Konzentrieren Sie sich erneut auf Cloud-Sicherheit: Wie Zero-Trust-Segmentierung die Cloud schützt

Wir setzen unsere fort Monat des Cybersicherheitsbewusstseins Serie, in der wir unsere Aufmerksamkeit auf die Public Cloud richten.

Auf den ersten Blick Sicherung von Cloud-Ressourcen unterscheidet sich konzeptionell nicht von der Sicherung im Rechenzentrum. Identität, Zugriffskontrolle, sichere Verbindungen — all das ist dasselbe.

Aber wenn Sie die Infrastrukturebene nicht besitzen — und viele der Dienste nur ein API-Aufruf an eine DNS-Adresse sind —, ist es am Ende gar nicht mehr dasselbe.

Es ist schwer, genau zu wissen, welche Verbindungen zu welchen IP-Adressen benötigt werden. Cloud-native Firewalls verfügen über grundlegende, textgesteuerte Schnittstellen, die vollständig auf IP-Adressen und manuellen Prozessen basieren.

Sie können sicher automatisiert werden, aber wer schreibt diesen Code? Das bereits vielbeschäftigte DevOps-Team? Ist das nicht nur ein weiterer manueller Aufwand? Und dieser Aufwand wird letztendlich von den Zugriffsrichtlinien im Rechenzentrum entkoppelt, sodass eine weitere Ebene der Übersetzung und des manuellen Aufwands erforderlich ist.

Zum Glück gibt es eine bessere Möglichkeit, die Cloud zu sichern: Zero-Trust-Segmentierung.

Es gibt vier Hauptmethoden, mit denen die Zero-Trust-Segmentierung die Cloud vor der Ausbreitung von Cyberangriffen schützt.

Holen Sie sich die Höhepunkte von Nathanael Iversen, dem Chefevangelisten von Illumio, in seinem Video:

 
Und lesen Sie weiter, um mehr zu erfahren.

1. Umfassender Einblick in die Kommunikationsabläufe im Netzwerk

Wenn viele der in der Cloud verwendeten Dienste, Anwendungen und Datenspeicher selbst nur einen API-Aufruf entfernt sind, liefert die herkömmliche Netzwerkflussanalyse oft kein brauchbares Verständnis der Cloud-Konnektivität.

Die Zero-Trust-Segmentierung beginnt mit einer direkten Verbindung zum Cloud-Systeminventar und den Verbindungstabellen. Das bedeutet, dass alles, was über eine elastische Netzwerkschnittstelle (ENI) verfügt, automatisch erkannt wird, seine Metadaten aufgenommen und für die Benennung verwendet werden, und es wird in eine Karte der Anwendungsabhängigkeiten aufgenommen.

Infolgedessen ist der Abbildung der Anwendungsabhängigkeiten basiert nicht auf ständig wechselnden IP-Adressen, sondern auf den Benennungs- und Objektkonventionen, in deren Erstellung Ihr Unternehmen bereits Zeit und Mühe investiert hat.

Diese Map bietet eine umfassende Abdeckung von EC2-Instances über Kubernetes und containerisierte Objekte bis hin zu SaaS-Diensten, Cloud-Anwendungen und Service Brokern — fast alle Kommunikationsflüsse.

Die Informationen sind übersichtlich nach Anwendungen und Diensten geordnet und so benannt, dass jeder in der Cloud, der Infrastruktur und den Sicherheitsteams die Karte lesen kann. Diese Ansicht zeigt die wahre Verbindungstopologie, unabhängig von VPCs, Subnetzen und Zonen.

2. Automatisierte und optimierte Segmentierungsrichtlinie

Sobald wir klar verstanden haben, wie die Dinge mit der Anwendungsabhängigkeitskarte zusammenhängen, ist es naheliegend, zu fragen, wie gut die Verbindungen geschützt sind. Wie hoch ist das Risiko, dass auf einen dieser Dienste unsachgemäß zugegriffen oder er unterbrochen wird?

Die Zero-Trust-Segmentierung umfasst die Automatisierung und Optimierung von Richtlinien, sodass eine echtes Zero Trust, Least-Privilege-Ergebnis ist einfach zu erreichen und zu pflegen.

Dieselbe Abbildung der Anwendungsabhängigkeit, die das Sicherheitsteam über den Kommunikationsfluss informiert, kann auch den Code für die Richtlinienautomatisierung darüber informieren, dass:

• Analysiert die notwendigen Verbindungen
• Vergleicht diese Verbindungen mit der aktuellen VPC-Richtlinie
• Dann gibt er Empfehlungen, wie die Sicherheitsrichtlinien optimiert und verschärft werden können, sodass notwendige Verbindungen zugelassen werden und alles andere verweigert wird.

Die daraus resultierende Richtlinienempfehlung kann dann direkt in die Cloud-nativen Firewalls implementiert werden — ganz ohne Agenten.

Da die Zero-Trust-Segmentierung in die native Firewall schreibt, kann sie den Datenverkehr unabhängig vom Ziel kontrollieren. EC2 zu EC2? Ja. EC2-zu-Kubernetes-Cluster? Sicher. Funktion zwischen SaaS-Dienst und Lamba? Natürlich.

Die Zero-Trust-Segmentierung bietet eine automatisierte, agentenlose Segmentierung, die vollständig API-gesteuert und API-zugänglich ist. Da dabei Metadaten aus der Cloud verwendet werden, bedeutet dies, dass Segmentierung als Service jetzt verfügbar ist.

CloudOps- und Automatisierungsteams können auf eine zuverlässige, metadatengestützte Abstraktionsebene zugreifen, die die gesamte Übersetzung zurück zu IP-Adressen und Firewall-Richtlinien übernimmt — und sogar automatisch mit Änderungen der Anwendungstopologie Schritt hält.

3. Rundumsicht und Kontrolle für Cloud-, Rechenzentrums- und Endpunktumgebungen

Wir haben gerade einige der cloudnativen Funktionen untersucht, die Zero Trust Segmentation bietet, aber die beste Nachricht ist, dass diese Funktionen immer noch vollständige Transparenz und Kontrolle für Rechenzentrums- und Endpunktumgebungen beinhalten.

Keine Wolke ist eine Insel.

Benutzer und Administratoren greifen auf die Cloud zu, und die Cloud kommuniziert mit Systemen in Rechenzentren und Colocation-Einrichtungen. Oft läuft die Kommunikation zwischen den Cloud-Anbietern ständig ab.

Die Zero-Trust-Segmentierung bietet ein einziges Richtlinienmodell, eine einzige Visualisierungs- und Richtlinienverteilungsebene, um all diese verschiedenen Umgebungen zu einem kollaborativen, reibungslosen Arbeitsablauf miteinander zu verbinden. Über Cloud-APIs visualisierte Systeme werden auf demselben Bildschirm angezeigt wie Systeme, die im Rechenzentrum oder in VDI-Instanzen oder Benutzerendpunkten erkannt wurden.

Bei der Bereitstellung mit Endpunkten bietet Zero Trust Segmentation identitätsgesteuerte Segmentierung und Zugriffskontrolle für Cloud-Workloads.

4. Verbessern Sie die operative Widerstandsfähigkeit

Ein universelles Zentrum für die Segmentierungspolitik bedeutet, dass es einfach ist, alle Systeme in eine gemeinsame Politik einzubeziehen.

Viele Unternehmen möchten die Reaktion auf Vorfälle verbessern, indem sie vorab proaktive und reaktive Segmentierungsrichtlinien bereitstellen. Die Idee ist einfach und basiert auf dem, was jeder weiß, dass sie tun müssen, sobald sie eine Sicherheitsverletzung entdecken — verschärfen Segmentierungssteuerungen.

Welche Notfallrichtlinien möchten Sie im Falle eines Cyberangriffs sofort umsetzen, um die kritischsten Systeme zu schützen?

Mit der Zero-Trust-Segmentierung können Sie diese Richtlinien im Voraus erstellen und implementieren, sodass sie sofort aktiviert werden können. Und das Beste daran: Diese Richtlinien werden sich auf Cloud-, Rechenzentrums- und Endpunktumgebungen erstrecken.

Die Zero-Trust-Segmentierung macht es einfach, eine Basisrichtlinie zu haben, an die sich alle Systeme halten sollten, und diese Richtlinie dann überall durchzusetzen — von Cloud-basierten Container-Bereitstellungen bis hin zu virtuellen Maschinen im Rechenzentrum.

Stärken Sie Ihre Cloud-Sicherheitslage mit Zero-Trust-Segmentierung

Unternehmen wechseln zur Cloud, um Verfügbarkeit und Agilität zu erhöhen, globale Bereitstellungen zu automatisieren und vieles mehr.

Die Zero-Trust-Segmentierung bietet die Transparenz, Automatisierung und Abdeckung, die für Segmentierung als Service erforderlich sind. Es beginnt mit automatisierter Sichtbarkeit und Verbindungszuordnung, wobei Informationen direkt von den APIs der Cloud-Anbieter gestreamt werden. Diese Daten werden dann in einen leistungsstarken Automatisierungs- und Optimierungscode eingespeist, der Vorschläge zur Optimierung und Verschärfung der Segmentierungsrichtlinien enthält.

Wenn diese Richtlinien implementiert sind, können sie je nach Bedarf in die Cloud, das Rechenzentrum und die Endpunktsysteme übertragen werden. Die Cloud hat zwar ihre Unterschiede zum Rechenzentrum, aber es stellt sich heraus, dass Unternehmen durch die Nutzung von Cloud-Metadaten, Verbindungsinformationen und APIs automatische Segmentierungsrichtlinien in ihren Cloud-Bereitstellungen umsetzen können.

Schließlich gibt es eine vollautomatische Cloud-Segmentierung, die optimiert für Zero Trust-Prinzipien.

Der Cybersecurity Awareness Month bietet eine großartige Gelegenheit, einen Schritt zurückzutreten und Funktionen wie die Zero-Trust-Segmentierung in Betracht zu ziehen, die sich am stärksten auf Ihre Sicherheitslage in der Cloud auswirken würden.

Nächste Woche setzen wir unsere Reihe zu Themen fort, auf die wir uns während des Cybersecurity Awareness Month erneut konzentrieren sollten.

Sie möchten mehr über Cloud-Sicherheit erfahren? Lesen Sie unser E-Book: 5 Dinge, die Sie möglicherweise nicht über Cloud-Sicherheit wissen