Was Sie benötigen, um eine Zero-Trust-Richtlinie zu verteilen

In dieser Serie haben wir besprochen Ermittlung von Richtlinien und Erstellung von Richtlinien bisher. Sobald Sie eine Richtlinie zur Umsetzung haben, müssen Sie sie berechnen, in Regeln umwandeln und an die Durchsetzungsstellen verteilen. Schließlich ist der Null Vertrauen Politik kann nur dort wirken, wo sie ankommt! Sorgen wir dafür, dass wir diese Politik an so vielen Orten und so effektiv wie möglich einsetzen können.

Automatisieren Sie Richtlinien in Regeln

Der erste Schritt zur Umwandlung einer menschenlesbaren Richtlinie (die auf Bezeichnungen oder Metadaten basiert) in eine durchgesetzte Zero-Trust-Segmentierungsrichtlinie besteht darin, sie in Regeln umzusetzen, die die Infrastruktur verstehen kann. Wir haben besprochen, wie wichtig es für Menschen ist, Richtlinien ohne Verwendung von IP-Adressen festzulegen, aber alle Durchsetzungspunkte erfordern sie! Die Funktion zur Berechnung von Richtlinien spielt eine entscheidende Rolle.

Wenn die Zero-Trust-Segmentierungsrichtlinie auf Labels basiert, bedeutet dies, dass dieselbe Automatisierung, die Anwendungsinstanzen steuert, die Segmentierungsrichtlinie steuern kann. Ohne die IP-Adressen oder gar die Anzahl ähnlicher Anwendungsdienste kennen zu müssen, kann die Anwendungsautomatisierung die richtige Richtlinie erhalten, indem sie einfach „ihren Namen angeben“. Wenn die menschenlesbare Richtlinie automatisch in durchsetzbare Regeln umgewandelt werden kann, wird die Segmentierung zu einem Dienst — genau wie die Anwendungskomponenten selbst.

Machen Sie es dynamisch und kontinuierlich

Die Berechnung der Richtlinien muss dynamisch und kontinuierlich sein. In einem modernen Rechenzentrum oder einer Cloud-Bereitstellung werden die Anwendungen durch die Automatisierung ständig angepasst. Das bedeutet, dass sich IP-Adressen ändern, Instanzen erscheinen, ihre Arbeit erledigen und entfernt werden. SaaS-Service-Controller verlagern die Last nahtlos auf eine neue IP-Adresse in einem Cluster unbekannter Größe. Das bedeutet, dass die in jedem Regelsatz verwendeten IP-Adressen aktualisiert werden müssen, wenn sich die Infrastruktur weiterentwickelt. Die Berechnung und Verteilung der Richtlinien muss kontinuierlich und nahezu augenblicklich erfolgen, damit die definierte Richtlinie an allen Durchsetzungspunkten korrekt ist.

Verwenden Sie vorhandene Durchsetzungspunkte

Eine Zero-Trust-Segmentierungsrichtlinie ist nur so gut wie die Anzahl der Standorte, an denen sie tätig ist. Zum Glück besitzen Sie bereits alle Durchsetzungspunkte, die Sie jemals benötigen werden! In jedes moderne Betriebssystem ist eine absolut nützliche Stateful-Firewall eingebaut. Dies ist IP-Tables oder NetFilter, wenn es sich um einen Linux-basierten Computer handelt, oder die Windows Filtering Platform, wenn es sich um eine Windows-basierte Instanz handelt. Ähnliche betriebssystembasierte Firewalls gibt es für AIX, Solaris und sogar einen IBM System Z-Mainframe! Netzwerk-Switches von Cisco und Arista verwenden ACLs, ebenso wie Load-Balancer von F5 Networks. Es ist nicht übertrieben zu sagen, dass fast jedes an das Netzwerk angeschlossene Gerät in der Lage ist, Segmentierungsanweisungen entgegenzunehmen.

Daher sollte jede gute Mikrosegmentierungslösung so viele dieser Durchsetzungspunkte wie möglich verwenden. Warum sollten Sie sich schließlich darauf verlassen, dass ein Vertreter des Anbieters die Durchsetzung durchführt, wenn die Kernel-Firewall zu den stabilsten und leistungsfähigsten Codes gehört, die es gibt? Suchen Sie nach einer Lösung, die in der Lage ist, bestehende Netzwerk- und Cloud-Netzwerk- und Firewall-Instanzen zu programmieren. Integrierte Systeme und OT-Geräte verfügen nicht über eine integrierte Firewall und benötigen keinen Vertreter eines Anbieters. Sie benötigen also eine Lösung, die alle Ihre verfügbaren Durchsetzungspunkte nutzt.

Überlegungen zu Leistung und Skalierung

Leistung und Umfang müssen bei der Bewertung berücksichtigt werden Zero-Trust-Segmentierung Lösungen. Architektonische Entscheidungen sind wichtig, genau wie bei jedem Gerät zur Hardwareweiterleitung wie einem Switch oder Router. Die Berechnung einer einzelnen Richtlinie im Rahmen eines Machbarkeitsnachweises ist kaum eine Herausforderung.

Aber was passiert, wenn Sie ein vollautomatisches Rechenzentrum haben, in dem 40.000 Recheninstanzen innerhalb von 15 Minuten entfernt und ersetzt werden, und zwar in einer Welle, die sich über einen globalen Rechenzentrumskomplex erstreckt? Plötzlich kommt es auf die Berechnungszeit an.

Die einzige Möglichkeit, die richtigen Richtlinien in einer automatisierten Anwendungsumgebung aufrechtzuerhalten, besteht darin, mit der Automatisierung Schritt zu halten. Aber selbst wenn die Berechnung abgeschlossen ist, muss die Richtlinie verteilt und dann durchgesetzt werden. Dieses Konvergenzereignis ist nicht unähnlich wie bei Hardware-Routern, die ihre Routingtabellen zusammenführen.

Wie effektiv ist die Architektur der Policenverteilung der Lösungen, die Sie in Betracht ziehen? Wenn ein Rechenzentrum zur Hälfte ausfällt und eine umfangreiche Disaster-Recovery-Umleitung des Datenverkehrs ausgelöst wird, wird die rechtzeitige Verteilung von Richtlinien-Updates plötzlich von entscheidender Bedeutung für die Aufrechterhaltung der Anwendungsverfügbarkeit.

Führende Anbieter haben Erfahrung mit der Konvergenz vollständiger Zero-Trust-Richtlinien für bis zu 500.000 Objekte. Stellen Sie sicher, dass die Anbieter, die Sie in Betracht ziehen, die Behauptungen über einen Failover an mehreren Standorten und die gleichzeitige Konvergenz der Richtlinien belegen können.

Eine definierte Richtlinie zu berechnen und dann zu verteilen, stellt die größte Leistungsbelastung für die Mikrosegmentierungslösung dar. Jede Lösung kann in einer einfachen Evaluierungsumgebung funktionieren. Aber nur Lösungen für Unternehmen sind in der Lage, Netzwerkpartitionsereignissen, Failover- und Notfallwiederherstellungsszenarien standzuhalten, ganz zu schweigen von anspruchsvollen Neukonfigurationen der Anwendungsautomatisierung.

Um über eine effektive Funktion zur Verteilung von Richtlinien zu verfügen, sollten Sie genau wissen, wie eine Anbieterlösung menschenlesbare Richtlinien in Regeln automatisiert. Die Richtlinie sollte an so viele Ihrer bestehenden Durchsetzungspunkte wie möglich verteilt werden, wobei ausgereifte, stabile Kernel-Firewalls den Vorzug vor proprietären Anbieterlösungen geben sollten. Wenn Sie eine kontinuierliche und dynamische Richtlinienberechnung und -verteilung implementieren, wird die Zero-Trust-Segmentierung zu einem verfügbaren Anwendungsdienst, der durch die bestehende Anwendungsautomatisierung vollständig automatisiert werden kann.

Besuchen Sie uns nächste Woche in unserer letzten Ausgabe, in der wir erörtern, was zur Durchsetzung einer Zero-Trust-Segmentierungsrichtlinie erforderlich ist.