Zero Trust operationalisieren — Schritt 6: Validierung, Implementierung und Überwachung

Diese Blogserie erweitert die Ideen, die ich in meinem März-Beitrag vorgestellt habe,“Zero Trust ist nicht schwer... wenn Sie pragmatisch sind.“

In diesem Beitrag habe ich sechs Schritte skizziert, um Zero Trust zu erreichen, und hier möchte ich auf den letzten Schritt näher eingehen, nämlich Gültig, implementieren und überwachen. Ich werde Ihnen zeigen, wie dieser Schritt die Implementierung eines soliden Frameworks unterstützen kann, das von jedem Mikrosegmentierungsexperten verwendet werden kann, um seine Projekte unabhängig von der Größe des Unternehmens erfolgreicher zu machen.

Bevor ich anfange, hier eine Auffrischung der sechs Schritte:

Zusammenfassung — Schritt 5: Entwerfen Sie die Richtlinie

In der letzter Beitrag Aus dieser Serie habe ich mir „Designing the Policy“ angesehen. Dort habe ich gezeigt, wie bei der Abbildung von Anwendungsabhängigkeiten relevante Abläufe identifiziert werden:

Und von hier aus haben wir die folgenden Zulassungsregeln abgeleitet:

• Regel 1:
• Quelle: Webserver, Zahlungen, Produktion, Großbritannien
• Ziel: DNS-Responder, DNS-Infrastruktur, Produktion, Großbritannien
• Zieldienst: 53/udp
• Zielprozess: benannt
• Regel 2:
• Quelle: App Server, Zahlungen, Produktion, Großbritannien
• Ziel: DNS-Responder, DNS-Infrastruktur, Produktion, Großbritannien
• Zieldienst: 53/udp
• Zielprozess: benannt
• Regel 3:
• Quelle: Webserver, Zahlungen, Produktion, Großbritannien
• Ziel: App Server, Zahlungen, Produktion, Großbritannien
• Zieldienst: 8080/tcp
• Zielprozess: Tomcat

Unter Berücksichtigung der Zero-Trust-Prinzipien definieren die oben aufgeführten Zulassungsregeln genau, was erlaubt ist — alles, was nicht explizit erlaubt ist, wird implizit weggelassen, wodurch die Eigenschaft der geringsten Privilegien erhalten bleibt.

Schritt 6: Validierung, Implementierung und Überwachung

Jetzt, da Sie die Regeln für die Mikrosegmentierung definiert haben, sind Sie bereit, diese durchzusetzen und Ihre Workloads zu schützen — eine zentrale Herausforderung bleibt jedoch bestehen. Ihre Zahlungsanwendung befindet sich in der Produktion und Sie möchten ihre Funktionalität nicht beeinträchtigen, während Sie sie abschirmen. Wie mindern Sie dieses Risiko?

Bei jeder Segmentierung besteht das größte Risiko in der Durchsetzung der Richtlinien, die so geschrieben wurden, dass kein anderer Datenverkehr in die Workloads hinein- oder aus den Workloads zugelassen wird. Wenn die Richtlinien falsch sind, besteht die Möglichkeit, dass es zu einem Produktionsausfall kommt. Daher müssen die Maßnahmen zur Durchsetzung kontrolliert werden und es müssen ausreichend Überwachungsmöglichkeiten zur Verfügung stehen, damit etwaige Probleme schnell erkannt und behoben werden können.

Hier kommen politische Tests ins Spiel. Illumio Core bietet eine leistungsstarke, aber einfache Möglichkeit, dies durchzuführen. Eine der nützlichsten Funktionen der Illumio Core-Plattform ist ihre Fähigkeit, Workloads (oder Gruppen von Workloads) in den Testmodus zu verschieben — wie der Build-Modus ist auch der Testmodus ein nicht blockierender Modus mit dem zusätzlichen Vorteil, dass er bei Richtlinienverstößen meldet. Bei einer Arbeitslast im Testmodus überlagert das PCE das Konnektivitätsdiagramm, das anhand der Flow-Daten von Workloads erstellt wurde, mit dem Policy-Diagramm.

Man kann sich das Richtliniengraph so vorstellen, dass es Blasen um Workloads legt, die über eine bestimmte Reihe von Ports und Protokollen miteinander kommunizieren dürfen. Das Konnektivitätsdiagramm zeigt die versuchten Kommunikationsversuche zwischen Workloads.

• Wenn sich das Konnektivitätsdiagramm innerhalb einer Blase auf dem Policy-Diagramm befindet, werden grüne Linien angezeigt — das sind Datenflüsse, die den von uns verfassten Richtlinien entsprechen.

• An den Stellen, an denen das Konnektivitätsdiagramm die Blase im Policy-Diagramm kreuzt, werden rote Linien angezeigt — das sind Datenflüsse, die keiner von uns erstellten Richtlinie entsprechen.

Im Testmodus blockieren diese „roten“ Linien zwar keine Datenflüsse, zeigen jedoch an, wo Verbindungsversuche unternommen wurden, die gegen die Richtlinien verstoßen. Als Anwendungseigentümer überprüfen Sie diese Abläufe, und Sie haben folgende Wahlmöglichkeiten:

• Flow ist erforderlich -> schreibe eine Richtlinie, um die Linie grün zu machen
• Flow ist nicht erforderlich -> es müssen keine Maßnahmen ergriffen werden

Der Prozess der Richtlinienvalidierung erfordert also das Durchlaufen all dieser „roten“ Linien, um festzustellen, ob sie grün werden müssen. Nachdem Sie all diese „Verstöße“ überprüft und Ihre Wahl getroffen haben, können Sie mit dem Schutz der Workloads beginnen — unser Validierungsprozess ist abgeschlossen, Zeit für die Durchsetzung.

Wenn Sie bedenken, dass der Zweck der Phase „Überprüfen, Implementieren und Überwachen“ in Wirklichkeit darin besteht, das Risiko zu minimieren, sollten Sie idealerweise keinen „Big Bang“ -Ansatz verfolgen, um Richtlinien für Ihre Workloads durchzusetzen. Trotz der detaillierten Validierung, die Sie möglicherweise bereits durchgeführt haben, sollten Sie in dieser letzten Phase dennoch schrittweise Schritte unternehmen. Auch hier ermöglicht die granulare Steuerung, die Illumio bei Workloads bietet, genau das. Jeder Workload in einer Anwendung kann einzeln in den Modus „Durchgesetzt“ verschoben werden. Das heißt, sobald Sie eine vollständig validierte Richtlinie haben, können Sie auswählen, für welche Workloads Sie zuerst den vollständigen Schutz aktivieren möchten, diese mit durchgesetzter Richtlinie ausführen lassen (d. h. nur der durch die Richtlinie zugelassene Datenverkehr kann in die Arbeitslast ein- und aussteigen) und die anderen Workloads nach einer gewissen „Überlastungszeit“ in einen erzwungenen Zustand versetzen. Der Vorteil dieses Ansatzes besteht darin, dass bei Problemen mit der Richtlinie nur eine kleine Gruppe von Workloads und nicht die gesamte Flotte betroffen ist. Außerdem bietet er eine weitere Möglichkeit zur Feinabstimmung, bevor die gesamte Anwendung aktiviert wird.

Jetzt, da alle unsere Workloads durchgesetzt sind und die Anwendung geschützt ist, besteht die Aufgabe darin, Datenverkehrsereignisse kontinuierlich auf unerwartete Ereignisse — Ausfälle und Akzeptierte — zu überwachen und alles zu untersuchen, was außerhalb des Normalbereichs liegt.

Einpacken

Da haben wir es also: eine Einführung in die sechs Schritte eines pragmatischen Ansatzes zu Zero Trust. Wie Forrester feststellt, Zero Trust ist kein Ergebnis von selbst, sondern eine Sicherheitsstrategie, und jedes Unternehmen muss seinen eigenen Reifegrad in Bezug auf die Zero-Trust-Säulen verstehen, herausfinden, auf welche Säulen am meisten Wert gelegt werden muss, und schrittweise Maßnahmen ergreifen, um diesen Reifegrad zu verbessern. Illumio ist ein führender Anbieter von ZTX-Ökosystemplattformen und bietet einen vollständigen Funktionsumfang, um diese Schritte in den Bereichen Netzwerk- und Workload-Transparenz und -Sicherheit durchzuführen.

Haben Sie die Schritte 1—5 unserer Serie zur Operationalisierung von Zero Trust verpasst? Schau sie dir jetzt an:

• Schritt 1: Identifizieren Sie, was geschützt werden soll
• Schritte 2 und 3: Bestimmen Sie, auf welche Zero-Trust-Säule Sie sich konzentrieren sollten, und spezifizieren Sie die genaue Steuerung
• Schritt 4: Vorschreiben, welche Daten benötigt werden
• Schritt 5: Entwerfen Sie die Richtlinie

Und für mehr über Zero Trust besuchen Sie unsere Lösungsseite — erfahren Sie, wie Sie Ihre Reise noch heute beginnen können.