/
Zero-Trust-Segmentierung

Netzwerksicherheit im Container-Zeitalter

Eines der guten Dinge daran, viele Jahre in der Branche zu sein, ist die Tatsache, dass wir beobachten können, wie Netzwerksicherheit Die Trends im Rechenzentrum haben sich weiterentwickelt und sagen gewissermaßen voraus, was als Nächstes kommt, basierend auf gemeinsamen Mustern und Intuitionen.

Netzwerk- und Sicherheitsgrenzen ändern sich

Vor fünfzehn Jahren war die Netzwerksicherheit im Rechenzentrum ziemlich einfach. Layer-2-Protokolle waren absolute Könige in ihrem Bereich, und die Firewall konnte am Rand sitzen, um das Internet oder eine WAN-Verbindung zu schützen. Die Server für eine bestimmte Anwendung waren alle im selben Rack miteinander verbunden, und die Grenze zwischen den verschiedenen Teilen der Infrastruktur war klar definiert. Das zu segmentieren war ziemlich einfach.

Network_And_Security_Boundaries_Technical_Diagrams_2

Wenige Jahre später gewannen Gehäuse- und Blade-Server langsam an Bedeutung, um all diese Server zu konsolidieren und die Konnektivität zu vereinfachen. Dies führte zu einer ersten Verschiebung der Netzwerk- und Sicherheitsgrenzen zwischen Personen, die Server verwalten, und Personen, die für das Netzwerk und die Sicherheit verantwortlich sind. Wer ist für die Konnektivitätsmodule in diesen Gehäusen verantwortlich, und wo sollten wir die Sicherheitsgeräte platzieren? In den meisten Fällen war das Netzwerkmodul das am wenigsten wichtige Modul im Gehäuse und es war immer ein Albtraum, eine Verbindung zum Rest der Netzwerk- und Sicherheitsinfrastruktur herzustellen.

Network_And_Security_Boundaries_Technical_Diagrams_3

Dieser Kampf wurde jedoch durch eine neue Technologie auf den Kopf gestellt. ESX von VMware Hypervisor hat schnell die Möglichkeit demokratisiert, denselben Hardwareserver gemeinsam zu nutzen, um viele virtuelle Server zu betreiben. Um diese virtuellen Server miteinander zu verbinden, musste das Netzwerk daher erneut an eine andere Stelle verschoben werden: innerhalb des Hypervisors. Shifts begann als sehr einfacher virtueller Switch, wurde aber schnell auf Layer-3-Services und schließlich auf Sicherheit ausgeweitet.

Network_And_Security_Boundaries_Technical_Diagrams_5

Und auch hier begann die öffentliche Cloud trotz der Weiterentwicklung der Rechenzentrumsinfrastruktur ihren Aufstieg, um dem Unternehmensmarkt eine Reihe von Diensten anzubieten, die vollständig automatisiert und extrem agil sind. Es dauerte nicht lange, bis die Entwickler den Wert dieser neuen abstrakten Infrastruktur erkannten, die einen skalierbaren und hochverfügbaren Service bereitstellen kann, ohne sich mit der Komplexität der Infrastrukturverwaltung auseinandersetzen zu müssen.

Network_And_Security_Boundaries_Technical_Diagrams_1

Vor einigen Jahren entstand eine neue Art von Workload, die leicht, tragbar und in Sekundenschnelle einfach auf- oder abgebaut werden kann: Container. Angesichts der zunehmenden Verbreitung von Containern wurde den Entwicklern schnell klar, dass diese Rechenressourcen zusammen mit dem Netzwerk orchestriert werden müssen, um sicherzustellen, dass Anwendungen hoch- und herunterskaliert werden können, ohne auf ein externes Netzwerk und eine Sicherheitsinfrastruktur angewiesen zu sein. Ein Container-Cluster ist ein neues Infrastrukturelement, das Rechenleistung, Netzwerk und Sicherheit miteinander verbindet und erneut zu einer Verschiebung der Netzwerksicherheitsgrenze führt.

Network_And_Security_Boundaries_Technical_Diagrams_4

Also, was haben wir in 15 Jahren gelernt? Was ist das gemeinsame Muster all dieser Entwicklungen?

  1. Die Grenze zur Netzwerksicherheit verschiebt sich immer mehr in die Rechenebene, da Entwickler ständig an die Grenzen gehen, um beim Entwickeln und Testen ihrer Anwendungen mehr Flexibilität zu erhalten.
  2. Netzwerk- und Sicherheitsteams kommen spät ins Spiel und können bestenfalls Optionen oder Lösungen empfehlen, aber meistens übernehmen sie, was von Anwendungs- oder Cloud-Teams entschieden wurde.
  3. Der Schutz von Infrastrukturen ist schwieriger, wenn die Dinge nicht unter Berücksichtigung der Sicherheit durchdacht und entworfen wurden, und führt in der Regel zu einer zusätzlichen Komplexität, wenn sie später hinzugefügt wird.


Was ist das Problem mit Containern?

Container und Container-Cluster sind eigentlich keine Ausnahme von diesem Trend, das Netzwerk immer mehr in die Software- und Rechenschichten zu verlagern. Wie bereits beschrieben, beobachten wir dies seit vielen Jahren, und es gibt keinen Grund, warum sich das ändern sollte, wenn die Netzwerk- und Sicherheitsteams diesen Trend nicht umkehren.

Aus Netzwerk- und Sicherheitsperspektive führen Container nichts Neues oder Unbekanntes ein, sie kombinieren lediglich das, was wir bereits wissen (IPs, Subnetze, DHCP/DNS, Zonen, Segmente, Kapselung, NAT, Firewall oder Load Balancer), aber alles befindet sich zufällig im Betriebssystem selbst, und das ist ein grundlegendes Problem.

IT-Teams lieben Grenzen, Verantwortlichkeiten und Eigenverantwortung, und das ist das Gegenteil von der Funktionsweise von Containerclustern. Sie wurden so konzipiert, dass sie autark, orchestriert und undurchsichtig gegenüber der Außenwelt sind. Einerseits ist es eine gute Nachricht, dass für die Verbindung und den Betrieb einer neuen Infrastruktur keine umfangreichen Planungssitzungen erforderlich sind. Auf der anderen Seite stellt sich eine echte Sicherheitsfrage, wie die Anwendungsabläufe gesichert werden können, wenn Sie nicht wissen und verstehen, was in diesen Clustern vor sich geht.

Was kann getan werden, um das zu ändern?

Idealerweise sollten Entwickler Code entwickeln und ihn an ein anderes Team übergeben, um den Code in die Produktion zu bringen — auf gründlich getestete und automatisierte Weise, auf einer Infrastruktur, die auf Skalierbarkeit und Verfügbarkeit ausgelegt ist, und wobei Sicherheit auf jeder Ebene des Stacks oberste Priorität hat.

Nun, es scheint, dass wir in vielen Organisationen diesen Punkt noch nicht erreicht haben. DevOps-Teams sind mit ihren Kollegen in der Entwicklung verbunden, aber das ist bei Netzwerk- und Sicherheitsteams nicht immer der Fall, und das muss sich ändern, wenn wir Container als disruptive Technologie auf dem Markt sehen wollen.

Netzwerk- und Sicherheitsteams sollten mehr Zeit damit verbringen, zu verstehen, was von der Infrastruktur transportiert und gesichert wurde. Sie sollten lernen, was eine CI/CD-Pipeline ist, und sie sollten eine Meinung dazu haben, wie die Dinge in der Anwendung aufgebaut sind, damit sie die Sicherheitsmechanismen anpassen können, um das zu ergänzen, was die Anwendung nicht leisten kann. Dazu müssen sie neue Fähigkeiten erlernen, Unterschiede akzeptieren und kritisch sein, aber neuen Konzepten gegenüber aufgeschlossen sein, die auf den ersten Blick vielleicht keine gute Idee zu sein scheinen, aber tatsächlich sehr effizient sein können.

Container sind ein perfektes Beispiel für eine Technologie, die Menschen aus allen Bereichen einer IT-Abteilung dazu zwingt, voneinander zu lernen.

Andernfalls ist es ein Rezept für eine Katastrophe. Es gibt keinen Container-Cluster ohne Netzwerke, es gibt keine containerisierte Anwendung in der Produktion ohne Sicherheit, und es gibt keine gemeinsam genutzte Infrastruktur ohne Segmentierung. Netzwerk- und Sicherheitsteams müssen diese Gelegenheit nutzen, um neue Vorgehensweisen zu erlernen, mehr Zeit damit zu verbringen, zu verstehen, wie Dinge mit Software erledigt werden können, und die Verantwortung für die Netzwerk- und Sicherheitsebenen übernehmen, indem sie einfache, sichere und stabile Designs für die Anwendungsebene vorschlagen.

Wo solltest du anfangen?

Es gibt offensichtlich keine Wunderwaffe oder Geheimwaffe, die die Einheitslösung sein könnte. Aber hier sind einige Ideen, die dazu beitragen können, Ihr Team zum Erfolg zu führen:

Lerne deine Feinde kennen: Entwickler und DevOps-Teams sind nicht die Feinde der Netzwerk- und Sicherheitsteams. Sie alle dienen demselben Zweck: dem Geschäft. Aber ohne zu wissen, was andere Teams tun, ist es schwieriger zu erkennen, was getan werden kann, um als Gruppe besser zu werden. Der Aufbau komplexer Infrastrukturen wie Containercluster erfordert ineinandergreifende Entscheidungen, um erfolgreich zu sein, insbesondere wenn es um Sicherheit geht.

Erwerben Sie das Wissen: Niemand weiß alles, aber jeder kann alles lernen. Es ist in Ordnung, in einigen Bereichen Ihrer Infrastruktur leicht zu sein, aber es ist definitiv nicht in Ordnung, nicht bereit zu sein, zu lernen, wie Dinge gemacht werden oder getan werden sollten. Container, Orchestrierungsplattformen und Service Meshes sind nicht einfach zu erreichen. Es braucht Zeit, um sich mit neuen Begriffen oder Konzepten vertraut zu machen, aber es ist so lohnend, wenn man die Schwelle des Verstehens überschreitet und dieses Wissen in die Tat umsetzen kann.

Ein Netzwerk ist ein Netzwerk und Sicherheit ist universal: Denken Sie daran, dass ein Container-Cluster eine Sammlung von IP-Adressen (die Containern zugeordnet sind) ist, die untereinander kommunizieren. Außerdem sind Anwendungen nicht dafür vorgesehen, in einem Container-Cluster zu leben, ohne der Welt ausgesetzt zu sein. Daher wird es ein Konzept geben, einige Türen zur Welt zu öffnen. Netzwerk- und Sicherheitstechniker sind dafür verantwortlich, dass die Datenflüsse von einem Ende eines Clusters zum anderen übertragen werden, sowie für den Transport von Paketen in diesen Cluster und aus diesem heraus. Wenn innerhalb eines Container-Clusters etwas kompromittiert wird, liegt es in der Verantwortung des Netzwerksicherheitsteams, zu überwachen, zu reagieren und zu reagieren, um die Ausbreitung einer Sicherheitsverletzung zu verhindern. Ja, Container-Cluster verfolgen einen anderen Ansatz in Bezug auf Netzwerk und Sicherheit, aber es ist immer noch ein Netzwerk, das segmentiert und gesichert werden muss.

Suche die Wahrheit: Es ist wichtig, den Status Quo zu verstehen und in Frage zu stellen. Wenn die Dinge nicht so funktionieren, wie Sie es sich vorgestellt haben, ist das in Ordnung. Das bedeutet, dass ihr gemeinsam, als Team, nach der Wahrheit suchen und euch darauf einigen müsst. Eine gut verstandene Technologie lässt sich einfacher bereitstellen, sichern und Fehler beheben.

Container, Orchestrierungsplattformen und Service Meshes gewinnen heutzutage in IT-Organisationen immer mehr an Bedeutung, und es ist äußerst wichtig, dass Sie als Netzwerk- und Sicherheitsingenieur die Konzepte dieser Technologien verstehen. Einige Konzepte werden Ihnen sehr vertraut vorkommen, andere sehr seltsam, aber um Dinge richtig abzusichern, müssen Sie wissen, wie sie tatsächlich funktionieren!

Schauen Sie sich unsere Container-Seite an für weitere Informationen darüber, wie Sie Illumio für die Containersegmentierung nutzen können.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

6 Mikrosegmentierungsanforderungen für moderne Anwendungen
Zero-Trust-Segmentierung

6 Mikrosegmentierungsanforderungen für moderne Anwendungen

A great deterrent for hackers, organizations are implementing microsegmentation as an essential part of a defense-in-depth security ecosystem.

Netzwerksicherheit ist keine Workload-Sicherheit
Zero-Trust-Segmentierung

Netzwerksicherheit ist keine Workload-Sicherheit

Es gibt deutliche Unterschiede zwischen Netzwerksicherheit und netzwerkbasierten Lösungen und Workload-Sicherheit und Lösungen wie Mikrosegmentierung.

SolarWinds Breach: Förderung eines Paradigmenwechsels hin zu Zero Trust
Zero-Trust-Segmentierung

SolarWinds Breach: Förderung eines Paradigmenwechsels hin zu Zero Trust

Der SolarWinds-Kompromiss und seine anhaltenden Folgen haben die Schwierigkeit, jeden Berührungspunkt eines Unternehmens mit seinen externen Abhängigkeiten (sei es dieser Anbieter, Kunde oder Partner) zu kontrollieren und zu validieren, in den Mittelpunkt gerückt. Außerdem wird das alte Sprichwort unterstrichen, dass „eine Kette nur so stark ist wie ihr schwächstes Glied“.

Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?