5 Gründe, warum Ihr Infrastrukturteam die Mikrosegmentierung lieben wird

Many will freely grant that, in an ideal world, more and tighter segmentation will lead to better security outcomes. Unfortunately, in the real world, segmentation has been time-consuming, complex, and expensive. Application teams struggle to provide the information that infrastructure teams need, and nothing can happen until all business logic has been translated to IP addresses and checked manually. Fortunately, microsegmentation offers a better way and removes much of the operational burden of tightening segmentation controls.

Betrachten wir fünf Vorteile, die Infrastrukturteams erleben.

1. Aus Sicherheitsgründen keine VLANs mehr

Bei der Mikrosegmentierung wird der Segmentierungserzwingungspunkt vom Netzwerk zu den Anwendungsinstanzen verschoben. Dies bedeutet, dass die Segmentierungsrichtlinie unabhängig von vorhandenen Subnetzen, VLANs oder Zonen vorhanden ist. Aus der reinen Netzwerkperspektive funktionieren große flache Netzwerke gut, lassen sich wunderbar skalieren und sind einfach zu verwalten. Die Sicherheitspolitik würde eher kleine, eng begrenzte Netzwerke haben, die dann umständlich zu verwalten sind. Die Mikrosegmentierung löst diese Sackgasse. Sie können eine fein abgestufte Segmentierung und eine einfache VLAN-Struktur verwenden, sobald die Segmentierung nicht mehr von der Netzwerkdurchsetzung abhängt.
 

2. Keine ACLs mehr zu verwalten

Microsegmentation defines segmentation policy by labels and metadata, not IP addresses. Finally, no one has to manually translate between server or application names and IP addresses when writing policy! When microsegmentation abstracts policy definition away from network constructs, the entire process of policy development becomes simpler and faster. Microsegmentation policies specified in a pure allowlist model have the additional benefits of avoiding rule order considerations and of supporting policy inheritance. Taken together, a microsegmentation policy is faster, simpler, and easier than a traditional ACL while offering tighter control.
 

3. Abrufen der Anwendungstopologie für alle Anwendungen

Obwohl sie einen Datensatz des gesamten Datenverkehrs enthalten, waren Netzwerkflussdaten nicht gut geeignet, um das Anwendungsverhalten zu verstehen. Bei der Mikrosegmentierung wird eine Anwendungsabhängigkeitskarte erstellt, die unabhängig von der zugrunde liegenden Netzwerktopologie ist. Selbst Anwendungen, die sich über mehrere Rechenzentren oder Cloud-Standorte erstrecken, werden als eine einzige Anwendungsinstanz visualisiert. Diese Klarheit vereinfacht die Gespräche im gesamten Unternehmen, insbesondere mit Anwendungs-, DevOps- und Sicherheitsteams, die sich nicht nativ mit der Netzwerktopologie befassen. Insbesondere bei der Entwicklung von Segmentierungsrichtlinien rationalisiert dieses gemeinsame Verständnis Genehmigungsgespräche und Richtlinienentscheidungen.
 

4. Automatisierte Segmentierung

Die besten Segmentierungsregeln sind möglicherweise diejenigen, die niemand schreiben oder anpassen muss. Da die Mikrosegmentierung die Richtlinie in Bezeichnungen und Metadaten angibt, können Sie die gesamte Richtlinie automatisieren. Wenn das Modul für Mikrosegmentierungsrichtlinien API-Aufrufe empfängt, die es über neue Geräte oder Änderungen der IP-Adresse informieren, berechnet es automatisch die erforderlichen Segmentierungsregeln neu und verteilt sie. Die Sicherheitsrichtlinie wird ständig und kontinuierlich auf dem neuesten Stand sein. Die Labels lassen sich einfach in DevOps-Workflows für die Serverinstanziierung integrieren, und wenn sie so integriert sind, wird die Richtlinie automatisch berechnet und für jeden Server angepasst, der erstellt oder abgerissen wird.
 

5. Erfüllen Sie den Wunsch der Sicherheitsbranche nach einer feinkörnigeren Segmentierung ohne operative Probleme

Ein Sicherheitsarchitekt wird fast immer mehr Segmentierung bevorzugen als weniger. Die einzige Herausforderung besteht darin, dass ohne Mikrosegmentierung eine detailliertere Segmentierungsrichtlinie mit hohen Kosten für die Infrastrukturbetriebsteams verbunden ist. Wenn die Segmentierungsrichtlinie nicht mehr von der Netzwerkdurchsetzung, IP-Adressen oder vom Netzwerk abgeleiteten Datenflussdaten abhängt, reduziert sich der betriebliche Aufwand erheblich. Sobald Tools zum Verfassen von Richtlinien, Automatisierung und Transparenz das Projekt verbessern, kann selbst eine sehr enge Segmentierung ohne die erwarteten Kopfschmerzen erreicht werden.

Die Segmentierung mit ACLs erfordert einen harten, zeitaufwändigen Aufwand. Die Mikrosegmentierung erleichtert die Arbeitsbelastung und ermöglicht durch rollenbasierte Zugriffskontrolle die Verteilung der Last auf Anwendungs-, DevOps-, Sicherheits- und Infrastrukturteams. Ein Segmentierungswunsch, der mit herkömmlichen ACLs als zu kostspielig angesehen worden wäre, wird mit der Mikrosegmentierung viel einfacher.

Traditionell ist die Segmentierung schwierig – so sehr, dass oft betriebliche Überlegungen bestimmen, was machbar ist. Die Mikrosegmentierung bietet jedoch die reizvolle Möglichkeit, sowohl eine straffere Segmentierungspolitik als auch einen geringeren operativen Aufwand zu haben. Durch die Mikrosegmentierung wird die Durchsetzung von Richtlinien aus dem Netzwerk entfernt. Es definiert Richtlinien neu, ohne von IP-Adressen abhängig zu sein, erleichtert die Automatisierung von Richtlinien und bietet nützliche Visualisierungs- und Richtlinienschreibwerkzeuge.

Zusammengenommen kann ein Infrastrukturteam Sicherheitsmitarbeiter zufriedenstellen, die nach fein abgestimmten Richtlinien fragen müssen. Tatsächlich bietet die Mikrosegmentierung Infrastrukturteams die bestmögliche Nachricht: Sie können die Segmentierung aus der Netzwerkinfrastruktur entfernen.

To find out more, check out our paper on decoupling segmentation from the network infrastructure.