.png)
Was Sie für die Ermittlung von Zero-Trust-Richtlinien benötigen
Die grundlegende Wahrheit über Mikrosegmentierung ist, dass es niemals detaillierter sein wird als unser Verständnis des zu schützenden Verkehrs. Wir können wirklich nicht segmentieren, was wir nicht sehen können.
Die meisten Anbieter von Segmentierungen bieten heute eine Art Anwendungslandkarte an, die eine Anwendung in eine Art „Blase“ einordnet, um ihre mögliche Isolation aufzuzeigen. Dies ist zwar eine enorme Verbesserung gegenüber der Alternative (ohne Visualisierungen), reicht aber in Wirklichkeit nicht aus, um eine solide Zero-Trust-Richtlinie zu verfassen. Notwendig — aber unzureichend. Was brauchen wir noch?
Wie besprochen in der Einführung in diese Serie, Der Erfolg der Zero-Trust-Mikrosegmentierung hängt von der Effektivität des Policy-Management-Prozesses ab. Das Schreiben von Segmentierungsregeln ist keine einzelne Aufgabe, sondern eine Vielzahl von Analyse- und Entscheidungsschritten. Die Verbesserung der Segmentierung erfordert daher ein tiefes Verständnis und muss sich in der richtigen Sichtbarkeit und dem richtigen Arbeitsablauf für jeden Schritt widerspiegeln. Es besteht keine Möglichkeit, dass eine einzige einfache Visualisierung für alle Aufgaben und Entscheidungspunkte funktioniert.
Bei der Richtlinienermittlung handelt es sich um eine Reihe von Aufgaben, die ein Unternehmen durchläuft, um eine Anwendung und ihren Kontext gut genug zu verstehen, um eine Zero-Trust-Richtlinie zu verfassen. Dazu gehören Informationen auf Service-, Host- und Anwendungsebene — aber auch viele andere Dinge.
Vollständiger Anwendungskontext
Der gesamte Kontext einer Anwendung geht über ihren internen Betrieb hinaus. Sie kommuniziert möglicherweise mit anderen Anwendungen, stellt wahrscheinlich eine Verbindung zu 20 bis 30 gemeinsamen Kerndiensten her, hat Benutzer, die von Unternehmens- und VPN-Standorten kommen, und kann mit SaaS-Diensten oder anderen Remote-Adressräumen interagieren. All dies einfach unorganisiert auf einer Landkarte zu platzieren, ist ein Rezept für Verwirrung, das den Fortschritt ins Stocken bringt!
Es ist wichtig, die externe Konnektivität in den normalen benannten Adressbereichen zusammenzufassen, die sich möglicherweise im IP-Managementsystem befinden. Auf diese Weise ist es einfach, Benutzersubnetze, DMZ-Verkehr usw. zu erkennen. Vor allem in den Anfängen einer Mikrosegmentierung gibt es mehr „ungeschützte“ Systeme als „geschützte“ Systeme. Wie werden diese Systeme angezeigt, organisiert und kategorisiert? Wenn diese Systeme Objekte im Richtlinienmodell sind und als solche auf der Landkarte angezeigt werden, werden die Komplexität und das Schreiben von Regeln vereinfacht. Schließlich gibt es die meisten Anwendungen für Benutzer. Wie wird dieser Benutzerkontext verstanden, dargestellt und steht für Aktionen zur Verfügung?
Letztlich erfordert die Richtlinienermittlung einen vollständigen Anwendungskontext, und dazu gehören mehr als einfache Anwendungszeichnungen mit hundert oder mehr Zeilen zu externen IP-Adressen oder Hostnamen.
Mikro- und Makro-Workflows
Rechenzentren oder Cloud-Umgebungen sind komplexe Orte, an denen viel mehr als nur Anwendungen zu berücksichtigen sind. Karten der Anwendungsabhängigkeit sind entscheidend für das Verständnis von Anwendungen, aber wie sieht es mit der Möglichkeit aus, größere Konstrukte zu erkennen? Wie ist es möglich, das zu wissen welcher Verkehr fließt zwischen Dev und Prod? Wie kann man den gesamten Datenbankverkehr auf Port 3306 in der gesamten Umgebung sehen, um sicherzustellen, dass keiner übersehen wird? Wie wäre es, die „Reichweite“ eines Kerndienstes wie LDAP oder RDP zu sehen, um die aktuelle Aktivität zu verstehen?
Die Erfahrung von Illumio bei der Sicherung mehrerer Umgebungen mit über 100.000 Knoten spiegelt sich darin wider, dass zusätzlich zum Anwendungskontext Visualisierungs- und Explorationstools für die Makroumgebung zur Verfügung stehen. Die Erstellung effektiver, abstrakter, auf Bezeichnungen basierender Richtlinien erfordert auch die Fähigkeit, die Kommunikation auf allen Abstraktionsebenen, die das Richtlinienmodell bietet, zu visualisieren und zu überprüfen. Interessanterweise sind die für Anwendungsansichten so nützlichen Anwendungsblasen in diesem Zusammenhang von geringem Nutzen. Die besten Lösungen zur Ermittlung von Richtlinien werden klare Möglichkeiten bieten, um die Kommunikation auf allen Abstraktionsebenen abzubilden und nicht nur Datenbankauszüge gesammelter Flussdaten.
Benötigen Sie eine Mikrosegmentierungslösung, die die Ansichten auf Makroebene bietet, die für die schnelle Bearbeitung großer Datenverkehrsmengen durch Bulk- oder aggregierte Richtlinienerstellung unerlässlich sind.
Verschiedene Ansichten für verschiedene Interessengruppen
Das Firewall-Team wird nicht das einzige sein, das Abläufe und Richtlinien bei der Richtlinienermittlung überprüft. Da sich die Segmentierungsgrenze auf den Anwendungsserver oder den Container-Host verlagert, werden die Betriebs- und Anwendungsteams ein großes Interesse daran haben, sicherzustellen, dass alle Dienste, die sie benötigen, ordnungsgemäß bereitgestellt wurden. Für diese Mitarbeiter lassen sich ihre Fragen am besten durch speziell entwickelte Ansichten beantworten, die auf die Notwendigkeit zugeschnitten sind, eine Richtlinie schnell zu überprüfen und Funktionen zu validieren. Viele der Details zur Richtlinienentwicklung sind nicht notwendig und lenken in der Tat von den Kernanliegen der Anwendungs- und Betriebsteams ab.
Suchen Sie nach einem Mikrosegmentierungsprodukt, das durchdacht konstruierte Visualisierungen und Workflows für Anwendungs- und Betriebsteams bietet. Sie sind Teil des politischen Workflows und sollten über Tools verfügen, die ihren Bedürfnissen entsprechen. Und RBAC Eine gefilterte Ansicht ist natürlich unerlässlich, aber erwarten Sie mehr — erhalten Sie Anwendungsinhaberspezifische Visualisierungen um den Prozess der Richtlinienermittlung zu beschleunigen.
Zusammengefasst
Niemand kann Richtlinien schneller schreiben, als er versteht, was erforderlich ist! Die Erkennung von Richtlinien ist der erste Teil eines jeden Workflows zur Richtlinienverwaltung. Die politischen Anforderungen einer modernen Anwendung oder einer containerisierten Sammlung von Microservices erfordern einen vollständigen Anwendungskontext — weit über eine einfache Anwendungsblase hinaus. Repräsentative IP-Bereiche, nicht verwaltete Systeme, Kerndienste und mehr sind allesamt unerlässlich, um einen Anwendungsdienst im Kontext zu verstehen.
Jedes gute politische Modell bietet die Möglichkeit, die Kommunikation auf mehreren Ebenen oder „Bezeichnungen“ zu abstrahieren. Daher ist es auch wichtig, Visualisierungen zu haben, die diese übergeordneten politischen Ziele unterstützen. Schließlich ist Massenpolitik schnelle Politik, und wenn man über die richtigen Fähigkeiten verfügt, wird dies die Politikentwicklung radikal beschleunigen.
Schließlich sind an der Mikrosegmentierung mehrere Organisationen beteiligt. Policy Discovery ist ein Teamsport. Stellen Sie sicher, dass jeder über maßgeschneiderte Discovery-Ansichten verfügt, damit jedes Team so effizient wie möglich arbeitet.
Eine schnelle, effiziente Richtlinienermittlung führt zu einer schnellen und effizienten Erstellung von Richtlinien. Besuchen Sie uns nächste Woche, wenn wir besprechen, was zur Beschleunigung der Erstellung von Richtlinien erforderlich ist.
