Blog
/
Zero-Trust-Segmentierung

Was ist wichtig in einem Richtlinienmodell für Mikrosegmentierung?

Illumio Editorial
,
March 19, 2021
23 min. Lesedauer

Von all den Funktionen, die es in einer Mikrosegmentierungslösung zu besprechen gilt, würden die meisten Anbieter nicht mit dem Richtlinienmodell beginnen. In Bezug auf das potenzielle Ergebnis, das eine bestimmte Lösung haben könnte, bestimmt das Richtlinienmodell jedoch, was möglich ist. Daher ist es eine hervorragende Vorbereitung darauf, eine qualitativ hochwertige Kaufentscheidung zu treffen, bei der wenig Bedauern zu erwarten ist, darüber nachzudenken, was in einem politischen Modell erforderlich ist. Lassen Sie uns die einzelnen wichtigen Komponenten eines wünschenswerten Politikmodells im Bereich Mikrosegmentierung untersuchen.

Mehrdimensionale Beschriftungen

Mikrosegmentierungsrichtlinien verwenden Labels, um die Segmentierung von der zugrunde liegenden Netzwerkadressierung und den Geräten abzustrahieren. Im Idealfall sind diese Bezeichnungen „sinnvoll mehrdimensional“. Ein flacher Namespace mit einer unbegrenzten Anzahl von Bezeichnungen ist nicht sinnvoll; er bietet keine Zusammenfassung oder Struktur, um Richtlinienaussagen, die viele Computer betreffen, aufzuhängen. Wenn Sie jedes System in einem flachen Namespace kennzeichnen, ist das kaum besser, als nur IP-Adressen zur Angabe der Richtlinie zu verwenden. Interessanterweise sollte die Anzahl der Bezeichnungen innerhalb einer bestimmten Richtliniendimension zwar nicht begrenzt werden, die Einschränkung der Richtliniendimensionen hat sich jedoch bei umfangreichen Bereitstellungen als nützlich erwiesen.

Wir Menschen können uns leicht vier Dimensionen vorstellen: drei physische Dimensionen plus Zeit zum Beispiel. Aber wenn die Physiker Recht haben und wir in einem 11- oder 13-dimensionalen Raum leben, kann nur Mathematik diese Dimensionen erfassen. Es ist unmöglich, sie in unserem Gehirn zu visualisieren. Dies hat praktische Konsequenzen für die Mikrosegmentierung. Sie können einen Computer so programmieren, dass er eine 11-dimensionale Richtlinie versteht und berechnet, aber kein Mensch wird sie verstehen können. Menschen müssen in der Lage sein, Richtlinien zur Mikrosegmentierung zu überprüfen, zu überprüfen und zu verstehen.

Unserer Erfahrung nach vier Dimensionen kann selbst die größten Netzwerke der Welt für politische Zwecke effektiv modellieren und gleichzeitig unsere Fähigkeit bewahren, das Modell zu verstehen. Halten Sie also Ausschau nach einem politischen Modell, das mehr als nur Flat-Tag- oder Label-Raum bietet. Die Struktur einiger Dimensionen funktioniert im Maßstab von Hunderttausenden von Systemen, ist aber nach wie vor leicht zu verstehen und zu handhaben. Schauen Sie sich dieses Video an, um mehr über das Potenzial von Etiketten zu erfahren.


Rich-Object-Modell

Eine Sprache für Qualitätspolitik wird über ein ausreichend umfangreiches Objektmodell verfügen. Ein hyperskaliertes Unternehmensrechenzentrum ist ein komplexer Ort. Es liegt auf der Hand, dass das Modell alles berücksichtigen muss, was geschützt werden muss: Server, virtuelle Maschinen, Container, Cloud-Instanzen usw. Diese geschützten Systeme reichen jedoch nicht aus, um alle nützlichen Grundzüge der Richtlinien zu abstrahieren. Sie benötigen Objekte für Dienste/Port-Zuordnungen und IP-Adressbereiche. Auf gemeinsam genutzten Servern — vielleicht einem Server mit mehreren Datenbankinstanzen — müssen Sie in der Lage sein, diese Instanzen als separate virtuelle Dienste voneinander zu abstrahieren. Behälter und Container-Hosts sollten beide „First-Class-Citizen“ sein, die auf allen Visualisierungen erscheinen und ein Teil der Grundsatzerklärungen. Interessanterweise ist es auch wichtig, ungeschützte Systeme zum Objektmodell hinzuzufügen — vor allem in den frühen Phasen der Bereitstellung, wenn mehr Dinge ungeschützt als geschützt sind und diese Systeme miteinander kommunizieren. Da alle Abläufe sauber dargestellt werden können, ist es viel einfacher, die gewünschte Richtlinie zu spezifizieren. Die besten Lösungen werden sogar in der Lage sein, Richtlinien für die nicht verwalteten Objekte zu erstellen, falls Sie diese für den Export und eine mögliche Implementierung zur Verfügung haben möchten.

Erbschaft

Die Vererbung von Richtlinien ist die einzige Möglichkeit, die Mikrosegmentierungsrichtlinie so zu skalieren, dass sie ein vorhandenes Rechenzentrum abdeckt. Wenn etwa 80 Prozent des Datenverkehrs innerhalb des Rechenzentrums fließen, bedeutet dies, dass die vorhandenen Perimeter-Firewallregeln nur 20 Prozent des Datenverkehrs abdecken. Das bedeutet, dass innerhalb des Rechenzentrums das Potenzial für fünfmal so viele Regeln bestehen wie derzeit in allen Firewalls! Die Abstraktionen, die das Richtlinienmodell bietet, und seine nützliche Dimensionalität müssen mit einem reinen Richtlinien-Modell kombiniert werden. Nur so können Richtlinien einmal formuliert werden, um sie in vielen Fällen anzuwenden. Vererbung und intelligente Richtlinienautomatisierung im Rahmen gängiger Mikrosegmentierungsrichtlinien, wie Anwendung Ringfencing, bilden zusammen die einzig bewährte Methode, Zehntausende von Systemen erfolgreich zu segmentieren.

Deklarativ vs. imperativ

Das einzige Richtlinienmodell, das erfolgreich über 100.000 Workloads mikrosegmentiert, verwendet eine deklarative Methode, um den Segmentierungswunsch auszudrücken. Bei einem deklarativen Richtlinienmodell ist nur ein Modell erforderlich, um das gewünschte Ergebnis zu spezifizieren. Bei einem imperativen Politikmodell muss die Lösung exakt spezifiziert werden, um das gewünschte Ergebnis zu erzielen. Ein herkömmlicher Firewall-Regelsatz ist unerlässlich: Jede Anweisung muss in perfekter Reihenfolge und mit perfekter Genauigkeit vorliegen, damit der gewünschte Schutz besteht. Dies führt zu endlosen Schwierigkeiten und Komplexität. Die ideale Mikrosegmentierungsrichtlinie verwendet jedoch ausschließlich eine deklarative Sprache: „Ich möchte die Bestellanwendung innerhalb meiner Produktionsumgebung abschirmen.“ Wie das erreicht wird, ist Sache der Richtlinie Compute Engine hinter der politischen Sprache. Auf diese Weise ist die Politik immer leicht zu spezifizieren, leicht zu verstehen und leicht zu entwickeln. Angesichts des Umfangs der zu erledigenden Arbeit wird alles andere zum Scheitern führen.

Konsistente Anwendung

Wenn alle erforderlichen Grundelemente vorhanden sind, werden sie von den besten Mikrosegmentierungslösungen konsistent in allen Bereichen des Produkts verwendet. Labels dienen nicht nur der Erstellung von Richtlinien, sondern müssen auch für die Sichtbarkeit, die Verteilung von Richtlinien und die Durchsetzung von Richtlinien sorgen. Rollenbasierte Zugriffskontrolle (RBAC) sollte der Labelstruktur genau folgen, damit Anwendungsbesitzer, DevOps und andere auf alles zugreifen können, was sie benötigen, aber nicht mehr. Insbesondere die Sicherung automatisierter Bereitstellungen erfordert diese präzise Delegierungsfähigkeit. Eine nützliche, klare und einfache Labelstruktur schafft ein mentales Modell, wenn sie konsequent angewendet wird. Fast sofort verstehen Administratoren intuitiv, wie die Lösung funktioniert, und können die Ergebnisse vorhersehen. Diese Intuition verwandelt sich schnell in Geschwindigkeit, Geschwindigkeit zur Meisterschaft und Meisterschaft zu abgeschlossenen Projekten. Einfachheit, Klarheit und Konsistenz sind die Lösung für komplexe Rechenzentrumsumgebungen.

Vollständige Abstraktion

Ich sage gern, dass die Automatisierung Metadaten zum Frühstück frisst. Die Automatisierung kann nicht schneller voranschreiten, als sie abstrahiert werden kann. Ein erfolgreiches politisches Modell muss alle Spuren der Netzwerkadressierung und des Durchsetzungsmechanismus selbst abstrahieren. Die Politik darf sich nur mit dem befassen, was gewünscht wird. Auf diese Weise kann die Automatisierung leicht das Ergebnis angeben: „Das Web muss mit der App sprechen.“ Die Regeln, die dafür erforderlich sind, werden sich in einer dynamischen Cloud oder automatisierten Umgebung ständig ändern, und diese Komplexität kann nicht dem Automatisierungsframework ausgesetzt werden, wenn es skaliert werden soll. Eine Richtlinie, die sich auf IP-Adressen stützt, egal wie gut sie gemeint sind, lässt sich einfach nicht skalieren. Ebenso muss der Durchsetzungsmechanismus versteckt werden. Sobald der Wunsch geäußert wurde, sollte die für die Mikrosegmentierung zuständige Politik-Engine herausfinden, wie diese Politik angesichts der ihr zur Verfügung stehenden Ressourcen am besten umgesetzt werden kann. Auf diese Weise wird sich die Anzahl der Durchsetzungspunkte ändern, wenn Systeme kommen und gehen, und das gilt auch für die Politik und die Regelbasis. Nur eine vollständig abstrahierte Richtlinie bietet DevOps und Cloud-Architekten die Funktionen, die sie für eine nahtlose Schnittstelle mit der Mikrosegmentierungslösung benötigen.

Umfassende Politik

Vor vielen Jahren dominierte die Megafauna die Erde. Riesige Versionen von Pflanzen und Tieren gab es auf allen Kontinenten, und sie überragten die Arten, die wir heute haben. Die besten Politikmodelle beinhalten Skalenfaktoren, die die einfachen Beschreibungen einzelner Anwendungen übersteigen. Die Möglichkeit, beliebige Bezeichnungen über alle Richtliniendimensionen hinweg zu gruppieren, ermöglicht es, dass einzelne Richtlinien sich auf Systeme in mehreren Rechenzentren, Umgebungen oder Anwendungen auswirken. Bei der Erstellung von Richtlinien für das Hyperscale-Unternehmen werden diese „Mega-Richtlinien“ mit erstaunlicher Reichweite, Geschwindigkeit und Effizienz umgesetzt, um das gesamte Unternehmen mit Richtlinien zur Mikrosegmentierung abzudecken.

Ein politisches Modell mag wie ein abstraktes und unwichtiges Konzept erscheinen. Doch für einen erfolgreichen Einsatz der Mikrosegmentierung könnte nichts weiter von der Wahrheit entfernt sein. Das politische Modell bestimmt, was ausgedrückt werden kann und was nicht und wie einfach oder schwer es sein wird, dies zu tun. Ein Unternehmen kann die Farbe seiner Benutzeroberfläche schnell ändern, aber es wird Schwierigkeiten haben, ein defektes oder falsch gestaltetes Richtlinienmodell zu reparieren. Das weltweit bewährteste Richtlinienmodell für Mikrosegmentierung bietet eine vollständige Abstraktion von Netzwerkadressierungs- und Durchsetzungspunkten durch ein „sinnvoll dimensionales“ Labelmodell. Dieses Modell wird konsequent in allen Funktionen des Produkts umgesetzt. Wenn vollständige Objektmodelle mit Vererbungsmodellen und deklarativen Modellen kombiniert werden, ist es möglich, das gewünschte Ergebnis einfach und schnell festzulegen und es in der Welt wahr werden zu lassen. Die Mikrosegmentierung ist erfolgreich bei Umfang von Hunderttausenden von Workloads nur durch ein ausgereiftes, vollständiges und gut durchdachtes Politikmodell.

Als Nächstes in dieser Reihe zu Fragen zur Mikrosegmentierung, von denen Sie nicht wissen, dass Sie sie stellen sollten, werden wir erörtern, was zur Automatisierung von Mikrosegmentierungsrichtlinien erforderlich ist.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

So schützt Illumio OT-Netzwerke vor Ransomware und anderen Sicherheitsangriffen
Zero-Trust-Segmentierung

So schützt Illumio OT-Netzwerke vor Ransomware und anderen Sicherheitsangriffen

Illumio schützt OT-Netzwerke und IT-Geräte vor Cyberangriffen mit verbesserter Transparenz und einer schnellen, einfachen Methode zur Mikrosegmentierung von OT-Netzwerken.

Lesen Sie mehr
Wie QBE mit Illumio Komplexität und Risiko weltweit reduziert
Zero-Trust-Segmentierung

Wie QBE mit Illumio Komplexität und Risiko weltweit reduziert

Erfahren Sie, wie QBE auf seinem Weg zu Zero Trust die Segmentierung implementiert hat.

Lesen Sie mehr
Deloitte würdigt Illumio als Tech Fast 500-Gewinner
Zero-Trust-Segmentierung

Deloitte würdigt Illumio als Tech Fast 500-Gewinner

Der Deloitte Technology Fast 500 zeichnet die am schnellsten wachsenden Technologieunternehmen auf der Grundlage des prozentualen Umsatzwachstums des Geschäftsjahres in den letzten drei Jahren aus.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr