.png)
Fragen zur Mikrosegmentierung, von denen Sie nicht wissen, dass Sie sie stellen sollten: Was braucht es, um Ihr Anwendungsteam an Bord zu holen?
Anwendungseigentümer sind an eine distanzierte Beziehung zu ihren Sicherheits- und Netzwerkteams gewöhnt. Das Netzwerk soll „einfach funktionieren“ und Firewalls sind eine Qual, die man nur selten aushalten muss. Schließlich fühlt sich die Infrastruktur für den durchschnittlichen Anwendungsbesitzer nicht „nah“ an. Wenn die Sicherheits- und Infrastrukturteams jedoch ankündigen, dass sie die Grenzen der Durchsetzung auf das Betriebssystem verlagern oder die Anwendung abschirmen wollen, nehmen abstrakte Konzepte plötzlich eine neue Realität an.
Die größte Befürchtung ist, dass die Implementierung der Kontrollen unvollständig sein wird, was zu Ausfällen führen wird oder dass sie möglicherweise die Leistung beeinträchtigen oder auf andere Weise zu Kopfschmerzen führen, die es vorher nicht gab. Allgemein gilt auch, dass das Anwendungsteam bei den Anwendungsserver-Instanzen eine beträchtliche Kontrolle ausübt und Implementierungen oft verzögern kann, wenn die Bedenken nicht berücksichtigt werden. Wie entwickeln wir also eine dauerhafte, vertrauensvolle Beziehung zu unseren Anwendungseigentümern, DevOps- und Cloud-Teams?
Den hippokratischen Eid ablegen
Für Anwendungsbesitzer steht die Serviceverfügbarkeit ganz oben auf ihrer Liste und umfasst oft einen Teil ihrer MBOs oder Leistungsboni. Alles, was die Verfügbarkeit der Anwendung gefährdet, wird sofort auf Widerstand stoßen. Aus diesem Grund ist es wichtig, dass die Anwendungs- und Automatisierungsteams wissen, dass Sie den hippokratischen Eid tatsächlich abgelegt haben — Sie werden nicht zulassen, dass ihre Anwendung bei der Entwicklung der Mikrosegmentierungsrichtlinie Schaden nimmt. Denken Sie daran, dass sie aufgrund von Firewall-Umstellungen und Neukonfigurationen bei jeder Anpassung der Mikrosegmentierungsregeln mit einem Verstoß rechnen müssen. Aber das muss nicht so sein. Wenn Sie sich für eine Lösung mit einer starken „Build, Test, Enforce“ -Methode entscheiden, werden alle Mikrosegmentierungsrichtlinien so lange gründlich getestet, bis die Richtigkeit gewährleistet ist.
Versuchen Sie bei der ersten Bereitstellung nicht, Anfragen zum Testen oder Zertifizieren von hostbasierten Agenten zu überholen. Jeder Qualitätsagent durchläuft die Tests im Handumdrehen. Wählen Sie einen Agenten, der nicht an den Datenverkehr angeschlossen ist, der kein virtueller Netzwerkadapter ist und der den Kernel nicht verändert, und die Akzeptanz der Anwendungseigentümer wird sprunghaft ansteigen. Vermeiden Sie Inline-Agents, die entweder beim Öffnen (keine Firewall-Richtlinie) oder beim Schließen (die App geht kaputt) ausfallen. Wählen Sie einen Agenten, der für den Betrieb in unternehmenskritischen Umgebungen zertifiziert ist, wie Oracle-Exadaten, und es steht außer Frage, dass der Agent unsicher ist. Wenn Sie einen sicheren Agenten mit einem sicheren Pfad zur Durchsetzung kombinieren, können die Eigentümer der Anwendung und die Betriebsteams verstehen, dass Sie ihre Bedenken hinsichtlich der Sicherheit und Verfügbarkeit der Anwendung teilen.
Ermöglichen Sie ihnen, teilzunehmen
Jede hochwertige Zero-Trust-Segmentierungslösung geht jedoch weit über Sicherheitsgarantien hinaus und bietet den Eigentümern der Anwendung die Möglichkeit, sinnvoll daran teilzunehmen. Gewähren Sie Anwendungseigentümern zumindest mithilfe der rollenbasierten Zugriffskontrolle (RBAC) Zugriff auf die Visualisierung ihrer Anwendung. Sobald sie das sehen Abbildung der Anwendungsabhängigkeitenkann der Besitzer der App überprüfen, ob die beobachteten Datenflüsse erwartungsgemäß sind und zugelassen werden sollten. Während die Richtlinie weiterentwickelt wird, kann der Eigentümer der App überprüfen, ob die erforderlichen Kerndienste, Datenbankverbindungen und Benutzerzugriffsmethoden zulässig sind. Sie werden Teil der Genehmigungskette, um sicherzustellen, dass die Richtlinie sowohl abgesichert als auch aktiviert wird. Manche Organisationen gehen noch weiter und geben den Anwendungseigentümern die Kontrolle über die Erstellung der internen Anwendungsrichtlinie. Wenn dies unter strengen RBAC-Kontrollen erfolgt, kann jeder App-Besitzer nur seine eigene App sehen. Die Richtlinienkontrolle kann nach Bedarf delegiert und eingeschränkt werden. Da die endgültige Genehmigung den Sicherheits- und Infrastrukturteams vorbehalten ist, überträgt dies den Betriebsteams die volle Verantwortung und erhöht das Vertrauen und die Verbindung zum Ergebnis.
Bieten Sie die Möglichkeit zur Automatisierung
Fast alle Apps, die in den letzten Jahren entwickelt wurden, sind weitgehend automatisiert. Sie stehen mit Skripten auf, die vom Anbieter bereitgestellt werden. Sie bieten APIs an und lassen sich häufig in SaaS, Cloud-Instanzen, Container oder andere fortschrittliche Anwendungshosting-Technologien integrieren. Für DevOps-Teams könnte alles, dem eine API fehlt, genauso gut nicht existieren!
In der Vergangenheit waren Anwendungsteams frustriert über das langsame Tempo der manuell eingegebenen Mikrosegmentierungsregeln und die damit verbundenen Prozesse. Bieten Sie Segmentierung also als Service an! Geben Sie ihnen API-Schlüssel für Ihre Zero-Trust-Segmentierungslösung. Bitten Sie sie, ihre Metadaten als Quelle für die Abstraktion von Labels/Tags/Richtlinien zu verwenden. Wenn ihre Metadaten zum Ausgangspunkt für Visualisierung und Richtlinien werden, kann die Mikrosegmentierung einfach über die API angefordert und vom ersten Tag an automatisiert werden. Zeigen Sie den Anwendungsteams, wie sie auf Segmentierungs-as-a-Service zugreifen können. Ermutigen Sie sie, dies in ihre Runbooks und Golden Images aufzunehmen, und dann sprechen Sie ihre Muttersprache. Alle profitieren davon, wenn die Mikrosegmentierungsrichtlinie während des gesamten Anwendungslebenszyklus kontinuierlich aktualisiert wird.
Das Geschäft hängt von Anwendungen ab, und die Teams, die sie bereitstellen und unterstützen, sind nicht an die detaillierten technischen Anforderungen gewöhnt, die ein Firewall-Team normalerweise benötigt. Die Zero-Trust-Segmentierung muss sie jedoch nicht aufhalten oder dazu bringen, Hindernisse zu errichten. Bei einer Mikrosegmentierung, die ordnungsgemäß kommuniziert und mit Ressourcen ausgestattet ist, können die Anwendungseigentümer sicher mit dem Projekt interagieren. Die besten Projektteams fordern sie außerdem auf, Mikrosegmentierung als verfügbaren API-gesteuerten Dienst zu betrachten — genau wie die anderen SaaS-Dienste, die sie regelmäßig nutzen. Wenn fortschrittliche Mikrosegmentierung einfach anzuwenden und sicher zu bedienen ist und unter ihrer Kontrolle und Beeinflussbarkeit steht, werden Sie die Anwendungsteams finden, die bereit sind, Ihnen zu helfen, ihre Systeme vor den Bedrohungen zu schützen, von denen niemand möchte, dass ihre Systeme betroffen sind.
Erfahre mehr über Anwendungssegmentierung heute.
