5 Gründe, warum Ihr Firewall-Team die Mikrosegmentierung lieben wird

Ich werde nie einen Vorfall vergessen, der sich zu Beginn unserer Kundenhistorie ereignet hat. Wir hatten gerade eine Schulung bei einem großen Kunden abgeschlossen Firewall Architektur- und Implementierungsteams. Einer der leitenden Firewall-Administratoren hob seine Hand und sagte: „Wenn ich das also richtig verstehe, muss ich nie wieder eine Firewallregel schreiben.“ Ich lächelte und sagte: „Das stimmt.“

Sechs Monate später standen wir zusammen im Aufzug und er erzählte mir begeistert, wie sehr er die Mikrosegmentierung liebte. Ich fragte nach dem Grund und er antwortete: „Du hattest recht. Ich schreibe keine ACLs mehr und unsere Richtlinien sind viel strenger.“

Das war ein großartiger Moment, aber die einfache Tatsache ist, dass sich Mikrosegmentierung hervorragend für Firewall-Betriebsteams eignet. Hier sind die fünf wichtigsten Gründe dafür.

1. Keine manuellen ACLs mehr. Prinzipiell ist das Schreiben von Firewallregeln „einfach“ — geben Sie einfach die Regeln für das ein, was Sie zulassen möchten, und alles andere wird verweigert. Auf einer hohen Abstraktionsebene stimmt das, aber nahe an der Arbeit ist es eine deutliche Vereinfachung. Bei einer herkömmlichen Firewall muss jeder Richtlinienwunsch von der Art und Weise, wie App-Besitzer über ihre Systeme sprechen, auf die Sprache der IP-Adressen, Subnetze und Zonen übersetzt werden. Bei der Mikrosegmentierung wird der Durchsetzungspunkt zur Anwendungsinstanz selbst verlagert, was bedeutet, dass die Segmentierung zur Durchsetzung nicht auf ein Netzwerkkonstrukt angewiesen ist. In Verbindung mit einem leistungsstarken Richtlinie Compute Engine, der Administrator kann schreiben Politik im Klartext: „Der Webserver kommuniziert mit dem Anwendungsserver, der wiederum mit der Datenbank kommuniziert. Die Webserver kommunizieren niemals miteinander oder direkt mit der Datenbank.“ Eine einfache Richtlinie kann in eine durchsetzbare Regelbasis umgewandelt werden, ohne dass ein Mensch eine IP-Adresse, ein Subnetz oder eine Zone kennen muss. Durch die Mikrosegmentierung müssen Firewall-Administratoren keine ACLs mehr schreiben.
   
2. Besorgen Sie sich ein skalierbares Richtlinienmodell. Firewalls sind zwar standardmäßig mit einem Default-Deny am Ende der Regeltabelle ausgestattet, aber sie haben schnell eine komplexe Mischung aus Genehmigungs- und Verweigerungsanweisungen. Diese sind gemischt Ablehnungsliste und Zulassungsliste Politiken lassen sich schlecht skalieren, da die Erbschaft begrenzt ist. Solange die Regeln gemischt sind: Aussagen zulassen und ablehnen, kommt es auf die Reihenfolge der Regeln an, und das schränkt die Vererbung ein — welche Reihenfolge sollte bei einer zusammengeführten Richtlinie eingehalten werden? Die Mikrosegmentierung funktioniert auf einem reinen Null Vertrauen Modell. Da es nur Genehmigungserklärungen gibt, ist die Vererbung von Richtlinien einfach — es kann nur passieren, dass etwas mehrmals erlaubt wird. Das macht es einfach, Richtlinien auf jeder beliebigen Abstraktionsebene zu spezifizieren. Ein bestimmter Server könnte Richtlinien sowohl von einer Richtlinie für das gesamte Rechenzentrum als auch von einer Richtlinie für die Produktionsumgebung und Datenbanken im Allgemeinen übernehmen. Wenn große Teile der Richtlinie auf Vorlagen basieren, vereinfacht und skaliert sich die Erstellung von Richtlinien erheblich besser.
   
3. Wisse, dass die Richtlinie korrekt ist. Die Entwicklung einer Firewall-Richtlinie ist nicht einfach. Der gesamte Anwendungsdatenverkehr muss bis auf den Port und das Protokoll charakterisiert werden. Diese Informationen liegen oft außerhalb der Hände der Infrastruktur- und Sicherheitsteams. Schlimmer noch, selbst das App-Team ist sich dessen oft nicht bewusst, da die Anwendung möglicherweise von einem Anbieter oder Auftragnehmer installiert wurde, der nicht mehr beteiligt ist. Die Mikrosegmentierung bietet eine umfangreiche Abbildung der Anwendungsabhängigkeiten das kann das ganze Team verstehen. Da auf der Karte nur Anwendungsdaten und keine Netzwerkgeräte angezeigt werden, können die Anwendungs- und DevOps-Teams leicht nachvollziehen, welche Datenflüsse ihre Anwendung generiert und was geschützt werden muss. Die Mikrosegmentierung macht es einfach, einen Konsens über den Schutz kritischer Anwendungen zu erzielen, und liefert dem Policy-Team genaue Informationen.
   
4. Wisse, dass die Richtlinie sicher ist. Wie testet man eine Firewallregel? Das tun Sie nicht. Firewalls funktionieren auf diese Weise nicht — wir geben die Regeln ein und wenn es ein Problem gibt, klingelt das Telefon. Im Jahr 2021 reicht das nicht mehr aus. Bei einer brandneuen Anwendung gibt es einen gewissen Spielraum für Hin und Her mit dem App-Team, um sie in die Produktion zu bringen. Bei bestehenden Anwendungen führt jedoch jeder Fehler in der Segmentierungsrichtlinie zu einem Ausfall. Die Mikrosegmentierung bietet einen besseren Weg. Richtlinien durchlaufen einen Lebenszyklus, der verschiedene Aspekte umfasst Phasen erstellen, testen und durchsetzen. Auf diese Weise kann jeder, vom Eigentümer der App bis hin zu den Sicherheits- und Infrastrukturteams, überprüfen, ob die Richtlinie „wie entworfen“ ist und dass die Richtlinie die gesamte erforderliche Kommunikation abdeckt. Anhand der einfachen Übersicht über die Anwendungsabhängigkeit lässt sich leicht erkennen, dass die Richtlinie sicher ist und durchgesetzt werden kann.
   
5. Holen Sie sich Hilfe von Anwendungsbesitzern. In jeder Organisation gibt es weit mehr Mitarbeiter im Anwendungsteam als im Sicherheitsteam. Und wenn wir die Anzahl der Anwendungen mit der Anzahl der Autoren der Segmentierungsrichtlinien vergleichen würden, wäre der Kontrast noch größer. Angesichts dieser Unterschiede ist es immer eine Herausforderung, jedem Team zu helfen, zu verstehen, was das Firewall-Team benötigt, und es rechtzeitig zu erhalten. Die Mikrosegmentierung bietet Visualisierungen und Workflows, die speziell für Anwendungsbesitzer entwickelt wurden Teil des Prozesses zu sein. Wenn das App-Team am Mikrosegmentierungsprojekt beteiligt ist, ist es für sie viel einfacher, die Ziele der Sicherheits- und Infrastrukturteams für die App zu unterstützen. Es stärkt das Selbstvertrauen und verhindert Schuldzuweisungen, wenn jeder sehen kann, wie die Anwendung funktioniert und wie die Segmentierungspolitik mit diesen Abläufen zusammenwirkt. App-Besitzer können dies einfach validieren sowohl die Mittelflüsse als auch die Umsetzung der Richtlinie, wodurch die Durchsetzung beschleunigt wird.

Die Mikrosegmentierung eignet sich hervorragend für Firewall-Administratoren. Tauschen Sie manuelle Firewallregeln gegen eine einfache Richtlinie in natürlicher Sprache aus, für die keine Netzwerkkenntnisse erforderlich sind. Holen Sie sich ein echtes Zero-Trust-Richtlinienmodell, das sich problemlos mit vollständiger Übernahme skalieren lässt. Alle Segmentierungsrichtlinien müssen korrekt und vollständig sein. Durch die Mikrosegmentierung ist dies ein einfacher grafischer Prozess, an dem die Anwendungsbesitzer beteiligt werden können. Mit ihnen an Ihrer Seite wird das Segmentierungsprojekt schneller, einfacher und unterhaltsamer. Mikrosegmentierung ist das Upgrade, auf das Firewall-Administratoren gewartet haben.