Blog
/
Zero-Trust-Segmentierung

Was braucht es, um die Mikrosegmentierung zu automatisieren?

Illumio Editorial
,
April 2, 2021
23 min. Lesedauer

Es wird oft davon ausgegangen, dass ein Produkt, das über eine API verfügt, einfach zu automatisieren ist. Aber wie bei vielen Dingen im Leben ist es nicht so einfach. APIs werden normalerweise von Entwicklern für Entwickler geschrieben, und für Nicht-Programmierer kann es schwierig sein, zu wissen, was sie mit den erweiterten Teams, die eine Mikrosegmentierungslösung evaluieren, durcharbeiten sollen. In diesem Beitrag finden Sie fünf Bereiche, die Sie gemeinsam mit den Anbietern von Mikrosegmentierungen, die Sie in Betracht ziehen, erkunden sollten. Setzen Sie Ihre Anbieter in diesen Punkten unter Druck: Sie werden herausfinden, wie weit sie in Bezug auf den Reifegrad und die API-Bereitschaft der Anbieter sind, und Sie werden besser in der Lage sein, qualitativ hochwertige Entscheidungen zu treffen.

Vollständigkeit und Konsistenz des Schemas

Für jede Mikrosegmentierungslösung auf Unternehmensebene müssen viele Softwareingenieure zusammenarbeiten. Manchmal sind APIs nur eine Sammlung der verschiedenen Bits, die einzelne Entwickler für ihren eigenen Gebrauch erstellt haben. Aber die besten APIs wurden so programmiert, dass sie ein eigenständiges Produkt sind. In die Gesamtstruktur der API wurde viel Sorgfalt und Überlegung gesteckt, und jeder Aufruf folgt konsistenten Konventionen. In den besten Lösungen verwendet jede GUI genau dieselbe API, die Ihr DevOps-Team aufrufen würde. In diesem Fall wissen Sie, dass die API-Pfade vollständig und gut getestet sind, da der Anbieter dieselben APIs verwendet wie Sie. Idealerweise benötigen Sie eine Mikrosegmentierungslösung, die ihre gesamte Funktionalität über eine API zur Verfügung stellt. Zu Beginn eines Projekts wissen Sie vielleicht nicht genau, was Sie automatisieren möchten, aber wenn das Schema vollständig und konsistent ist, werden Sie in Zukunft nicht eingeschränkt sein.

Dokumentation und Beispielcode

Jeder seriöse Anbieter von Mikrosegmentierung sollte in der Lage sein, Ihnen das API-Schema und die vollständige Dokumentation zur Verfügung zu stellen. So einfach das klingt, Sie werden überrascht sein, wie groß der Aufwand ist, der in ein so kritisches Paket von Ergebnissen gesteckt wird. Erhalten Sie ein rohes API-Schema in JSON? Welche Dokumentation gibt es für die API als Ganzes und für jeden Aufruf? Sind das Objektmodell und die Kernfunktionen gut erklärt? Suchen Sie nach Beispielcode. Ist klar, wie man einfache POSTMAN-Abfragen verwendet? Wenn die API JSON verwendet, ist die Formatierung bei verschiedenen Aufrufen klar und konsistent? Wählen Sie einen Workflow, der in der GUI offensichtlich erscheint. Fragen Sie Ihren Anbieter, welche Anrufe Sie zur Automatisierung dieses bestimmten Workflows benötigen würden, und lassen Sie ihn ihn dann erklären. Ist dieser Workflow angesichts der verfügbaren Dokumentation und des Beispielcodes sinnvoll? Sie erwarten bereits, dass sie Ihnen die GUI demonstrieren, aber wenn Sie planen, Ihre Mikrosegmentierungslösung zu automatisieren, fragen Sie auch nach einem API-basierten Workflow.

RBAC

Wenn ein Produkt Automatisierungsschnittstellen bietet, wird die rollenbasierte Zugriffskontrolle (RBAC) für die Systemintegrität unverzichtbar. Wenn die API die Steuerung von Richtlinien und Richtlinienobjekten ermöglicht, muss die programmatische Oberfläche überprüfbar sein, genau wie Administratoraktionen, die von einer GUI oder einer Befehlszeilenschnittstelle aus ausgeführt werden. Im Idealfall folgt RBAC genau dem Mikrosegmentierungs-Richtlinienmodell, sodass Berechtigungen an jedes Label oder Tag gebunden werden können, das zur Erstellung der Richtlinie verwendet wird. Die besten APIs verfügen über sorgfältig überlegte zeit- und nutzungsgebundene API-Schlüssel, sodass Administratoren sorgfältig kontrollieren können, wie externer Code mit der Richtlinien-Engine für die Mikrosegmentierung interagiert. In den meisten Fällen empfiehlt es sich, bei API-Skripten Einmalschlüssel zu verwenden, die auf genau die erforderliche Arbeit beschränkt sind — das ist Zero Trust, angewendet auf API-Schnittstellen. Stellen Sie sicher, dass die von Ihnen in Betracht gezogenen Lösungen über detaillierte, vollständige und flexible RBAC-Steuerelemente verfügen, sodass Sie den programmatischen Zugriff auf Ihre Mikrosegmentierungsrichtlinie vollständig kontrollieren können.

Handhabung von Massenobjekten

Oft besteht die zugrunde liegende Motivation von API-Projekten darin, sich wiederholende Aufgaben zu automatisieren. Eine einfache Methode, um zu verstehen, wie viel Erfahrung ein Anbieter mit der Automatisierung von Mikrosegmentierung hat, besteht darin, nach Bulk-APIs zu fragen. Es ist schön und gut, einen API-Aufruf zu haben, der eine einzelne Aufgabe ausführt. Aber was ist, wenn Sie eine Operation für 500 oder 5000 Objekte ausführen müssen? Was ist, wenn Sie einen großen Datenblock laden müssen? Die Formulierung von 500 oder 500 Abfragen ist verschwenderisch und ineffizient. Die besten Anbieter verfügen über separate API-Funktionen für die Verarbeitung von Dateneinträgen und umfangreichen Anfragen zur Objektmanipulation. In der Regel arbeiten diese Funktionen um ein Vielfaches schneller als wiederholte Einzelobjektanfragen. Je fortgeschrittener Ihr DevOps-Team ist, desto mehr wird es eine skalierbare API zu schätzen wissen. Der Umgang mit Zehntausenden von Containern, VMs oder AMIs erfordert angemessene Workflows für Massenobjekte, und Ihre potenziellen Anbieter von Mikrosegmentierungen sollten in der Lage sein, herauszufinden, welche Workflows existieren und warum sie wichtig sind.

Skalierbarkeit/Testen

APIs bieten einen Einblick in die wahren Leistungsfähigkeiten einer Mikrosegmentierungslösung. Es ist wichtig, eine Benutzeroberfläche zu erstellen, die sich anpasst, aber Menschen brauchen im Vergleich zu einem Skript relativ viel Zeit, um Aktionen auszuführen. Wenn Sie planen, die Mikrosegmentierung zu automatisieren, erfordert die Automatisierung weit mehr, als in einem typischen Machbarkeitsnachweis für Unternehmen getestet werden würde. Fragen Sie Ihre Anbieter nach ihren abgeschlossenen, vollautomatischen Bereitstellungen. Die besten Anbieter bieten mehrere Implementierungen von Zehntausenden bis Hunderttausenden von Systemen an, die bei einzelnen Kunden vollständig automatisiert sind. Das ist der Beweis, den Sie brauchen. Wenn einige Anbieter 40.000 Workloads in einer vollautomatischen, statusfreien Umgebung orchestrieren, wissen Sie, dass es sich um einen Anbieter handelt, der ernsthafte Optimierungs- und Leistungsverbesserungen durchgeführt hat. Fragen Sie nach der Qualitätssicherung und den Tests, die an der API durchgeführt wurden, und nach der Leistung bei der Richtlinienberechnung. Hyperscale-Unternehmen verfügen oft über Hunderttausende von Richtlinienobjekten, und die besten Anbieter testen weit über diesen Werten. Es gibt ein altes Sprichwort, dass nichts besser ist als laufender Code, und das gilt sicherlich für die API-Skalierbarkeit. Fragen Sie nach Beweisen. Es gibt unternehmensweite, vollständig API-gesteuerte Bereitstellungen, die auf jahrelangen erfolgreichen Betrieb zurückblicken. Erwarten Sie von Ihren Anbietern für Mikrosegmentierung eine ausgereifte, skalierbare und vollständig getestete API.

APIs enthalten viele technische Details, die Programmierer am besten verstehen. Aber die Eigenschaften, auf die es ankommt, können von jedem in der Entscheidungshierarchie verstanden werden. Wenn Sie erwarten, Ihre Richtlinien zur Mikrosegmentierung zu automatisieren, ist es sinnvoll, diese API-Funktionen mit der gleichen Sorgfalt zu untersuchen, die das Evaluierungsteam bei der GUI walten lassen würde. Die API-Workflows werden aus Performance-Sicht die höchsten Anforderungen stellen. Stellen Sie sicher, dass Sie ein Produkt mit einem gut durchdachten und gut dokumentierten Schema auswählen, das die Produktfunktionen vollständig abdeckt. Halten Sie Ausschau nach Reifezeichen rund um RBAC, die Handhabung von Massenobjekten und den nachgewiesenen Skalierungsnachweisen bei anderen Kunden. Die Automatisierung der Mikrosegmentierung ist möglich, und Ihr Unternehmen kann mit Zuversicht erfolgreich in eine zunehmend automatisierte Zukunft gehen, wenn Sie die richtige API-gestützte Mikrosegmentierungslösung auswählen.

Um den API-Leitfaden von Illumio zu lesen, klicken Sie auf hier.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Holen Sie sich 5 Zero-Trust-Einblicke von Shawn Kirk von AWS
Zero-Trust-Segmentierung

Holen Sie sich 5 Zero-Trust-Einblicke von Shawn Kirk von AWS

Erfahren Sie, wie das AWS-Team von Shawn Kirk Zero-Trust-Initiativen mit AWS-Kunden, das Modell der gemeinsamen Verantwortung und die Erzielung eines ROI für Cloud-Sicherheit angeht.

Lesen Sie mehr
Ein Leitfaden für Architekten zur Bereitstellung von Mikrosegmentierung: Aufbau des Bereitstellungsteams
Zero-Trust-Segmentierung

Ein Leitfaden für Architekten zur Bereitstellung von Mikrosegmentierung: Aufbau des Bereitstellungsteams

Der beste Ansatz für den Einsatz von Mikrosegmentierung besteht darin, ein funktionsübergreifendes Team zusammenzustellen.

Lesen Sie mehr
3 Erkenntnisse aus dem neuen Cybersicherheitsinformationsblatt der NSA
Zero-Trust-Segmentierung

3 Erkenntnisse aus dem neuen Cybersicherheitsinformationsblatt der NSA

Verschaffen Sie sich einen Einblick in die Anerkennung der Zero-Trust-Segmentierung durch die NSA als wesentlichen Bestandteil von Zero Trust.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr