Einführung von Illumio Insights – bahnbrechende KI-gestützte Beobachtbarkeit, Erkennung und Eindämmung.
Mehr lesen

Ist dir eine Sicherheitsverletzung widerfahren?

|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Ein Leitfaden für Architekten zum Einsatz von Mikrosegmentierung: Fünf Orte, an denen Sie sich "einloggen" sollten

Illumio Editorial
Illumio Editorial
27August 2020
23 min. lesen

Bei Illumio haben wir gesehen, dass einige der erfolgreichsten Mikrosegmentierungseinsätze darauf zurückzuführen sind, dass wir im Vorfeld ein klares Bild von den Designüberlegungen, dem Prozess und dem erforderlichen Team haben. Mehr Informationen führen zu reibungsloseren Bereitstellungen, weshalb ich die gewonnenen Erkenntnisse und bewährten Best Practices aus der Arbeit an Hunderten von Kundenbereitstellungen dokumentiert habe, um Sie auf Ihrem Weg zur Mikrosegmentierung zu unterstützen.

Für einen kurzen Rückblick finden Sie hier:

  • Teil 1, in dem die Auswirkungen einer Änderung Ihres Sicherheitsmodells erörtert werden (d. h. die Bereitstellung von Mikrosegmentierung im Gegensatz zur Fortsetzung herkömmlicher Ost-West-Firewalls).
  • Teil 2, in dem die empfohlene Teamstruktur für optimale Mikrosegmentierungsbereitstellungen untersucht wird.
  • Teil 3, in dem wir die spezifischen Kontrollpunkte untersuchen, auf die Sie während des Einsatzprozesses achten sollten, um mögliche Hindernisse zu vermeiden.

Wir haben einen langen Weg zurückgelegt, und hier werden wir diese Diskussion noch einen Schritt weiter führen.

Jedes Unternehmen hat sowohl inoffizielle als auch offizielle Leitplanken, wenn es um den Einsatz einer neuen Technologie oder einen neuen Ansatz zur Sicherung des Unternehmens geht. Jedes Mitglied des verantwortlichen Teams hat verinnerlicht, was für es akzeptabel ist und wann es eine Abmeldung, eine "Luftdeckung" oder die Erlaubnis zum Handeln benötigt. Wenn das Team nicht darüber verfügt, gerät der Fortschritt ins Stocken, und es ist allzu leicht, eine Woche oder länger zu verlieren, wenn Reisepläne die internen Besprechungen verzögern, die zur Lösung von Problemen erforderlich sind.

Meiner Erfahrung nach gibt es fünf Stellen, an denen sich der Executive Sponsor oder vertrauenswürdige Delegierte (wie in Teil 2 dieser Serie besprochen) "einbringen" und das Projekt mit einer Entscheidung beschleunigen kann, die ich im Folgenden skizziert habe.

Jeder dieser Punkte ist auch der Punkt, an dem etwas schief gehen kann, mit echten Konsequenzen. Das Team wird in diesen Momenten natürlich risikoscheu sein, und es wird dankbar sein, wenn es nach der Präsentation seiner Vorbereitungen und Vorsichtsmaßnahmen aufgefordert wird, weiterzumachen und das zu tun, was es geplant hat. Sie sind auch Punkte im Bereitstellungsplan, die das Managementteam wahrscheinlich Telefonanrufe, E-Mails oder Besuche vom Projektteam erhalten wird, um um Hilfe, Genehmigung oder Anleitung zu bitten, daher ist es wichtig, dies im Voraus zu verstehen, um spätere offensichtliche Verzögerungen zu vermeiden.

Fünf Orte zum "Anlehnen"

1. Erlaubnis zur Installation von Mikrosegmentierungsagenten in großen Mengen

Das Server-/OPS-Team wird zu diesem Zeitpunkt auch nach vollständigen Tests und Validierungen sensibel sein. Es ist oft hilfreich, einen "Push" oder eine Anfrage der Geschäftsleitung zu haben, um sicherzustellen, dass dies geschieht und alle richtigen Benachrichtigungen und Prozesse befolgt wurden.

2. Genehmigung (und Forderung) einer Abkehr vom reinen Monitormodus und Umgang mit Brüchen

Wenn Agents in den Richtlinienerstellungsmodus verschoben werden, übernehmen sie die volle Kontrolle über die Firewall des Betriebssystems oder installieren eine eigene Firewall. Auch wenn es angesichts der Tests und Validierungen, die stattgefunden haben, äußerst unwahrscheinlich ist, besteht immer noch die Möglichkeit, eine Arbeitslast zu beeinträchtigen. Irgendwann wird das Team eine Führung brauchen, die die Entscheidung trifft, weiterzumachen und das zu beheben, was schief läuft, anstatt es auf unbestimmte Zeit zu analysieren. Erwarten Sie, dass Ihr Anbieter eine Anleitung erhält, wie Sie dies so einfach wie möglich gestalten können.

3. Genehmigung der ursprünglichen Richtlinien und der daraus resultierenden Regeln

Wie oben erläutert, ist die anfängliche Richtliniendefinition ein wichtiges Ziel für das Team. Sie müssen wissen, dass es richtig und akzeptabel ist, damit jeder darauf zulaufen kann. Es wird auch ein Sammelpunkt für die technische Leitung sein, um eine schleichende Ausweitung des Projektumfangs zu vermeiden. Psychologisch gesehen sind die meisten Sicherheitsadministratoren daran gewöhnt, in Regelsätzen zu programmieren, die von einem bestehenden Prozess gründlich überprüft wurden. Das Schreiben des ersten Regelwerks wird diesen Prozess wahrscheinlich nicht verwenden, und eine definierte, genehmigte anfängliche Richtlinie bietet die Luftsicherheit und den Komfort für alle, um zu arbeiten.

4. Sicherstellen, dass interne Arbeitsabläufe und Prozesse korrekt erstellt werden

Vor dem Einstieg in die PROD-Umgebung ist es wichtig sicherzustellen, dass sich das Team mit den richtigen Personen, Prozessen, Genehmigern und Stakeholdern abgestimmt hat. Überraschungen sind sehr schlecht, wenn viel auf dem Spiel steht. Es ist gut, den Prozess sorgfältig zu überprüfen und sicherzustellen, dass das Team niemanden oder Kollegen aus der Geschäftsleitung übersehen hat, die es wissen müssen.

5. Genehmigung (und Forderung) eines Schritts zur Durchsetzung von Richtlinien und zum Umgang mit Brüchen

Wochen der sorgfältigen Implementierung und des Testens der ersten Mikrosegmentierungsrichtlinie werden das Team zuversichtlich stimmen, dass es zur Durchsetzung der Richtlinien übergehen wird. Bei der Durchsetzung wird durch die Mikrosegmentierung der gesamte Datenverkehr blockiert, der nicht ausdrücklich zulässig ist. Das sei "ein großer Schritt". Aus diesem Grund haben viele Unternehmen Mikrosegmentierung gekauft, und oft werden Auditoren die Ergebnisse überprüfen. Bei einem großen Projekt ist es fast sicher, dass etwas übersehen, unbekannt oder anderweitig nicht berücksichtigt wird. In den folgenden Tagen oder Wochen wird etwas blockiert und es werden Anrufe getätigt.

Dies gilt sowohl für Hardware-Firewalls als auch für die Mikrosegmentierung. Zu einem bestimmten Zeitpunkt des Projekts wird der leitende Sponsor wissen, dass alle angemessenen Vorbereitungen getroffen wurden. Zu diesem Zeitpunkt benötigt und möchte das Team die Genehmigung, um fortzufahren. Ohne klare Führung und Kommunikation neigt die Organisation dazu, sich auf die Sicherheit einer Seitwärtsbewegung zu konzentrieren, anstatt auf das kontrollierte Risiko, voranzukommen. Die richtige Entscheidung der Geschäftsleitung motiviert zum Fortschritt und kommuniziert klar die Priorität, die es zu erreichen gilt.


Sie können diese (und andere) Fallstricke vermeiden, indem Sie für jeden Fall im Voraus planen und sich entsprechend vorbereiten. Wie bereits erwähnt, steht Transparenz im Mittelpunkt dieser gesamten Diskussion.

Im fünften und letzten Teil dieser Serie werde ich untersuchen, wie Sie Ihre Lieferantenbeziehung am besten verwalten und wie Sie die betriebliche Integrität aufrechterhalten können. Weitere Informationen finden Sie in meinem umfassenden Leitfaden auf Medium Today: https://medium.com/@nathanael.iversen/executive-guide-to-deploying-micro-segmentation-60391e7d1e30

Verwandte Themen

Mikrosegmentierung

Verwandte Artikel

ROI der Cybersicherheit, Zero Trust für kritische Infrastrukturen und der neue Implementierungsplan in den USA
Zero-Trust-Segmentierung

ROI der Cybersicherheit, Zero Trust für kritische Infrastrukturen und der neue Implementierungsplan in den USA

Holen Sie sich eine Zusammenfassung der Berichterstattung von Illumio vom Juli 2023.

Mehr lesen
Richtige Segmentierung mit strukturierter Richtliniensteuerung
Zero-Trust-Segmentierung

Richtige Segmentierung mit strukturierter Richtliniensteuerung

Letztendlich geht es bei Zero-Trust-Segmentierungskontrollen darum, Sicherheitsregeln zu erstellen und durchzusetzen, um die Ausbreitung von Sicherheitsverletzungen über Systeme und Umgebungen hinweg zu verhindern.

Mehr lesen
Netzwerksicherheit ist nicht gleich Workload-Sicherheit
Zero-Trust-Segmentierung

Netzwerksicherheit ist nicht gleich Workload-Sicherheit

Es gibt deutliche Unterschiede zwischen Netzwerksicherheit und netzwerkbasierten Lösungen sowie Workload-Sicherheit und Lösungen wie Mikrosegmentierung.

Mehr lesen
Keine Artikel gefunden.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren