5 Gründe, warum Ihr Infrastrukturteam die Mikrosegmentierung lieben wird
Viele werden freiwillig zugeben, dass in einer idealen Welt eine stärkere und engere Segmentierung zu besseren Sicherheitsergebnissen führen wird. Leider war die Segmentierung in der realen Welt zeitaufwändig, komplex und teuer. Anwendungsteams haben Mühe, die Informationen bereitzustellen, die Infrastrukturteams benötigen, und nichts kann passieren, bis die gesamte Geschäftslogik in IP-Adressen übersetzt und manuell überprüft wurde. Zum Glück Mikrosegmentierung bietet einen besseren Weg und beseitigt einen Großteil der betrieblichen Belastung, die mit der Verschärfung der Segmentierungskontrollen verbunden ist.
Lassen Sie uns fünf Vorteile betrachten, von denen Infrastrukturteams profitieren.
1. Aus Sicherheitsgründen keine VLANs mehr
Durch die Mikrosegmentierung wird der Durchsetzungspunkt für die Segmentierung vom Netzwerk zu den Anwendungsinstanzen verschoben. Das bedeutet, dass die Segmentierungsrichtlinie unabhängig von vorhandenen Subnetzen, VLANs oder Zonen existiert. Rein aus Netzwerksicht funktionieren große Flachnetzwerke gut, lassen sich hervorragend skalieren und sind einfach zu verwalten. Die Sicherheitspolitik würde eher kleine, eng begrenzte Netzwerke bevorzugen, die dann umständlich zu verwalten sind. Die Mikrosegmentierung löst diese Sackgasse. Sobald die Segmentierung nicht mehr von der Netzwerkdurchsetzung abhängt, können Sie eine feinkörnige Segmentierung und eine einfache VLAN-Struktur verwenden.
2. Es müssen keine ACLs mehr verwaltet werden
Die Mikrosegmentierung definiert die Segmentierungsrichtlinie anhand von Labels und Metadaten, nicht anhand von IP-Adressen. Schließlich muss niemand beim Verfassen von Richtlinien manuell zwischen Server- oder Anwendungsnamen und IP-Adressen übersetzen! Wenn die Mikrosegmentierung die Richtliniendefinition von den Netzwerkkonstrukten abstrahiert, wird der gesamte Prozess der Politikentwicklung einfacher und schneller. Richtlinien zur Mikrosegmentierung, die in einer reinen Form spezifiziert werden Zulassungsliste Modelle haben den zusätzlichen Vorteil, dass Überlegungen zur Regelreihenfolge vermieden werden und die Vererbung von Richtlinien unterstützt wird. Zusammengenommen ist eine Mikrosegmentierungsrichtlinie schneller, einfacher und einfacher als eine herkömmliche ACL und bietet gleichzeitig eine strengere Kontrolle.
3. Rufen Sie die Anwendungstopologie für alle Anwendungen ab
Obwohl Netzwerkflussdaten eine Aufzeichnung des gesamten Datenverkehrs enthalten, waren sie nicht gut geeignet, um das Anwendungsverhalten zu verstehen. Durch die Mikrosegmentierung wird eine Karte der Anwendungsabhängigkeiten erstellt, die von der zugrunde liegenden Netzwerktopologie unabhängig ist. Selbst Anwendungen, die sich über mehrere Rechenzentren oder Cloud-Standorte verteilen, werden als eine einzige Anwendungsinstanz visualisiert. Diese Klarheit vereinfacht die Konversation im gesamten Unternehmen, insbesondere mit Anwendungs-, DevOps- und Sicherheitsteams, die sich von Haus aus nicht mit der Netzwerktopologie befassen. Insbesondere bei der Entwicklung von Segmentierungsrichtlinien optimiert dieses gemeinsame Verständnis die Genehmigungsgespräche und die politische Entscheidungsfindung.
4. Automatisierte Segmentierung
Die besten Segmentierungsregeln sind möglicherweise diejenigen, die niemand schreiben oder anpassen muss. Da die Mikrosegmentierung die Richtlinie in Bezeichnungen und Metadaten spezifiziert, können Sie die gesamte Richtlinie automatisieren. Sobald die Mikrosegmentierungs-Policy-Engine API-Aufrufe erhält, die sie über neue Geräte oder Änderungen der IP-Adresse informieren, berechnet und verteilt sie automatisch die erforderlichen Segmentierungsregeln. Die Sicherheitsrichtlinie wird ständig und kontinuierlich auf dem neuesten Stand sein. Die Labels lassen sich leicht in DevOps-Workflows für die Serverinstanziierung integrieren. Wenn diese Integration erfolgt, wird die Richtlinie automatisch berechnet und für jeden Server, der gebaut oder abgerissen wird, angepasst.
5. Erfüllen Sie den Wunsch des Sicherheitsdienstes nach einer feinkörnigeren Segmentierung ohne betriebliche Probleme
Ein Sicherheitsarchitekt wird fast immer mehr Segmentierung einer geringeren vorziehen. Die einzige Herausforderung besteht darin, dass eine detailliertere Segmentierungsrichtlinie ohne Mikrosegmentierung für die Infrastrukturbetriebsteams mit hohen Kosten verbunden ist. Wenn die Segmentierungsrichtlinie nicht mehr von Netzwerkdurchsetzung, IP-Adressen oder vom Netzwerk abgeleiteten Flussdaten abhängt, reduziert sich der betriebliche Aufwand drastisch. Sobald Tools zur Erstellung von Richtlinien, Automatisierung und Transparenz das Projekt verbessert haben, kann selbst eine sehr enge Segmentierung ohne die erwarteten Probleme durchgeführt werden.
Die Segmentierung mit ACLs erfordert einen hohen, zeitaufwändigen Aufwand. Die Mikrosegmentierung erleichtert die Arbeitsbelastung und ermöglicht durch die rollenbasierte Zugriffskontrolle die Verteilung der Last auf die Anwendungs-, DevOps-, Sicherheits- und Infrastrukturteams. Ein Segmentierungswunsch, der bei herkömmlichen ACLs möglicherweise als zu kostspielig angesehen wurde, wird mit der Mikrosegmentierung viel einfacher.
Traditionell war die Segmentierung schwierig — so sehr, dass oft betriebliche Überlegungen darüber entscheiden, was machbar ist. Die Mikrosegmentierung bietet jedoch die wunderbare Möglichkeit, sowohl eine strengere Segmentierungspolitik als auch eine geringere betriebliche Belastung zu verfolgen. Durch die Mikrosegmentierung wird die Durchsetzung von Richtlinien aus dem Netzwerk ausgeschlossen. Sie definiert Richtlinien neu, ohne von IP-Adressen abhängig zu sein, erleichtert die Automatisierung von Richtlinien und bietet nützliche Tools zur Visualisierung und Erstellung von Richtlinien.
Zusammengenommen kann ein Infrastrukturteam Sicherheitsmitarbeiter zufrieden stellen, die nach einer detaillierten Richtlinie fragen müssen. Tatsächlich bietet die Mikrosegmentierung Infrastrukturteams die bestmöglichen Neuigkeiten: Sie können die Segmentierung aus der Netzwerkinfrastruktur entfernen.
Um mehr zu erfahren, schauen Sie sich unsere Papier zur Entkopplung der Segmentierung von der Netzwerkinfrastruktur.