Blog
/
Zero-Trust-Segmentierung

5 Gründe, warum DevOps die Mikrosegmentierung lieben wird

Illumio Editorial
,
February 11, 2021
23 min. Lesedauer

Wenn Infrastruktur- und Sicherheitsteams eine Mikrosegmentierung einführen wollen, ist die Anwendungsgemeinschaft nicht so sehr gegen strengere Sicherheitsvorkehrungen, sondern sie reagiert empfindlich auf die Geschwindigkeit und Sicherheit der vorgeschlagenen Änderungen. Die Sicherheitsbedenken werden durch angemessene Tests ausgeräumt. Für viele Unternehmen ist jedoch mit der Anpassung der Firewall- oder Segmentierungsrichtlinien eine Zeiterwartung verbunden, die in Tagen oder Wochen gemessen wird. Für ein DevOps-Team ist ein solcher Zeitplan fast unverständlich. Server-Builds erfolgen in Sekunden. Ganze Pods werden innerhalb von Minuten bereitgestellt. API-Operationen in großen Mengen waren besser als das manuelle Tippen komplexer Daten an jedem Tag der Woche.

Die gute Nachricht ist, dass die Mikrosegmentierung fünf signifikante Vorteile für DevOps-Teams hat.

1. Die Mikrosegmentierung basiert auf gemeinsam genutzten Metadaten

Herkömmliche Firewallregeln verwenden IP-Adressen, aber die DevOps-Automatisierung basiert auf Metadaten und Abstraktionen. Bei der Mikrosegmentierung wird die Segmentierungsrichtlinie abstrahiert in Beschriftungen oder Tags. Diese Bezeichnungen werden nicht in der Richtlinien-Engine für Mikrosegmentierung erstellt, sondern stammen aus den üblichen Informationsquellen für Unternehmen: CMDB, Hostnamenkonventionen, IP-Managementsysteme und andere programmatische Quellen.

Wenn die Segmentierung auf denselben Metadatenquellen wie die Anwendungsautomatisierung basiert, ist es einfach, die Segmentierung in automatisierte Workflows zu integrieren.

2. Die Mikrosegmentierung sorgt für eine dynamische Automatisierung der Richtlinien

Sobald die Segmentierungsrichtlinie in gemeinsame Metadaten extrahiert ist, erfolgt eine Mikrosegmentierung Richtlinien-Engine erledigt die ganze schwere Arbeit der Berechnung, Verteilung und Konvergenz der resultierenden Regeln. Dadurch wird die Mikrosegmentierung effektiv zu einer automatisierbaren Anwendungsfunktion, die wie jeder andere Anwendungsdienst aufgerufen werden kann.

Besser noch, eine hochwertige Richtlinien-Engine für die Mikrosegmentierung verfolgt alle Änderungen an den zugrunde liegenden IP-Adressen oder Labels und sorgt automatisch dafür, dass die gewünschte Richtlinie eingehalten wird. Auf diese Weise wird die Mikrosegmentierung deklarativ und ist nicht mehr an die zwingende Notwendigkeit gebunden, individuelle Regeln festzulegen. Die Automatisierung spezifiziert die gewünschten Richtlinien, und die Policy-Engine erstellt die erforderlichen Regeln und hält sie ständig und kontinuierlich auf dem neuesten Stand.

3. Die Mikrosegmentierung lässt sich problemlos in bestehende Runbooks einfügen

Führende Anbieter von Mikrosegmentierungen können auf vollautomatische Bereitstellungen im Bereich von 40—120k verweisen. In diesen vollautomatischen Rechenzentren ist es üblich, dass die gesamte Infrastruktur alle paar Wochen neu instanziiert wird, oft innerhalb weniger Minuten. Die Mikrosegmentierung kann in die Anwendungs- und Pod-Automatisierung integriert werden, sodass die gesamte erforderliche Netzwerkkonnektivität bei Bedarf verfügbar ist.

Selbst bei umfangreichen Neukonfigurationen von Rechenzentren sorgt die Mikrosegmentierungs-Policy-Engine dafür, dass jeder Workload und jeder Container den angegebenen Richtlinien entspricht. Wenn die Segmentierung schnell erfolgt und die Verteilung der Richtlinien in Echtzeit erfolgt, laufen DevOps-Runbooks reibungslos und nahtlos ab, auch wenn strenge Mikrosegmentierungsrichtlinien jeden Anwendungsservice schützen.
 

4. Die Mikrosegmentierung ist standortunabhängig

Guter Automatisierungscode bietet eine ausreichende Abstraktion, sodass komplexe Aufgaben beschleunigt werden können. Ob die Anwendung in der Cloud oder im Rechenzentrum läuft, ist weitgehend unwichtig, wenn die Automatisierung ausreichend abstrahiert ist.

Da die Mikrosegmentierung die IP-Adressierung wegabstrahiert, spielt auch der Standort für die Segmentierung keine Rolle mehr. Die Hälfte der Anwendung kann sich in der Cloud befinden. Sie kann von einer VPC zur anderen verschoben werden. Der physische Standort oder die Adresse spielen keine Rolle mehr. Auf diese Weise bietet die Mikrosegmentierung dieselbe Standort- und Infrastrukturunabhängigkeit, die sich DevOps-Teams wünschen.
 

5. Die Mikrosegmentierung ist unabhängig von der Anwendungsarchitektur

Einige Anwendungen laufen auf Bare-Metal-Servern, andere auf virtuellen Maschinen und wieder andere in Containern. Einige Anwendungen werden bald von einer zur anderen migrieren. Die Mikrosegmentierung funktioniert unabhängig von der Anwendungsarchitektur oder der Bereitstellungsmethode gleich.

Eine hochwertige Mikrosegmentierungslösung unterstützt Container und Kubernetes genauso effektiv wie es einen physischen Datenbankserver unterstützt. Dieselbe Richtlinie funktioniert auch dann, wenn die Hälfte der App containerisiert ist und die andere Hälfte auf Bare-Metal gespeichert bleibt. Wie beim Standort funktioniert die Mikrosegmentierung für ältere, aktuelle und nächste Anwendungsarchitekturen, sobald die Richtlinie ausreichend abstrahiert ist und die Durchsetzungspunkte weiterhin verfügbar sind.

Für Mitglieder Ihres DevOps-Teams ist Mikrosegmentierung die Sicherheitsstrategie, auf die sie gewartet haben. Die Mikrosegmentierung funktioniert schnell. Sie funktioniert in großem Maßstab, und auf jeden Fall mit Geschwindigkeit und Umfang! Bei der Mikrosegmentierung werden dieselben Metadaten und Abstraktionen verwendet, die bereits für die Anwendungsautomatisierung verwendet werden.

In Kombination mit einer leistungsstarken Policy-Engine entsteht so eine dynamische Richtlinienautomatisierungsebene, die die Segmentierung zu einem standardmäßigen „Dienst“ macht, der in der Anwendung automatisiert werden muss. Die Mikrosegmentierung kann in Runbooks integriert werden, um sicherzustellen, dass die Segmentierung von der Instanziierung bis zur Entfernung verfügbar ist.

Weil Mikrosegmentierung entkoppelt die Segmentierung Ausgehend von Infrastrukturkonzepten wie IP-Adressen bietet es die für eine breite Anwendbarkeit erforderliche Standort- und Anwendungsarchitekturunabhängigkeit. Wenn die Sicherheit so schnell voranschreiten muss wie das DevOps-Team, bietet die Mikrosegmentierung die notwendigen Funktionen.

Um mehr zu erfahren, laden Sie den Forschungsbericht von Bishop Fox herunter: Wirksamkeit der Mikrosegmentierung: Bewertungsbericht.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Die Entwicklung der adaptiven Segmentierung
Zero-Trust-Segmentierung

Die Entwicklung der adaptiven Segmentierung

Illumios erste Innovation rund um die Adaptive Security Platform (ASP) zielte darauf ab, diese Herausforderungen direkt anzugehen. Es wurden einige wichtige grundlegende Elemente identifiziert, die es uns ermöglichen würden, unsere Lösung zu entwickeln:

Lesen Sie mehr
Die 3 wichtigsten Gründe, warum wir uns auf Money 20/20 USA freuen
Zero-Trust-Segmentierung

Die 3 wichtigsten Gründe, warum wir uns auf Money 20/20 USA freuen

Treffen Sie Illumio in Las Vegas auf der diesjährigen Money 20/20 USA vom 22. bis 25. Oktober.

Lesen Sie mehr
Cloud Hopper: Eine Zero-Trust-Perspektive
Zero-Trust-Segmentierung

Cloud Hopper: Eine Zero-Trust-Perspektive

Cloud Hopper: Die Hacker-Kampagne, von der vermutet wird, dass sie von von der Regierung geförderten chinesischen Aktivisten inszeniert wurde. Hätte Zero Trust sie aufhalten können?

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr