.png)
Was Sie zur Durchsetzung der Zero-Trust-Richtlinie benötigen — schnell und sicher
In dieser Serie haben wir uns mit den Eigenschaften vertraut gemacht, die für einen erfolgreichen Erfolg unverzichtbar sind entdecken, Authoring, und verteilen eine Zero-Trust-Segmentierungsrichtlinie. Diese Woche werfen wir abschließend einen genauen Blick darauf, was zur Durchsetzung einer Zero-Trust-Segmentierungsrichtlinie erforderlich ist. Eine Zero-Trust-Richtlinie, die es nicht bis zur vollständigen Durchsetzung schafft, ist einfach nicht in der Lage, Malware, Ransomware oder böswillige Akteure zu stoppen. Es gibt wichtige Überlegungen, die berücksichtigt werden müssen, um sicherzustellen, dass jede Zero-Trust-Richtlinie schnell in der gesamten Infrastruktur durchgesetzt werden kann — und das ohne Unterbrechung der Anwendungsfunktionen.
Sei vorsichtig, es tut mir nicht leid
Wenn Sie in bestehenden Cloud- und Rechenzentrumsumgebungen arbeiten, müssen Sie zunächst den hippokratischen Eid ablegen: Tun Sie keinen Schaden! Alle Mikrosegmentierungslösungen verwenden Agenten. Sie benötigen ein sicheres Mittel, und kein Inline-Agent ist sicher. Jeder Agent, der eine Inline-Firewall, Filterung oder andere Sicherheitsfunktionen implementiert, kann nicht als sicher angesehen werden. Wenn der Agent nicht geschlossen wird, bricht die Anwendung ab, was betrieblich unsicher ist. Wenn der Inline-Agent nicht geöffnet werden kann, verschwindet der Sicherheitsmechanismus. Dies ist die Definition von unsicherem Computer. Die einzig sichere Agententechnologie zur Durchsetzung von Sicherheitsvorgängen ist ein Agent außerhalb des Datenpfads. Sie sollten eine Lösung benötigen, die die Regeln beibehält, auch wenn der Agent des Anbieters ausfällt oder entfernt wird. Nachfrage ein Agent das ohne Neustart installiert und aktualisiert wird. Agenten sollten im Benutzerbereich ausgeführt werden. Lehnen Sie alles ab, was den Kernel verändert, benutzerdefinierte Netzwerkadapter installiert oder auf andere Weise eingebettet ist. Es ist nicht nötig, etwas so Grundlegendes wie zustandsbehaftete Firewall wenn buchstäblich alles im Rechenzentrum oder in der Cloud eines beinhaltet.
Alles durchsetzen
Sobald Sie eine Zero-Trust-Richtlinie durchsetzen müssen, können Sie sie am besten überall platzieren! Jedes Betriebssystem der letzten zwölf Jahre hat eine perfekt funktionierende Stateful-Firewall — IPTables/NetFilter und die Windows Filtering Platform. Ähnliche Technologien gibt es für AIX, Solaris und sogar Mainframes. Für Netzwerk-Switches, Load Balancer und Hardware-Firewalls gelten alle Firewallregeln. Warum nicht alles nutzen? Setzen Sie Zero Trust überall ein und automatisieren Sie die Durchsetzung von Richtlinien für alles, was Sie bereits besitzen. Die Durchsetzung muss Ihre einschließen Kubernetes-Container-Umgebung, Amazon, Azurblau und Google Cloud Instanzen, SaaS-Dienste und sogar das Fernhalten Ihrer OT-Geräte von der IT-Umgebung. Es lohnt sich nicht einmal, eigene Anbieter zur Durchsetzung der Zero-Trust-Richtlinien in Betracht zu ziehen, wenn jedes Gerät bereits alles unterstützt, was Sie benötigen.
Verbessern Sie die Geschwindigkeit des Vertrauens
Zero-Trust-Implementierungen erfolgen in dem Maß, in dem Vertrauen in die Sicherheit der Police besteht. Schließlich erfordert eine Zero-Trust-Richtlinie, dass alles, was gewünscht wird, spezifiziert wird — alles andere wird verweigert. Das bedeutet, dass die Zero-Trust-Richtlinien perfekt sein müssen. Wie viele Datenflüsse befinden sich in einem Rechenzentrum? Es klingt schwierig, sich auf die Perfektion all dieser Datenflüsse verlassen zu können. Entspann dich. Zero-Trust-Segmentierung muss nicht schwierig sein. Stellen Sie sicher, dass Sie auch nur einen einzigen Service am unteren Ende der Skala durchsetzen können. Schließlich sind einige der anfälligsten Abläufe die Kerndienste und Managementsysteme, die jeden Computer in der Umgebung betreffen. Viele verwenden einen einzelnen Port oder eine kleine Reichweite. Jede gute Lösung sollte in der Lage sein, nur diese wenigen Ports selektiv durchzusetzen. Sie sind einfach zu definieren, leicht zu vereinbaren und ihre Absicherung ist von entscheidender Bedeutung. Am anderen Ende des Spektrums stehen lediglich politische Wünsche wie „Halte alle meine DEV-Systeme davon ab, mit PROD zu kommunizieren, mit Ausnahme der folgenden Liste gemeinsam genutzter Dienste — aber schränke das so weit wie möglich ein“. Niemand wird alle DEV-Systeme und alle PROD-Systeme perfekt kennen — das ist zu dynamisch und komplex. Die besten Zero-Trust-Segmentierungslösungen können jedoch problemlos Durchsetzungsgrenzen definieren, die genau diese Funktionalität bieten und gleichzeitig die Freiheit bewahren, Bedenken hinsichtlich der Regelsetzung zu haben oder die Vererbung von Richtlinien zu durchbrechen. Wie schnell kann jeder im Team sicher sein, dass die Richtlinie richtig und sicher ist? Suchen Sie nach einer Lösung, die auf der Ebene einer einzigen Grundsatzerklärung durchgesetzt werden kann und gleichzeitig allgemeine Trennungsziele durchsetzen kann. Wenn beide gleich einfach sind, ist es einfach, Zero-Trust-Richtlinien durch Änderungskontrolle in die Durchsetzung umzusetzen.
Zusammengefasst
Die Isolierung von Cloud-, Endpunkt- und Rechenzentrumssystemen mit durchgesetzten Regeln ist der eigentliche Sinn von Null Vertrauen. Lösungen, die nur Sichtbarkeit oder Überwachung bieten, können niemals als Zero-Trust-Segmentierung betrachtet werden. Eine gute Segmentierungslösung ist in erster Linie sicher und darf sich nicht auf Inline-Technologien verlassen, die beim Öffnen oder Schließen versagen und so die gesamte Umgebung gefährden. Die Durchsetzung sollte breit angelegt sein und alle Firewalls nutzen, für die Sie bereits bezahlt haben, von den betriebssystembasierten Firewalls bis hin zur Hardware und Netzwerkausrüstung, die sich in den Racks befindet. Die Implementierung von Zero-Trust-Segmentierungsrichtlinien für Container, Cloud und die gesamte Computerumgebung bedeutet, dass viele verschiedene Lösungen erforderlich sind. Warum also nicht das verwenden, was bereits in den einzelnen Lösungen enthalten ist? Schließlich ist es wichtig, in der Lage zu sein, die Durchsetzung von einer einzigen Grundsatzerklärung bis hin zu einfachen Möglichkeiten zur Segmentierung ganzer Umgebungen zu gewährleisten. Die feinkörnige Mikrosegmentierung erfolgt mit der Geschwindigkeit, in der alle darauf vertrauen, dass die Systeme nicht unterbrochen werden. Eine Lösung mit hochflexibler und differenzierter Durchsetzung wird also immer die schnellsten Zero-Trust-Ergebnisse liefern.
ICYMI, lies den Rest dieser Serie:
.webp)
