Was Sie für die Erstellung einer Zero-Trust-Segmentierungsrichtlinie benötigen
Letzte Woche haben wir diskutiert die Fähigkeiten, die erforderlich sind, um die Anwendung und den breiteren Umgebungskontext zu ermitteln, die für die Erstellung einer Zero-Trust-Segmentierungsrichtlinie erforderlich sind. Sobald wir wissen, was verpflichtend ist, müssen wir das in Grundsatzerklärungen zum Ausdruck bringen. Jede gute Mikrosegmentierungslösung lässt sich nahtlos von der Entdeckung zur Erstellung übergehen und unterstützt in vollem Umfang alle Workflows, die für die effiziente Erstellung einer detaillierten Segmentierungsrichtlinie erforderlich sind. Lassen Sie uns besprechen, was die Zero-Trust-Segmentierungspolitik beschleunigt und unterstützt.
Sag was du willst, nicht wie es geht
In der Vergangenheit mussten wir beim Schreiben von Zugriffskontrolllisten (ACLs) wissen, was wir wollen und wie wir es tun. Das Ergebnis sind große, komplexe Regeltabellen. Die Zero-Trust-Segmentierung arbeitet mit einem Deklarativ politisches Modell, im Gegensatz dazu, und schafft eine Trennung zwischen „Politik“ und „Regeln“. Politik ist das Ergebnis, das wir uns wünschen — wie zum Beispiel die Trennung von DEV- und PROD-Umgebungen. Die Regeln oder ACLs, die für die Umsetzung dieser Richtlinie erforderlich sind, sind das Ergebnis der Policy-Engine und nicht von Menschen. Dies vereinfacht die Erstellung von Richtlinien radikal.
Wenn ich eine Regel schreibe, die es einem Gerät ermöglicht, mit drei anderen zu kommunizieren, muss ich keine vier Regeln schreiben. Ich muss nur eine Richtlinie schreiben, die besagt, dass der eine Server mit den anderen drei kommunizieren kann. Die Richtlinien-Engine erstellt alle Regeln, um diese Richtlinie wahr werden zu lassen. Wenn diese Vereinfachung auf die gesamte Rechenzentrums- oder Cloud-Bereitstellung angewendet wird, beschleunigt sie die Entwicklung einer Zero-Trust-Segmentierungsrichtlinie.
Bekannte Namen im Vergleich zu IP-Adressen
Schreiben traditionelle Firewallregeln wird immer langsam sein, da ständig zwischen IP-Adressen, die die Infrastruktur versteht, und den Namen, die wir Servern im Gespräch geben, übersetzt werden müssen. Durch den Wegfall dieser Übersetzung wird der Zeitaufwand für die Erstellung einer Zero-Trust-Segmentierungsrichtlinie radikal reduziert.
Die beste Situation ist, wenn das Unternehmen die Namen wiederverwenden kann, die bereits in CMDBs, SIEMs, IP-Adressverwaltungssystemen, Hostnamenkonventionen, Servernamen usw. vorhanden sind. Wenn vertraute Namen jedes System in der Visualisierung kennzeichnen und die Abstraktion für das Schreiben von Richtlinien bereitstellen, kann plötzlich jeder Zero-Trust-Richtlinien verstehen und schreiben. Es ist keine Übersetzung erforderlich, und das gesamte Team kann sich schnell darauf einigen, dass die geschriebene Richtlinie den durch die Visualisierung festgestellten Anforderungen entspricht.
Verwenden Sie Vererbung, um den Versicherungsaufwand zu verringern
Sobald wir die Zero-Trust-Segmentierungsrichtlinie in Namen (oder Labels) abstrahiert haben, können wir einen der besten Teile einer Zero-Trust-Allowlist nutzen — die Vererbung von Richtlinien. Bei einer reinen Zulassungsliste muss im Gegensatz zu einer herkömmlichen Firewall nicht auf die Reihenfolge der Regeln geachtet werden.
In einer Firewall ist die Mischung aus Allowlist und Denylist Regeln bedeuten, dass die Regeln in einer strikten Reihenfolge angeordnet sein müssen, damit sie wie vorgesehen funktionieren. Da in einer Zulassungsliste nur Dinge erlaubt sind, spielt es keine Rolle, in welcher Reihenfolge sie erlaubt sind oder ob sie mehrmals erlaubt sind.
Das bedeutet, dass die Zero-Trust-Segmentierungsrichtlinie frei vererbt werden kann. Ich kann eine Richtlinie einmal schreiben und sie so oft wie nötig wiederverwenden. Ein Workload könnte einen Teil seiner Richtlinien aus der PROD-Umgebungsrichtlinie, der Richtlinie auf Rechenzentrumsebene und der Richtlinie, die wir für alle Datenbanken geschrieben haben, ableiten. Wir können die Richtlinie für die Kerndienste einmal definieren und dann für jeden Workload in der Umgebung diese Richtlinie übernehmen lassen. Die Vererbung macht die Erstellung von Zero-Trust-Richtlinien viel einfacher als herkömmliche Methoden.
Verteilen Sie das Schreiben von Regeln, um Skalierung zu erzielen
Das Schreiben von Firewall-Regeln wird seit langem zentralisiert und von einem Netzwerksicherheitsteam verwaltet, da die Geräte effektiv Teil der Netzwerkarchitektur sind. Dies hat zu unangenehmen Gesprächen geführt, bei denen das Firewall-Team vom Anwendungsteam verlangt, in IP-Adressen zu beschreiben, wie ihre Systeme funktionieren. Und nur dann kann das Firewall-Team das in Regeln umsetzen. Aber warum sollte man sich mit all dieser Kommunikation und Übersetzung herumschlagen?
Mit Zero-Trust-Segmentierung und einer robusten rollenbasierten Zugriffskontrolle (RBAC) kann das Schreiben von Regeln verteilt werden. Wenn die Zero-Trust-Segmentierungslösung so konzipiert wurde, dass sie anwendungsspezifische Ansichten und Funktionen bietet, ist Folgendes möglich Anwendungsbesitzer schreiben oder validieren Richtlinien für den internen Betrieb ihrer Anwendung und dann für das zentralisierte Team, um ihre Arbeit zu genehmigen und die Richtlinien für die Kerndienste, das Rechenzentrum und den Internetzugang hinzuzufügen.
Eine starke Zero-Trust-Segmentierungslösung bietet den Anwendungs- und DevOps-Teams während des gesamten Prozesses der Richtlinienerstellung Entscheidungsfreiheit. Je mehr Ihr Unternehmen automatisieren möchte, desto wichtiger wird diese Delegation. Wenn das gesamte Team auf gemeinsame Ziele hinarbeiten kann, schafft das Vertrauen und den organisatorischen Zusammenhalt und beschleunigt die Umsetzung einer Zero-Trust-Segmentierungsrichtlinie.
Zusammengefasst
Rechenzentren und Cloud-Umgebungen sind komplex, und es liegt nahe, davon auszugehen, dass die Erstellung einer Segmentierungsrichtlinie dieselbe Komplexität aufweisen würde. Die besten Zero-Trust-Segmentierungslösungen ersetzen jedoch den traditionellen Entwicklungsprozess von Firewall-Regeln durch einfache, skalierbare und effektive Workflows. Ein deklaratives Richtlinienmodell bedeutet, dass Sie sagen können, was Sie wollen, und nicht, wie Sie es tun sollen.
Menschen sind gut darin, zu sagen, was sie wollen, und eine intelligente Policy-Engine kann das in Regeln für die Infrastruktur umsetzen. Wenn die Richtlinie auf bekannten Namen basiert und mehrfach wiederverwendet werden kann, reduziert das den Arbeitsaufwand für das gesamte Team.
Und das Beste: Wenn das gesamte Team zusammenarbeiten kann, fallen die ineffizienten Mauern zwischen den Teams zusammen und das gesamte Unternehmen kann zusammenarbeiten, um die kritischen Ressourcen zu schützen. Die Zero-Trust-Segmentierung verbessert jeden Aspekt der Segmentierungspolitik, wodurch gleichzeitig die Segmentierung verschärft und gleichzeitig die Belastung des Unternehmens verringert wird.