Blog
/
Zero-Trust-Segmentierung

Ein Leitfaden für Architekten zur Bereitstellung von Mikrosegmentierung: Auswirkungen einer Änderung des Sicherheitsmodells

Illumio Editorial
,
July 17, 2020
23 min. Lesedauer

Ein Architekt oder Projektmanager für eine Mikrosegmentierungsbereitstellung profitiert von einem klaren Bild der gewünschten Ergebnisse und davon, wie sich die Bereitstellung wirklich auf sein Unternehmen auswirken wird. Gleichzeitig erfordert die Bereitstellung dieser Erkenntnisse oft die Unterstützung anderer Teammitglieder, von denen einige möglicherweise nicht einmal der IT-Abteilung angehören. Was muss ein Architekt oder Projektmanager über Mikrosegmentierungseinsätze wissen, um ein neues Projekt auf die Beine zu stellen, es auf Kurs zu halten und optimale Ergebnisse zu erzielen?

In dieser Reihe werden genau diese Fragen untersucht und die wichtigsten Erkenntnisse untersucht, anhand derer Ihr Team optimal aufgestellt ist, um die Ergebnisse zu erzielen, die Sie erwarten und für das Unternehmen liefern müssen. Dabei stützen wir uns auf die Erfahrung aus der Arbeit mit Hunderten von Mikrosegmentierungseinsätzen.

In Teil 1, ich werde die Auswirkungen einer Änderung Ihres Sicherheitsmodells erörtern. Die Umstellung auf eine Mikrosegmentierungslösung verändert das bestehende Netzwerk-/Perimetermodell in mehreren wichtigen Punkten, die im Folgenden beschrieben werden. Jede dieser Änderungen bietet einige der Vorteile, die die Mikrosegmentierung überhaupt erst attraktiv gemacht haben, und jede dieser Änderungen hat Auswirkungen auf das Unternehmen.

Der Erzwingungspunkt bewegt sich vom Netzwerk zum Host

Traditionell wird Sicherheit an Perimeterengpässen platziert, sei es am Rand eines VLANs, in der PROD-Umgebung oder im Internet. In diesem Modell gibt es kaum direkte Interaktionen mit den Anwendungs-, Serverbetriebs- oder Automatisierungsteams. Die Umstellung auf die Host-basierte Durchsetzung bedeutet:

  • Betriebssystemmix und Agentenunterstützung sind wichtig
  • Verfügbarkeit und Konsistenz der Automatisierungs- und Administrationstools werden sich darauf auswirken, wie und wie schnell Agenten eingesetzt werden
  • Besitzer der Anwendung, Systemadministratoren und Automatisierungsentwickler werden auf eine Weise interagieren, die für sie und das Sicherheitsteam neu ist
  • Sicherheit „innerhalb des Betriebssystems“ zu haben, ist für die Anwendung/Admin-Teams neu und sie müssen verstehen, was das für sie bedeutet.

Die Sicherheitspolitik wechselt von einem gemischten Blacklist-/Whitelist-Modell zu einem reinen Whitelist-Modell

Hardware-Firewalls verwenden eine Mischung aus Genehmigungs- und Verweigerungsanweisungen. Das bedeutet, dass die Reihenfolge der Regeln in den einzelnen Geräten von großer Bedeutung ist. In den besten Richtlinien zur Mikrosegmentierung gibt es nur Genehmigungserklärungen. Dies ist natürlich die praktische Umsetzung von Null Vertrauen Prinzipien für die Segmentierung. Es beseitigt aber auch Bedenken hinsichtlich der Reihenfolge der Regeln und ermöglicht flexible, mehrdimensionale Richtlinien. Es handelt sich um eine andere Arbeitsweise und Spezifizierung von Politiken, für die es eine kurze Übergangszeit geben wird, da die politischen Autoren lernen, ihre Wünsche auf eine neue Art und Weise zum Ausdruck zu bringen. Es entsteht eine viel einfachere Richtlinie, die leichter zu „lesen“ ist, was Audits und die Überprüfung der Einhaltung der Vorschriften erheblich erleichtert. Rechnen Sie damit, Zeit mit diesen Teams zu verbringen, um sie über das neue Richtlinienmodell zu informieren.

Sicherheitsrichtlinienaussagen werden von netzwerk-/IP-abhängigen Aussagen zu metadatengesteuerten Aussagen

Hardware-Firewalls hängen für das Schreiben von Regeln von IP-Adressen, Ports und Protokollen ab. Alle Anbieter von Mikrosegmentierung stellen Bezeichnungen oder Metadaten zur Verfügung, um politische Aussagen ohne Verweis auf Netzwerkkonstrukte auszudrücken. Das bedeutet, dass die Sicherheitsrichtlinie nicht nur für das Netzwerk oder die Netzwerksicherheitsteams verständlich sein wird. Grafische „Point-and-Click“ -Mechanismen für das Schreiben von Regeln bieten zudem eine fast untechnische Möglichkeit, Sicherheitsrichtlinien zu erstellen. In Kombination mit einer leistungsstarken rollenbasierten Zugriffskontrolle (RBAC), wird es möglich, eine breitere Verteilung des Regelschreibens innerhalb der Organisation in Betracht zu ziehen. Ob dies wünschenswert ist oder nicht, wird organisationsspezifisch sein.

Obwohl Metadaten für das Sicherheitsteam in der Vergangenheit nicht wichtig waren, nutzen sie die Teile des gesamten Unternehmens, die sich mit Automatisierung befassen, intensiv. Das Zusammentreffen von Sicherheits- und Automatisierungsteams, die Metadaten generieren und verarbeiten, bedeutet, dass es notwendig und lohnenswert ist, dem Entwurf, der Speicherung, Änderung usw. von Metadaten besondere Aufmerksamkeit zu schenken, was sich positiv auf die Agilität des gesamten Unternehmens auswirken kann. Dieses umfassendere Gespräch findet am besten statt, wenn die Unternehmensleitung Silos und Arbeitsgruppen einbezieht und das gesamte Spektrum der betroffenen Akteure zusammenbringt, um eine gemeinsame Lösung zu finden.

API-gesteuerte Sicherheitsautomatisierung ist verfügbar

Automatisierung und Orchestrierung sind zwar normale Begriffe auf der Anwendungs- und Systemseite der IT, aber im Netzwerk- und Sicherheitsteam waren sie nicht so verbreitet. Eine gute Mikrosegmentierungslösung bietet jedoch einen vollständig API-gesteuerten Arbeitsablauf. Auf alle Funktionen der Plattform sollte über die API zugegriffen werden können. Das bedeutet, dass die Fähigkeit, Sicherheit zu automatisieren, nur durch Vorstellungskraft, Zeit und Aufmerksamkeit begrenzt ist. Auch hier ist eine funktionsübergreifende Teamarbeit erforderlich, damit das Unternehmen die Möglichkeiten versteht, die Automatisierungswünsche priorisiert und die daraus resultierenden Pläne mit den entsprechenden Phasen umsetzt. Die Zeit, die für die Sauberkeit und Organisation der Metadaten aufgewendet wird, zahlt sich bei der Automatisierung der Mikrosegmentierungspolitik stark aus.

In jeder dieser Beobachtungen ist der rote Faden, dass dies Der Einsatz wird interne organisatorische Grenzen überschreiten. Es wird Funktionen bieten, die es noch nie gegeben hat, und es wird Daten generieren und verarbeiten, die für das Team neu sind. Vereinfacht ausgedrückt ist das „Veränderung“ und nicht „mehr vom Gleichen“. Jede Organisation hat ihre eigene Einstellung zu Veränderungen, und die größte Managementaufgabe besteht darin, diese Veränderung mit der Fähigkeit der Organisation, sie zu bewältigen, in Einklang zu bringen.

Heute haben wir untersucht, wie die Mikrosegmentierung das bestehende Netzwerk-/Perimetermodell, mit dem Ihr Unternehmen wahrscheinlich „vertraut“ ist, grundlegend verändert. In Teil 2 werden wir die nächste wichtige Erkenntnis erörtern, die es Ihrem Team ermöglichen wird, Mikrosegmentierung mit größtem Erfolg einzusetzen: wie man ein Bereitstellungsteam zusammenstellt.

Einen tieferen Einblick und eine ausführliche Lektüre zu allem, was Sie für den erfolgreichen Einsatz von Mikrosegmentierung wissen müssen, finden Sie im E-Book Secure Beyond Breach: Ein praktischer Leitfaden zum Aufbau einer umfassenden Cybersicherheitsstrategie durch Mikrosegmentierung.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

5 Methoden, die Sie jetzt anwenden müssen, um die Cloud-Sicherheit ausgereift zu machen
Zero-Trust-Segmentierung

5 Methoden, die Sie jetzt anwenden müssen, um die Cloud-Sicherheit ausgereift zu machen

Tipps zur Umsetzung eines Reifegradmodells für Cloud-Sicherheit, um ein Cloud-natives Reifegradmodell zu unterstützen und zu verteidigen.

Lesen Sie mehr
Workloads und Anwendungen: Definiert
Zero-Trust-Segmentierung

Workloads und Anwendungen: Definiert

Workloads und Anwendungen sind wichtig, wenn es um Rechenzentrums- und Cloud-Sicherheit geht. Erfahren Sie in diesem Video den Unterschied zwischen ihnen.

Lesen Sie mehr
Wie Ixom mit Illumio innerhalb von 2 Tagen sofortige Sichtbarkeit und Kontrolle erlangte
Zero-Trust-Segmentierung

Wie Ixom mit Illumio innerhalb von 2 Tagen sofortige Sichtbarkeit und Kontrolle erlangte

Erfahren Sie vom Ixom-Team, das wichtige Systeme für das führende Unternehmen der chemischen Industrie in Australien und Neuseeland schnell sichern musste — und wie ihnen die Sichtbarkeit und Segmentierung von Illumio zum Erfolg verholfen haben.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr