

Wenn Ihr Unternehmen skaliert, um die Geschäftsanforderungen zu erfüllen, wird die Einrichtung konsistenter Sicherheitskontrollen, die bei allen öffentlichen Cloud-Anbietern funktionieren, von entscheidender Bedeutung, um Ihr Risiko zu verringern und die Komplexität zu verringern. Sind Sie bereit, den ersten Schritt auf Ihrem Weg zur Mikrosegmentierung zu tun? Melden Sie sich für eine kostenlose 30-Tage-Testversion an.