Blog
/
Zero-Trust-Segmentierung

Warum Politik für Zero Trust wichtig ist

Illumio Editorial
,
April 30, 2021
23 min. Lesedauer

Die Idee von geringstes Privileg ist nicht neu, ebenso wenig wie die Idee, Geräte im Netzwerk getrennt zu halten, um den geringsten Rechten gerecht zu werden. Schließlich kommt jede Firewall aus ihrem Versandbehälter mit einer Standardregel — „Alle verweigern“ —, die zur Erstellung einer Richtlinie mit den geringsten Rechten auffordert. Deshalb haben wir in den letzten 15 oder 20 Jahren pflichtbewusst immer mehr Genehmigungs- und Verweigerungsanweisungen in Perimeter-Firewalls eingegeben. In den meisten Unternehmen gibt es inzwischen so viele dieser Aussagen, dass Teams von hochqualifizierten Administratoren für deren Verwaltung erforderlich sind, und die Komplexität ist in den letzten Jahren explosionsartig angestiegen.

Das Problem (mal 3)

Jetzt Null Vertrauen schreibt vor, dass wir zu den geringsten Privilegien zurückkehren. Nur dieses Mal, nicht am Edge, sondern auf jedem Workload, jedem Benutzer, jedem Endpunkt. Wie machbar ist das? Jedes Jahr veröffentlicht Cisco eine detaillierte Untersuchung von Unternehmensnetzwerken, und es bietet eine einfache Näherung, die wir berücksichtigen sollten. Im Jahr 2020 fanden 73% des Datenverkehrs in Ost-West-Richtung statt — also zwischen Systemen im Rechenzentrum — und etwa 27% durchquerten den Perimeter. Die bestehenden Perimeter-Firewall-Regeln decken daher 27% des Datenverkehrs ab.

Die klare Implikation ist, dass die Erstellung einer ähnlichen Richtlinie für die anderen 73% des Verkehrs ungefähr das Dreifache der Arbeit, die dreifache Komplexität der Regeln und die dreifache Anzahl der Personen erfordert. Und das ist das Problem. Niemand kann das Dreifache ausgeben, das Dreifache einstellen und das Dreifache der Komplexität konfigurieren. Diejenigen, die versucht haben, eine SDN-Lösung für diese Aufgabe zu verbiegen oder virtuelle Firewalls einzusetzen, wissen, dass das einfach nicht funktioniert.

Jeder Anbieter, der Zero Trust anbietet, muss dieses Rätsel lösen. Es ist nicht glaubwürdig zu behaupten, dass ein Zero-Trust-Ergebnis erreichbar ist, ohne sich mit der betrieblichen Realität der immensen Aufgabe auseinanderzusetzen. Jeder, der ein Zero-Trust-Ergebnis anstrebt, benötigt einen glaubwürdigen Nachweis, dass er in der Lage ist, die Kosten, die betriebliche Komplexität und die Personalkosten für eine erfolgreiche Implementierung zu berücksichtigen.

Wir brauchen nicht mehr Orte, um Richtlinien durchzusetzen

Als Firewalls zum ersten Mal in das Netzwerk eindrangen, waren sie das einzige Gerät, das den Datenverkehr in großem Umfang blockieren und einschränken konnte. Aber heute erreichen wir Zero-Trust-Mikrosegmentierung ist kein Durchsetzungspunktproblem. Jedes moderne Betriebssystem im Rechenzentrum, von Windows bis Linux — auch AIX, Solaris und System Z (Mainframes) — verfügt über eine gut implementierte Stateful-Firewall im Kernel-Forwarding-Pfad. Jedes Netzwerkgerät, von Routern und Switches bis hin zu Firewalls und Load Balancern, kann Firewallregeln anwenden.

Tatsächlich ist es so, dass so ziemlich jedes mit dem Netzwerk verbundene Gerät im Rechenzentrum über einige Zugriffskontrollfunktionen verfügt. Das bedeutet, dass niemand Paletten mit Firewalls kaufen muss, um Zero Trust zu implementieren. Die Durchsetzungspunkte sind bereits verfügbar. Das bedeutet, dass die Kosten für die Implementierung von Zero Trust fast ausschließlich im Bereich der Komplexität der Konfiguration zu tragen sein werden. Schließlich hängt die Anzahl der benötigten Personen vom Umfang der zu erledigenden Arbeit ab.

Das Richtlinienmanagement bestimmt die Zero-Trust-Ergebnisse

Wir kommen daher zu dem Schluss, dass die Richtlinie der wichtigste Faktor bei einer Zero-Trust-Implementierung ist. Die Erreichbarkeit eines Zero-Trust-Ziels hängt davon ab, wie einfach oder schwer es ist, Richtlinien zu ermitteln, zu erstellen, zu verteilen und durchzusetzen.

Anbieter sprechen gerne über ihre Funktionen und zeigen hübsche Benutzeroberflächen, aber am Ende kommt es nur darauf an, wie gut sie die Richtlinienverwaltungsarbeit vereinfachen, reduzieren und automatisieren, die mit einer Zero-Trust-Mikrosegmentierungsinitiative einhergeht.

Bevor jemand eine Zero-Trust-Richtlinie verfassen kann, müssen Sie zunächst alle relevanten Kommunikationsabläufe kennen und wissen, wie die betreffende Anwendung funktioniert: wie sie von den Kerndiensten und den Benutzern und anderen Geräten abhängt, mit denen sie verbunden ist. Das ist eine Richtlinienermittlung, und es ist mehr als ein hübsches Bild einer App in einer Blase. Letztlich benötigen Sie alle notwendigen Informationen, um die Zero-Trust-Richtlinie erfolgreich zu verfassen.

Durch das Verfassen einer Richtlinie müssen menschliche Wünsche nicht mehr in IP-Adressen übersetzt werden müssen. Es muss Metadaten verwenden, um Richtlinien zu vereinfachen, zu skalieren und zu übernehmen, um den Aufwand bei der Erstellung zu verringern. Sobald Sie eine Richtlinie erstellt haben, benötigen Sie eine Möglichkeit, sie an die bereits vorhandenen Durchsetzungspunkte zu verteilen. Wie halten Sie alle Richtlinien auf dem neuesten Stand und können diese mithilfe der Anwendungsautomatisierung automatisch nachverfolgen? Wenn Sie alle Verschiebungen, Ergänzungen und Änderungen berücksichtigen können, verringert sich die Arbeitsbelastung Ihres Verwaltungsteams.

Schließlich hängt die Durchsetzung politischer Maßnahmen letztlich von der Fähigkeit ab, die vorgeschlagene Politik zu validieren und Vertrauen in sie aufzubauen. Firewalls können nicht modelliert werden. Aber es reicht nicht aus, „zuzulassen und zu beten“. Sie müssen in der Lage sein, zu wissen, dass die Richtlinie korrekt und vollständig ist und die Anwendung nicht beeinträchtigt — und in der Lage sein, dies allen Beteiligten mitzuteilen.

Fazit

Zu wissen, was für das Zero-Trust-Richtlinienmanagement wichtig ist, ist dasselbe wie zu wissen, was für die Umsetzung eines Zero-Trust- oder Mikrosegmentierungsprojekts erforderlich ist. Die Umsetzung einer feinkörnigen Segmentierung erfolgt in dem Tempo, das von unserer menschlichen Fähigkeit bestimmt wird, die Richtlinie zu entdecken, zu verfassen, zu verteilen und durchzusetzen. Wenn ein effektives und effizientes Richtlinienmanagement vorhanden ist, sinkt der Personalbedarf proportional. Es liegt also auf der Hand, dass der wichtigste Faktor bei der Operationalisierung von Zero Trust darin besteht, effektiv mit der Komplexität umzugehen, die für eine Verschärfung der Richtlinien erforderlich ist Segmentierungssteuerungen. Da es so wichtig ist, werden wir uns in den kommenden Blogbeiträgen eingehend mit dem Richtlinienmanagement befassen.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Was Sie zur Durchsetzung der Zero-Trust-Richtlinie benötigen — schnell und sicher
Zero-Trust-Segmentierung

Was Sie zur Durchsetzung der Zero-Trust-Richtlinie benötigen — schnell und sicher

Erfahren Sie, was Sie benötigen, um eine Zero-Trust-Richtlinie in Ihrem Unternehmen durchzusetzen.

Lesen Sie mehr
Ein CISO-Leitfaden für die RSA-Konferenz 2022
Zero-Trust-Segmentierung

Ein CISO-Leitfaden für die RSA-Konferenz 2022

Live-Events sind zurück, was bedeutet, dass die diesjährige RSA Conference die größte und aufregendste RSA-Konferenz seit ein paar Jahren sein wird.

Lesen Sie mehr
Konzentrieren Sie sich erneut auf Cloud-Sicherheit: Wie Zero-Trust-Segmentierung die Cloud schützt
Zero-Trust-Segmentierung

Konzentrieren Sie sich erneut auf Cloud-Sicherheit: Wie Zero-Trust-Segmentierung die Cloud schützt

Lernen Sie die 4 wichtigsten Methoden kennen, mit denen die Zero-Trust-Segmentierung die Cloud vor der Ausbreitung von Cyberangriffen schützt.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr