.png)
Was Sie benötigen, um eine Zero-Trust-Segmentierungsrichtlinie zu erstellen
Letzte Woche haben wir die Fähigkeiten besprochen , die erforderlich sind, um die Anwendung und den breiteren Umgebungskontext zu ermitteln, der für das Schreiben einer Zero Trust Segmentation-Richtlinie erforderlich ist. Sobald wir wissen, was verpflichtend ist, müssen wir dies in politischen Erklärungen zum Ausdruck bringen. Eine gute Mikrosegmentierungslösung ermöglicht einen nahtlosen Übergang von der Analyse zur Erstellung von Segmentierungsrichtlinien und unterstützt alle Arbeitsabläufe, die für die effiziente Erstellung einer detaillierten Segmentierungsrichtlinie erforderlich sind. Lasst uns darüber sprechen, was die Zero-Trust-Segmentierungsrichtlinie beschleunigt und unterstützt.
Sagen Sie, was Sie wollen, nicht wie Sie es tun sollen
Traditionell erfordert das Schreiben von Zugriffskontrolllisten (ACLs), dass wir wissen, was wir wollen und wie wir es erreichen. Es entstehen große, komplexe Regeltabellen. Zero Trust Segmentation arbeitet hingegen mit einem deklarativen Richtlinienmodell und schafft eine Trennung zwischen „Richtlinien“ und „Regeln“. Die Richtlinie ist das Ergebnis, das wir anstreben – wie zum Beispiel die Trennung von Entwicklungs- und Produktionsumgebungen. Die Regeln oder ACLs, die erforderlich sind, damit diese Richtlinie zutrifft, sind ein Ergebnis der Richtlinien-Engine und nicht menschlicher Arbeit. Dies vereinfacht die Erstellung von Richtlinien grundlegend.
Wenn ich eine Regel schreibe, die es einem Gerät erlaubt, mit drei anderen Geräten zu kommunizieren, brauche ich nicht vier Regeln zu schreiben. Ich muss lediglich eine Richtlinie verfassen, die besagt, dass ein Server mit den anderen drei kommunizieren kann. Die Richtlinien-Engine erstellt alle Regeln, die erforderlich sind, damit diese Richtlinie umgesetzt werden kann. Im Maßstab eines gesamten Rechenzentrums oder einer Cloud-Bereitstellung beschleunigt diese Vereinfachung die Entwicklung einer Zero-Trust-Segmentierungsrichtlinie.
Bekannte Namen vs. IP-Adressen
Das Schreiben herkömmlicher Firewall-Regeln wird immer langsam sein, da ständig zwischen den von der Infrastruktur verstandenen IP-Adressen und den Namen, die wir den Servern in der Kommunikation geben, übersetzt werden muss. Durch den Wegfall dieser Übersetzung wird der Zeitaufwand für das Schreiben einer Zero-Trust-Segmentierungsrichtlinie drastisch reduziert.
Die beste Situation ist, wenn das Unternehmen die Namen wiederverwenden kann, die bereits in CMDBs, SIEMs, IP-Adressverwaltungssystemen, Hostnamenkonventionen, Servernamen usw. vorhanden sind. Wenn vertraute Namen jedes System in der Visualisierung kennzeichnen und die Abstraktion für das Schreiben von Richtlinien bereitstellen, kann plötzlich jeder eine Zero-Trust-Richtlinie verstehen und schreiben. Es ist keine Übersetzung erforderlich, und das gesamte Team kann schnell einen Konsens darüber erzielen, dass die schriftliche Richtlinie dem durch die Visualisierung ermittelten Bedarf entspricht.
Verwenden Sie Vererbung, um den Richtlinienaufwand zu verringern
Sobald wir die Zero-Trust-Segmentierungsrichtlinie in Namen (oder Labels) abstrahiert haben, können wir einen der besten Teile einer Zero-Trust-Positivliste nutzen – die Richtlinienvererbung. Bei einer reinen Positivliste muss im Gegensatz zu einer herkömmlichen Firewall nicht auf die Reihenfolge der Regeln geachtet werden.
Bei einer Firewall bedeutet die Mischung aus Zulassungs- und Sperrlistenregeln , dass die Regeln in einer strikten Reihenfolge stehen müssen, um wie vorgesehen zu funktionieren. Bei einer Zulassungsliste spielt es keine Rolle, in welcher Reihenfolge die Elemente zugelassen sind oder ob sie mehr als einmal zugelassen sind, da die Elemente nur einmal erlaubt sind.
Das bedeutet, dass die Zero-Trust-Segmentierungsrichtlinie frei vererbt werden kann. Ich kann eine Richtlinie einmal schreiben und sie so oft wie nötig wiederverwenden. Ein Workload kann einen Teil seiner Richtlinie aus der PROD-Umgebungsrichtlinie, der Richtlinie auf Rechenzentrumsebene und der Richtlinie ableiten, die wir für alle Datenbanken geschrieben haben. Wir können eine Richtlinie für Kerndienste einmal definieren und dann jede Workload in der Umgebung diese Richtlinie annehmen lassen. Die Vererbung macht die Erstellung von Zero-Trust-Richtlinien viel einfacher als herkömmliche Methoden.
Verteilen Sie das Schreiben von Regeln, um Skalierbarkeit zu erzielen
Das Schreiben von Firewall-Regeln wurde lange Zeit zentralisiert und von einem Netzwerksicherheitsteam verwaltet, da die Geräte effektiv Teil der Netzwerkarchitektur sind. Dies hat zu unangenehmen Gesprächen geführt, bei denen das Firewall-Team das Anwendungsteam in IP-Adressen beschreiben muss, wie ihre Systeme funktionieren. Und erst dann kann das Firewall-Team das in Regeln umsetzen. Aber warum sollte man sich mit all der Kommunikation und Übersetzung herumschlagen?
Mit Zero-Trust-Segmentierung und einer robusten rollenbasierten Zugriffskontrolle (RBAC) kann das Schreiben von Regeln verteilt werden. Wenn die Zero Trust Segmentation-Lösung so konzipiert wurde, dass sie anwendungsspezifische Ansichten und Funktionen bietet, können Anwendungsbesitzer Richtlinien für den internen Betrieb ihrer Anwendung schreiben oder validieren , und anschließend kann das zentrale Team ihre Arbeit genehmigen und die Richtlinien für Kerndienste, Rechenzentrum und Internetzugang hinzufügen.
Eine starke Zero-Trust-Segmentierungslösung bietet den Anwendungs- und DevOps-Teams während des gesamten Prozesses der Richtlinienerstellung Handlungsfähigkeit. Je mehr Ihr Unternehmen automatisieren möchte, desto wichtiger wird diese Delegierung. Wenn das gesamte Team auf gemeinsame Ziele hinarbeiten kann, schafft dies Vertrauen, organisatorischen Zusammenhalt und beschleunigt die Umsetzung einer Zero-Trust-Segmentierungsrichtlinie.
Zusammenfassend
Rechenzentren und Cloud-Umgebungen sind komplex, und es wäre naheliegend anzunehmen, dass das Schreiben einer Segmentierungsrichtlinie die gleiche Komplexität aufweist. Die besten Zero-Trust-Segmentierungslösungen ersetzen jedoch den traditionellen Entwicklungsprozess für Firewall-Regeln durch einfache, skalierbare und effektive Workflows. Ein deklaratives Richtlinienmodell bedeutet, dass Sie sagen können, was Sie wollen, und nicht, wie es zu tun ist.
Menschen sind gut darin, zu sagen, was sie wollen, und eine intelligente Policy-Engine kann dies in Regeln für die Infrastruktur umwandeln. Wenn die Richtlinie auf bekannten Namen basiert und mehrfach wiederverwendet werden kann, reduziert sich der Aufwand für das gesamte Team.
Und das Beste daran ist, dass wenn das gesamte Team zusammenarbeiten kann, die ineffizienten Mauern zwischen den Teams einreißen und das gesamte Unternehmen zusammenarbeiten kann, um die kritischen Ressourcen zu sichern. Die Zero-Trust-Segmentierung verbessert jeden Aspekt der Segmentierungsrichtlinie, verschärft gleichzeitig die Segmentierung und reduziert gleichzeitig die Belastung des Unternehmens.
.webp)
.webp)