Mit strukturierter Richtlinienkontrolle die richtige Segmentierung durchführen

Letztlich Zero-Trust-Segmentierung geht es darum, Sicherheitsregeln festzulegen und durchzusetzen.

Durch die Festlegung sorgfältig definierter Zugriffsrichtlinien verhindert die Zero-Trust-Segmentierung, dass sich Sicherheitslücken auf IT-Systeme und Umgebungen ausbreiten.

In jedem Unternehmen ist es unvermeidlich, dass mindestens ein Endgerät von Angreifern angegriffen wird. Wenn das Unternehmen jedoch über eine Zero-Trust-Segmentierungs-Sicherheit verfügt, der Verstoß kann begrenzt werden zu diesem ersten Endpunkt, unabhängig davon, ob es sich bei diesem Endpunkt um einen Laptop, Desktop, Server oder sogar eine virtuelle Maschine handelt.

Segmentierungsrichtlinien verhindern, dass Malware auf die Netzwerkports und Protokolle zugreift, die sie benötigt, um sich auf andere unternehmenskritische Server und Rechenzentren zu kopieren oder das Netzwerk auf der Suche nach wertvollen Daten zu durchsuchen. Die Segmentierung fängt den Angriff an Ort und Stelle ein, wie eine Fliege unter einem Glas.

Zero-Trust-Segmentierung: Zwei Ansätze

EIN Regel-Engine ist eine Software, die die Syntax für definiert Segmentierungsregeln. Es setzt diese Regeln auch durch, sobald sie definiert sind. Im Allgemeinen verfolgen Anbieter von Segmentierungssoftware bei der Entwicklung von Regelmodulen für Kunden zwei verschiedene Ansätze.

Der erste Ansatz besteht darin, den Kunden maximale Flexibilität zu bieten und es den Stakeholdern im gesamten Unternehmen zu ermöglichen, Regeln mit beliebigen Kategorien oder Bezeichnungen zu definieren.

Der andere Ansatz besteht darin, eine Designphilosophie zu übernehmen, die bekannt ist als strukturierte politische Kontrolle. Dieser Ansatz begrenzt die Anzahl der Labels, die für Segmentierungsregeln verfügbar sind. Außerdem wird die Regelsetzung von einem zentralisierten Team von IT-Sicherheitsexperten gesteuert. Anbieter, die diesen Ansatz verfolgen, sind der Ansicht, dass Einfachheit letztlich besser zur Eindämmung von Angriffen beitragen wird als unbestimmte Komplexität.

Wir werden diese Ansätze nun untersuchen und ihre Vorteile und Herausforderungen für reale Implementierungen vergleichen.

Der Ansatz mit maximaler Flexibilität bei der Segmentierung

In jeder Organisation Sicherheitsanforderungen variiert von Abteilung zu Abteilung und von Anwendungsfall zu Anwendungsfall. Verschiedene Anwendungen erfordern unterschiedliche Regeln. Sogar für dieselbe Anwendung gelten möglicherweise unterschiedliche Regeln, je nachdem, in welchem Rechenzentrum sie ausgeführt wird, welche Softwareversion sie ausführt, auf welche Ressourcen sie angewiesen ist usw.

Viele Anbieter von Segmentierungen tragen diesem Bedürfnis nach Flexibilität Rechnung, indem sie es verschiedenen Benutzern und Anwendungseigentümern ermöglichen, ihre eigenen Regeln für ihr Fachgebiet oder ihren Zuständigkeitsbereich festzulegen.

In der Regel unterstützen diese Anbieter drei Arten von Regeln:

• „Blockregeln“ zur Verhinderung von Verkehrsbewegungen auf bestimmten Wegen
• „Zulassen“ -Regeln für die Erteilung von Genehmigungen für bestimmte Verkehrsarten, einen Weg zu befahren
• Regeln „außer Kraft setzen“, um zu verhindern, dass andere Regeln in bestimmten Situationen den Verkehr entweder blockieren oder zulassen

Auf hoher Ebene klingt dieser verteilte Ansatz zur flexiblen Regelsetzung vielversprechend. Schließlich sollten Eigentümer von IT-Ressourcen über das Fachwissen verfügen, das sie benötigen, um die Segmentierungsregeln festzulegen, die für ein bestimmtes IT-Asset oder eine Gruppe verwandter Ressourcen am besten geeignet sind. Und die Bereitstellung von drei Arten von Regeln — Sperren, Zulassen und Außerkraftsetzen — scheint IT-Sicherheitsteams und Geschäftsbeteiligten die nötige Präzision zu bieten, um genau die richtigen Sicherheitsrichtlinien zum Schutz von IT-Ressourcen zu definieren.

Leider sind in den meisten Organisationen — vor allem große Organisationen mit Zehntausenden oder Hunderttausenden von Workloads verteilt auf Cloud-, On-Premise- und Endpoint-Umgebungen — was aus diesem Ansatz schnell hervorgeht, ist der „Wilde Westen“.

Sicher, Stakeholder im gesamten Unternehmen haben Regeln zum Schutz wertvoller IT-Ressourcen definiert. Aber das führt letztlich zu Chaos, weil es zu viele Regeln verschiedener Art gibt, um sie effektiv zu verwalten.

Da die Regelsetzung verteilt und unkoordiniert ist, führt die Sammlung von Regeln letztendlich zu Konflikten und Auslassungen, wodurch Angreifer die Möglichkeit haben, sich durchzusetzen. Eine zentrale, konsistente Steuerung ist praktisch unmöglich.

Folgendes schafft diese „Wilden Westen“ -Bedingungen:

• Verantwortungsbereiche überschneiden sich häufig.
  Beispielsweise könnte eine Person für eine Geschäftsanwendung und eine andere Person für eine Datenbank verantwortlich sein. Die Anwendung stützt sich möglicherweise auf die Datenbank, aber die für die Anwendung und die Datenbank definierten Zugriffsregeln werden unabhängig voneinander entwickelt. Daher können die beiden Regelwerke inkonsistent sein, insbesondere wenn andere Anwendungen die Datenbank ebenfalls verwenden.
  
  Ein anderes Beispiel: Eine Person ist für die Customer Relationship Management (CRM) -Anwendung des Unternehmens verantwortlich. Eine andere Person ist für das New Yorker Rechenzentrum des Unternehmens verantwortlich, in dem die CRM-Anwendung zufällig ausgeführt wird. Selbst wenn sich diese beiden Personen in ihren Sicherheitsphilosophien einig sind, ist es höchst unwahrscheinlich, dass ihre unabhängigen Implementierungen der Segmentierungsregeln einwandfrei zusammenarbeiten. IP-Adressen, Ports und Protokolle sind einfach zu komplex, um Dutzende oder Hunderte von Regeln unabhängig und effektiv zu erstellen.
  
• Die Segmentierungskontrolle erfolgt eher verteilt als zentralisiert, sodass Tests selten stattfinden.
  Da die Kontrolle auf so viele Stakeholder verteilt ist, ist es für die IT-Organisation schwierig, alle Segmentierungsregeln zu testen, bevor sie aktiviert werden. Mangelnde Tests erhöhen das Risiko von Fehlern und Versäumnissen. Dies kann sogar dazu führen, dass geschäftskritischer Datenverkehr versehentlich blockiert wird.
  
• Die Unterstützung einer unbegrenzten oder hohen Anzahl von Labels führt zu Verwirrung.
  Segmentierungsprodukte, die die Kontrolle auf diese Weise verteilen, ermöglichen es Kunden in der Regel, ihre eigene Kategorien oder Labels zur Segmentierung.
  
  Dank dieser Flexibilität verfügen Kunden bald über zwanzig, dreißig oder mehr Labels für ihre Segmentierungsrichtlinien. Ein Kunde könnte beispielsweise alle beteiligten IT-Ressourcen kennzeichnen PCI Einhaltung eines „PCI Compliance“ -Labels. Sie können auch alle Anlagen an einem bestimmten Standort mit dem Standortnamen kennzeichnen oder Beschriftungen für Geschäftsbereiche, Anwendungen, Umgebungen (z. B. Test oder Produktion), zusätzliche behördliche Vorschriften (wie die DSGVO) usw. haben.
  
  Theoretisch sorgt diese Vielzahl von Etiketten für Präzision und Sichtbarkeit. In der Praxis führt dies zu Sicherheitsmodellen, die zu komplex sind, um sie effektiv zu verwalten.
  
  Teams können versuchen, dieses Chaos durch die Reihenfolge der Regeln zu verringern — zum Beispiel durch die Strukturierung von Regelsätzen, um zuerst die Regeln des Rechenzentrums durchzusetzen, dann die Regeln der Anwendung durchzusetzen und zuletzt Regeln über Vorschriften oder Geschäftsbereiche durchzusetzen. In der Praxis führt diese Art der Strukturierung jedoch zu labyrinthischen Richtlinien, sodass es sehr schwierig ist, zu erkennen, welche Regeln unter bestimmten Bedingungen in Kraft sind.
  
• Dezentrale Regeln sind schwieriger zu handhaben, wenn Mitarbeiter den Arbeitsplatz wechseln.
  Ein weiteres Problem bei der verteilten Regelsetzung besteht darin, dass es für die IT- und Sicherheitsteams eines Unternehmens schwieriger wird, den Überblick darüber zu behalten, welche Regeln erstellt wurden und warum.
  
  Ein Regelautor, z. B. ein Anwendungsbesitzer, hat die Überlegungen, die in die Segmentierungsregeln einfließen, möglicherweise nicht dokumentiert. Wenn dieser Mitarbeiter das Unternehmen verlässt, gehen wichtige Sicherheits- und Betriebskenntnisse verloren.

Das größte Problem bei diesem hochflexiblen Ansatz? Es hinterlässt Lücken, die Angreifer ausnutzen können. Ransomware dringt immer noch ein, trotz all der Zeit, des Geldes und der Mühe, die ein Unternehmen in die Segmentierung seiner Netzwerke investiert hat.

Der strukturierte politische Kontrollansatz zur Segmentierung

Im Gegensatz zum Ansatz der „maximalen Flexibilität“ bei der Erstellung von Segmentierungsregeln könnte ein Segmentierungsanbieter die Anzahl der Etiketten das kann geschaffen werden.

Die Anzahl der zulässigen Bezeichnungen kann nur vier betragen und nur Rollen, Anwendungen, Umgebungen und Standorte abdecken. Oder die Zahl könnte etwas höher sein, aber bei weitem nicht so hoch wie die Anzahl, die im oben erörterten Ansatz der maximalen Flexibilität zulässig ist.

Es stellt sich heraus, dass die Einschränkung von Bezeichnungen in der Praxis gut funktioniert. In der Tat ist der größte erfolgreiche Bereitstellungen Alle Teilnehmer der Zero-Trust-Segmentierung verfolgen diesen Ansatz und beschränken die Bezeichnungen auf zehn oder weniger, obwohl diese Richtlinien sehr komplexe, hybride IT-Umgebungen schützen.

Hier ist der Grund, warum der Ansatz der strukturierten politischen Kontrolle so gut funktioniert:

• Eingeschränkte Labels erzwingen Zentralisierung und Koordination im Voraus.
  Damit die Verwaltung der Segmentierungsrichtlinien gut funktioniert, benötigt ein Unternehmen ein zentrales Team, das den Netzwerkverkehr analysiert und gemeinsam die durchzusetzenden Segmentierungsrichtlinien entwickelt.
  
  Anwendungsbesitzer stimmen sich mit Datenbankbesitzern ab, die sich wiederum mit Firewall-Managern abstimmen. Da sie auf der Grundlage einer gemeinsamen Analyse und eines Verständnisses der autorisierten Datenverkehrsmuster arbeiten, können sie kohärente, für beide Seiten konsistente Segmentierungsregeln definieren, die die benötigte Sicherheit bieten.
  
• Es baut auf der umfassenden Netzwerktransparenz auf, die eine strukturierte Richtlinienkontrolle bieten kann.
  Um die Regelsetzung für verschiedene Anwendungen, Datenbanken und andere Ressourcen zu koordinieren, benötigen IT- und Sicherheitsteams umfassende Sichtbarkeit in den Netzwerkverkehr ihrer Organisation. Auf diese Weise können sie den legitimen Datenverkehr identifizieren, auf den ihre Anwendungen und Dienste angewiesen sind.
  
  Sobald dieser wichtige Datenverkehr identifiziert ist, wird es einfacher, Richtlinien zu schreiben, die alles andere blockieren. Außerdem wird es für verschiedene Interessengruppen einfacher, sich darauf zu einigen, welcher Verkehr zugelassen werden sollte. Wenn die Beteiligten von einem gemeinsamen Verständnis der Netzwerknutzung ausgehen können, wird die Zusammenarbeit zum Kinderspiel.
  
• Es bietet noch mehr Einfachheit, indem der gesamte Datenverkehr aus Gründen der Zero-Trust-Sicherheit standardmäßig verweigert wird.
  Anstatt den Beteiligten die Möglichkeit zu geben, den Verkehr zu blockieren, den Verkehr zuzulassen oder frühere Segmentierungsregeln außer Kraft zu setzen, kann ein strukturierter Richtlinienansatz damit beginnen, standardmäßig den gesamten Verkehr für jedes System oder jede Umgebung zu blockieren. Auf der Grundlage einer Visualisierungskarte, die den gesamten legitimen Datenverkehr im gesamten Unternehmen zeigt, können IT- und Sicherheitsteams dann Richtlinien erstellen, um nur den Datenverkehr zuzulassen, den die Anwendung, Datenbank oder der Dienst benötigt.
  
  Da die Anbieter strukturierter Richtlinienkontrollen standardmäßig nichts vertrauen, bieten sie die strenge Zero-Trust-Sicherheit, die von der Nationales Institut für Standards und Technologien (NIST), das Weiße Haus der USA in seinem Executive Regulation zur Verbesserung der Cybersicherheit des Landesund andere IT-Sicherheitsbehörden.
  
• Da die Regelung zentralisiert ist, können IT- und Sicherheitsteams Regeln testen und abbilden, bevor sie durchgesetzt werden.
  Ein weiterer Vorteil eines zentralisierten Ansatzes bei der Regelsetzung besteht darin, dass das gesamte Modell im Testmodus ausgeführt werden kann, da es ein kohärentes Modell für Regeln gibt. Darüber hinaus können die Kommunikationsabläufe zwischen Workloads visuell dargestellt werden, bevor die Regeln implementiert werden, sodass Teams auf potenzielle Probleme aufmerksam gemacht werden. This provides IT and security teams the possible to prevent error and optimize rules before they are through through.

Fazit: Flexibilität versus Skalierbarkeit

Die Wahl zwischen diesen beiden Ansätzen wird schwer sein, wenn sie Regeln in einem großen Maßstab implementieren.

Selbst in kleineren Organisationen wird der hochflexible Ansatz schnell unhaltbar sein. In einem Dickicht unabhängig entwickelter Regelsätze bestehen ungewollte Sicherheitslücken. Attacks come by or a good common security rule block versehentlich unternehmenskritischen datenverkehr, weil es keine einheitliche Koordination gibt.

Im Gegensatz dazu hilft der strukturierte Ansatz zur Richtlinienkontrolle bei Segmentierung IT- und Sicherheitsteams, jede Art von IT-Umgebung, von Start-ups bis hin zu den größten und komplexesten globalen Netzwerken, einfach und effizient zu schützen, indem von Anfang an eine bestimmte Designdisziplin durchgesetzt wird.

Um mehr über die Illumio Solution for Zero-Trust Segmentation zu erfahren:

• Holt die Tage Zero-Trust-Impact Report um mehr über ESG-Studien zu erfahren, wie Zero-Trust-Unternehmen handeln.
• Laden Sie unsere ausführlichen Anleitungen herunter To create a microsegmentierungsstrategy in 5 schritten.
• Holen Sie sich ein kostenloses Exemplar des Forrester New Wave: Mikrosegmentierung, erstes Quartal 2022 in the Illumio is ernanned to leader.
• Timeplan eine unverbindliche Demo und Beratung mit unseren Zero-Trust-Segmentierungsexperten.