Blog
/
Zero-Trust-Segmentierung

Ein Leitfaden für Architekten zur Bereitstellung von Mikrosegmentierung: Verwaltung der Lieferantenbeziehung und Betriebsintegration

Illumio Editorial
,
September 3, 2020
23 min. Lesedauer

Übergang vom Traditionellen Netzwerksegmentierung (wie Firewalls) zu Mikrosegmentierung erfordert eine orchestrierte Anstrengung unter der Leitung von Architekten oder Projektmanagern. Wenn Sie die wahren Vorteile im Voraus verstehen und untersuchen und den klarsten Weg zur Optimierung finden, ist ein Erfolg während des gesamten Bereitstellungsprozesses erreichbar.

In dieser Serie wurden die vielen Überlegungen zusammengefasst. In diesem fünften und letzten Teil werde ich erläutern, wie Sie Ihre Lieferantenbeziehung am besten verwalten und die betriebliche Integration aufrechterhalten können.

Verwaltung der Lieferantenbeziehung

Ihr ausgewählter Anbieter möchte, dass Ihr Mikrosegmentierungsprojekt genauso erfolgreich ist wie Sie. Auf Anbieterseite kommunizieren wir regelmäßig intern über jede Bereitstellung, um sicherzustellen, dass Funktionen, Ressourcen und Code verfügbar sind, wenn sie benötigt werden.

Behandeln Sie Ihren Anbieter wie einen strategischen Partner, um unsere beste Leistung zu erzielen. Wenn wir nicht nur wissen, „was Sie benötigen“, sondern auch „warum Sie es benötigen“ und „warum Sie es bis wann benötigen“, ist es viel einfacher, unser erweitertes Team zu wechseln. Wenn Sie Ihren Lieferanten auf Abstand halten und wir nur den allernächsten Schritt im Projektplan sehen können, sind wir oft nicht in der Lage, das Gesamtbild zu sehen und unser Fachwissen und unsere Erfahrungen einzubringen, bis es zu spät ist. Jedes Projekt kann sich verzögern, frühzeitig abgeschlossen werden müssen oder es gibt eine Vielzahl anderer Ergebnisse. Kommunizieren Sie wichtige Änderungen frühzeitig, und Ihr Anbieter wird in der besten Position sein, um die Änderungen zu absorbieren und Ihnen bei der Anpassung des Plans und der Ausführung zu helfen.

Check list

In den ersten Wochen des Projekts müssen mehrere wichtige Partnerschaften geschlossen werden:

  1. Lösungsarchitekt, Professional Services Engineer, Projektmanager, technischer Leiter. Dies ist das technische Kernarbeitsteam. Sie werden gemeinsam den größten Teil der technischen Arbeit erledigen, um das Projekt zum Erfolg zu führen. Es ist wichtig, dass es einen freien, offenen und respektvollen Dialog gibt.
  2. Architekt, Direktor, Projektarchitekt für Kundenerfolg. Dies ist das strategische Arbeitsteam. Sie müssen wissen, was technisch vor sich geht, und dem Projektteam einen Schritt voraus sein, um Hindernisse zu beseitigen oder zu minimieren. Diese Beziehung muss so angenehm sein, dass beide Seiten transparent über Probleme und Herausforderungen sprechen können. Dies ist der erste „Eskalationspunkt“ für beide Seiten, wenn etwas nicht gut läuft.
  3. Kundenbetreuer, VPs für Anbieter und leitender Sponsor. Dies ist das Arbeitsteam auf Unternehmensebene, das für die Ergebnisse verantwortlich ist. Dieses Team kümmert sich um alle Eskalationen zwischen Unternehmen, die auftreten könnten. Jede Seite hat ein Ausführungsrisiko, das auf dieser Ebene verstanden und zum Ausdruck gebracht werden sollte. Dieses Team sollte mehr als das aktuelle Projekt erörtern und dabei auch einen Fahrplan sowie zusätzliche Möglichkeiten und Ansatzpunkte für die Mikrosegmentierung einbeziehen.

Der leitende Sponsor, der sicherstellt, dass jedes dieser Teams gut funktioniert, wird selten von den negativen Folgen überrascht sein und feststellen, dass die meisten unvermeidlichen Probleme gelöst werden, ohne dass die Geschäftsleitung darauf aufmerksam wird, es sei denn, es handelt sich um Statusberichte. Kein Projekt verwaltet sich „von selbst“, aber wenn diese drei Ebenen der Beziehung gut gepflegt sind, laufen Projekte in der Regel reibungslos.

Verwaltung der betrieblichen Integration

Lassen Sie uns jetzt den Gang wechseln. Die meisten Mikrosegmentierungslösungen bestehen aus einigen Komponenten: mindestens einer zentralen Policy-Engine und einem hostbasierten Agenten. Die Komplexität einer Mikrosegmentierungsbereitstellung ist darauf zurückzuführen, dass diese beiden Komponenten so viele andere Dinge in der Unternehmensumgebung berühren. Es gibt mehrere „Best Practices“, die bei der betrieblichen Integration in bestehende Systeme hilfreich sein werden.

Erstellen Sie eine QS- oder Vorproduktionstestumgebung

Während sich sowohl das interne Team als auch das Anbieterteam natürlich auf die PROD-Instanzen der Lösung konzentrieren, stellen Sie sicher, dass das Team eine kleine QA-Version der Mikrosegmentierungslösung in einer Nicht-Produktionsumgebung einrichtet. Diese Plattform wird mehreren Zwecken dienen. Schon früh wird es ein Ort sein, an dem interne Entwickler und Teams für Automatisierungstools Code testen und entwickeln können. Betriebsteams können Logging-Integrationen und Event-Handling testen. Interne Schulungskurse können das System zur Einarbeitung nutzen.

Nach Abschluss der Bereitstellung sollte diese Fähigkeit beibehalten werden. Stellen Sie sicher, dass dieses Pre-Prod-System eines Ihrer Haupt-Betriebssystem-Images verwaltet. Auf diese Weise kann neuer Herstellercode in der Umgebung, in der es sich nicht um Produkte handelt, anhand der vollständigen PROD-Betriebssystem-Images getestet werden, bevor neue Versionen in die Produktion eingeführt werden. Im Idealfall kann das Bereitstellungsteam Ihres Anbieters dieses System als einzelne, schlanke VM bereitstellen.

Protokollierung/Ereigniswarnungen vor der Produktionsbereitstellung einrichten und testen

Es überrascht nicht, dass OPS-Teams das höchste Vertrauen haben, wenn die vollständige Betriebsintegration abgeschlossen ist, bevor die Produktionsworkloads gekoppelt werden. Es kostet Zeit und Mühe, Protokolle zu streamen, sie zu analysieren, Warnmeldungen auszulösen und Dashboards zu erstellen.

Diese Arbeit bietet jedoch einen vollständigen Überblick über den Zustand der Policy-Engine, der Agenten und der zugrunde liegenden Systeme. Es ist für jeden viel einfacher, in sensiblen Produktionsumgebungen zu arbeiten, wenn man weiß, dass alle erforderlichen Instrumente vorhanden sind. Erwarten Sie, dass die professionellen Servicetechniker Ihres Anbieters Empfehlungen zu wichtigen Protokollmeldungen geben und Warnmeldungen empfehlen, die bei anderen Kunden beliebt waren.

Drei verschiedene Gesichtspunkte müssen im Mechanismus zur Protokollanalyse/zur Ereignisbehandlung berücksichtigt werden:

  1. Sicherheit. Das Sicherheitsteam wird sich vor allem auf die Firewall-Protokolle und die Manipulationsschutzmechanismen des Agenten konzentrieren. Sie sind immer an Richtlinien und deren Verstößen interessiert.
  2. OPS. Das OPS-Team wird sich vor allem auf die Arbeitslast und den Zustand der Policy-Engine konzentrieren und wissen wollen, wie Systemereignisse mit anderen Ereignissen im Rechenzentrum korreliert werden können
  3. Armaturenbrett. Management- oder NOC-Administratoren benötigen häufig einen konsolidierten Überblick über die Mikrosegmentierungsbereitstellung, der die wichtigsten Punkte und die Möglichkeit zur Detailanalyse enthält

Wenn jedes dieser Bedenken in den Mechanismen zur Behandlung von Protokollen, Ereignissen und Warnungen berücksichtigt wird, baut sich das Vertrauen in der gesamten Organisation auf, da viele verschiedene Teams erkennen, dass das Projekt eine vollständige Integration bietet, die der bestehenden Praxis entspricht.

Investieren Sie in automatisierte Workflows

Eine Mikrosegmentierung wird viele Möglichkeiten bieten, Sicherheitsprozesse zu automatisieren, die lange Zeit rein manuell durchgeführt wurden. Darüber hinaus werden durch die Mikrosegmentierungskennzeichnung bestehende Metadatenquellen überprüft, besser untersucht und auf neuartige Weise kombiniert. Die daraus resultierenden Metadaten sind selbst wertvoll und können für die Verwendung durch andere Systeme und Automatisierungsaufgaben aufbewahrt werden. Es ist üblich, dass Unternehmen nach einer erfolgreichen Implementierung der Mikrosegmentierung über bessere Metadaten verfügen, wenn nur ein bescheidener Aufwand unternommen wird. Dieser Aufwand zahlt sich im laufenden Betrieb und bei der Ausweitung der anfänglichen Einführung der Mikrosegmentierung enorm aus.

Installation des Agenten

Die Bereitstellung eines Mikrosegmentierungsagenten auf Hunderten oder Tausenden von Systemen erfordert eine gewisse Form der Automatisierung. In einigen Fällen handelt es sich dabei um vorhandene Tools, in anderen Fällen werden sie von Grund auf neu erstellt. In vielen Fällen besteht jedoch der Wunsch, die Agenteninstallation in automatisierte Build-Prozesse zu integrieren. Ganz gleich, ob es sich dabei um Chef, Puppet, Ansible, Salt oder andere Frameworks handelt, es besteht die Möglichkeit, Sicherheit in den standardmäßigen automatisierten Lebenszyklus des Unternehmens zu integrieren.

Die meisten Unternehmensrechenzentren verfügen über eine Mischung aus vollständiger Automatisierung mithilfe von Orchestrierungs-Frameworks und älteren Umgebungen ohne diese Tools. Wenn Sie sich nach Möglichkeit die Zeit nehmen, die Integration mit dem Orchestrierungsteam durchzuführen, wird das Projekt optimal zum Erfolg führen. Ältere Umgebungen, die das Orchestrierungs-Framework nicht erhalten, können separat mit benutzerdefiniertem Scripting behandelt werden.

Installation der Policy-Engine

Einige unserer Kunden packen die Erstellung der Policy-Engine auch in ihr Orchestrierungspaket ein. Wenn die Instanziierung von Richtlinien automatisiert wurde, kann die Wiederherstellung nach einem Serverabsturz fast so schnell erfolgen, wie durch die Automatisierung eine neue Policy-Engine erstellt werden kann. Unternehmen mit einer starken DEV-OPS-Bewegung sollten dies in Betracht ziehen.

Policy Engine-Datenbanksicherung

Alle Policy-Engines für Mikrosegmentierung haben eine Art Datenbank hinter sich. Wenn diese Datenbank beschädigt oder nicht verfügbar ist, funktioniert die Lösung wahrscheinlich überhaupt nicht oder liefert unerwünschte Ergebnisse. Stellen Sie sicher, dass das OPS-Team die erforderlichen Backups automatisiert hat und über Fachkenntnisse in der Wiederherstellung und Wiederherstellung gemäß den Verfahren Ihres Anbieters verfügt.

Labelzuweisung

Die anfängliche Zuweisung von Labels zu Workloads erfolgt in der Regel durch einen Massen-Upload in die Policy-Engine. Dadurch werden die richtigen Bezeichnungen für die ursprünglichen Systeme im Anfangszustand erzeugt. Im Laufe der Zeit werden sich die Beschriftungen ändern. Neue Systeme werden hinzukommen, einige werden verschwinden. Je mehr dieser Arbeitsablauf automatisiert ist, desto einfacher wird er für alle Beteiligten sein. Dazu gehört die Kodifizierung der Etikettenzuweisung in der internen Konstruktionsdokumentation und die Entscheidung, wie sie gespeichert, aktualisiert und abgerufen werden soll.

Ihre Mikrosegmentierungslösung verwendet immer Labels, aber diese Labels lassen sich am besten durch eine zentrale Metadatenverwaltung verwalten. Ihr DEV OPS-Team wird wahrscheinlich eine starke Meinung zum Thema Metadatenmanagement haben, und es ist ratsam, seine Meinung mit einzubeziehen.

Verwaltung von Metadaten

Bei einer Mikrosegmentierungsbereitstellung werden Sicherheitsrichtlinien anhand der Metadatenzuweisungen erstellt. Das bedeutet, dass Ihre Mikrosegmentierungslösung im Laufe der Zeit über eine Reihe von Bezeichnungen und anderen Metadaten verfügen wird, die beschreiben, wie die Dinge interagieren sollen. Diese Beschriftungen werden in der Regel nicht von Ihrem Anbieter nach Maß gefertigt — sie werden anhand einer vorhandenen Informationsquelle wiederverwendet.

Dies bietet eine Automatisierungsmöglichkeit. Eine gute Mikrosegmentierungslösung berechnet Richtlinien immer neu, wenn sich Bezeichnungen ändern. Wenn die Metadaten also außerhalb Ihrer Mikrosegmentierungslösung verwaltet werden, kann diese Aufgabentrennung für die Automatisierung genutzt werden. Wenn die Mikrosegmentierungslösung auf eine externe „Informationsquelle“ verweist, könnte jede Änderung der Metadaten Ihre Policy-Engine programmgesteuert benachrichtigen, und die Regeln würden automatisch aktualisiert.

Mit der Mikrosegmentierung ist ein intelligenteres Metadatenmanagement dasselbe wie ein intelligenteres Vorgehen bei der Richtlinien- und Richtlinienverwaltung. Die Zeit, die damit verbracht wird, darüber nachzudenken, wo die Metadaten, die für die Erstellung von Bezeichnungen verwendet werden, gespeichert werden und wie sie aktualisiert, abgerufen und einer Policy-Engine zugeführt werden, ist immer eine fruchtbare Übung. In anderen Fällen können Informationen aus der Policy-Engine bei der Aktualisierung vorhandener CMDB-Systeme hilfreich sein. Der Einsatz von Mikrosegmentierung ist ein hervorragender Grund, darüber nachzudenken, wie Metadaten in der Organisation verwendet und genutzt werden, und sie kann einen Anstoß zur Automatisierung dieser Verbesserungen geben.

Wir bringen alles nach Hause

Ein erfolgreicher Einsatz der Mikrosegmentierung wird das interne Segmentierungsmodell, den politischen Dialog und den Grad der Sicherheitsautomatisierung verbessern. Das Team an dieses Ziel zu führen, erfordert neue Erkenntnisse und neue Möglichkeiten. Die Mikrosegmentierung wird Teile des bestehenden Betriebsmodells verändern und lässt sich am besten von einem funktionsübergreifenden Bereitstellungsteam durchführen.

Als Führungskraft wird Ihr Input an mehreren wichtigen Stellen benötigt. Wenn Sie darauf bestehen, die richtigen Gespräche über Metadaten und die Entwicklung von Richtlinien zu führen, haben Sie die Möglichkeit, die Geschwindigkeit und Agilität Ihres Unternehmens nachhaltig zu verbessern. Sie können wirklich eine feinkörnige Kontrolle und gleichzeitig eine schnelle Automatisierung haben. Ich hoffe, von Ihrem Erfolg bei der Bereitstellung, Operationalisierung und Ausführung Ihrer eigenen Mikrosegmentierungsbereitstellung zu erfahren.

Weitere Informationen zu allem, was Sie wissen müssen, um eine Mikrosegmentierungsstrategie von Anfang bis Ende umzusetzen, finden Sie im E-Book. Secure Beyond Breach: Ein praktischer Leitfaden zum Aufbau einer umfassenden Cybersicherheitsstrategie durch Mikrosegmentierung.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

5 Gründe, warum Ihr Cloud-Architekt die Mikrosegmentierung lieben wird
Zero-Trust-Segmentierung

5 Gründe, warum Ihr Cloud-Architekt die Mikrosegmentierung lieben wird

Für einen Cloud-Architekten ist der Wechsel in die Cloud mehr als nur ein Standortwechsel.

Lesen Sie mehr
So stellen Sie erfolgreiche Mikrosegmentierungsprojekte sicher: Auswahl der richtigen Tools
Zero-Trust-Segmentierung

So stellen Sie erfolgreiche Mikrosegmentierungsprojekte sicher: Auswahl der richtigen Tools

Erfahren Sie, worauf Sie bei der Bewertung von Mikrosegmentierungstools achten müssen und warum ältere Ansätze in modernen Umgebungen keine Mikrosegmentierung bieten.

Lesen Sie mehr
Lassen Sie Ihr Netzwerk nicht zu einem Hindernis für die Workload-Segmentierung werden
Zero-Trust-Segmentierung

Lassen Sie Ihr Netzwerk nicht zu einem Hindernis für die Workload-Segmentierung werden

Erfahren Sie, warum das Netzwerk kein Hindernis mehr für eine agile Workload-Bereitstellung, Automatisierung und Sicherheit ist.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr