.png)
Neuausrichtung auf Cloud-Sicherheit: Wie Zero-Trust-Segmentierung die Cloud schützt
Wir setzen unsere Reihe zum Cybersecurity Awareness Month fort, indem wir uns der Public Cloud zuwenden.
Auf den ersten Blick unterscheidet sich die Sicherung von Cloud-Assets konzeptionell nicht von der Sicherung im Rechenzentrum. Identität, Zugriffskontrolle, sichere Verbindungen – all das ist dasselbe.
Aber wenn Sie die Infrastrukturschicht nicht besitzen – und viele der Dienste sind nur ein API-Aufruf an eine DNS-Adresse – ist es am Ende überhaupt nicht mehr dasselbe.
Es ist schwierig, genau zu wissen, welche Verbindungen zu welchen IP-Adressen benötigt werden. Cloud-native Firewalls verfügen über einfache, textgesteuerte Schnittstellen, die sich vollständig auf IP-Adressen und manuelle Prozesse stützen.
Sie können sicher automatisiert werden, aber wer schreibt diesen Code? Das bereits beschäftigte DevOps-Team? Ist das nicht nur ein weiterer manueller Aufwand? Und dieser Aufwand ist am Ende von den Zugriffsrichtlinien im Rechenzentrum entkoppelt, was eine weitere Ebene der Übersetzung und des manuellen Aufwands erfordert.
Glücklicherweise gibt es eine bessere Möglichkeit, die Cloud zu sichern: Zero Trust Segmentation.
Es gibt 4 Hauptmethoden, mit denen die Zero-Trust-Segmentierung die Cloud vor der Ausbreitung von Cyberangriffen schützt.
Holen Sie sich die Highlights von Nathanael Iversen, dem Chief Evangelist von Illumio, in seinem Video:
Und lesen Sie weiter, um mehr zu erfahren.
1. Vollständige Transparenz der Netzwerkkommunikationsflüsse
Wenn viele der in der Cloud verwendeten Dienste, Anwendungen und Datenspeicher selbst nur einen API-Aufruf entfernt sind, führt die herkömmliche Netzwerkflussanalyse oft nicht zu einem brauchbaren Verständnis der Cloud-Konnektivität.
Die Zero-Trust-Segmentierung beginnt mit einer direkten Verbindung zum Inventar und den Verbindungstabellen des Cloud-Systems. Das bedeutet, dass alles, was über eine Elastic Network-Schnittstelle (ENI) verfügt, automatisch erkannt, seine Metadaten erfasst und für die Benennung verwendet und auf einer Anwendungsabhängigkeitskarte abgelegt wird.
Daher basiert die Application Dependency Map nicht auf sich ständig ändernden IP-Adressen, sondern auf den Namens- und Objektkonventionen, in deren Erstellung Ihr Unternehmen bereits Zeit und Mühe investiert hat.
Diese Karte bietet eine umfassende Abdeckung von EC2-Instances über Kubernetes und containerisierte Objekte, SaaS-Services, Cloud-Anwendungen bis hin zu Service-Brokern – fast alle Kommunikationsflüsse.
Die Informationen sind übersichtlich nach Anwendung und Dienst organisiert und so benannt, dass jeder in der Cloud, in der Infrastruktur und in den Sicherheitsteams die Karte lesen kann. Diese Ansicht zeigt die tatsächliche Verbindungstopologie, unabhängig von VPCs, Subnetzen und Zonen.
2. Automatisierte und optimierte Segmentierungspolitik
Sobald wir klar verstanden haben, wie die Dinge mit der Anwendungsabhängigkeitskarte verbunden sind, ist es natürlich zu fragen, wie gut die Verbindungen geschützt sind. Wie hoch ist das Risiko, dass auf einen dieser Dienste unsachgemäß zugegriffen oder er unterbrochen werden könnte?
Die Zero-Trust-Segmentierung umfasst die Automatisierung und Optimierung von Richtlinien, sodass ein echtes Zero-Trust-Ergebnis mit den geringsten Rechten einfach zu erreichen und zu verwalten ist.
Dieselbe Anwendungsabhängigkeitszuordnung, die das Sicherheitsteam über die Kommunikationsflüsse informiert, kann auch den Code zur Richtlinienautomatisierung informieren, der Folgendes bewirkt:
- Analysiert die notwendigen Verbindungen
- Vergleicht diese Verbindungen mit der aktuellen VPC-Richtlinie
- Dann gibt es Empfehlungen, wie die Sicherheitsrichtlinie optimiert und verschärft werden kann, sodass notwendige Verbindungen zugelassen und alles andere verweigert wird.
Die daraus resultierende Policy-Empfehlung kann dann direkt in die Cloud-nativen Firewalls implementiert werden – ganz ohne Agenten.
Da Zero Trust Segmentation in die native Firewall schreibt, kann der Datenverkehr unabhängig vom Ziel gesteuert werden. EC2 zu EC2? Ja. EC2 zu Kubernetes-Cluster? Sicher. SaaS-Service für die Lamba-Funktion? Natürlich.
Zero Trust Segmentation bietet eine automatisierte, agentenlose Segmentierung, die vollständig API-gesteuert und API-zugänglich ist. Da Metadaten aus der Cloud verwendet werden, bedeutet dies, dass Segmentierung-as-a-Service jetzt verfügbar ist.
CloudOps- und Automatisierungsteams können auf eine zuverlässige, metadatengesteuerte Abstraktionsschicht zugreifen, die die gesamte Übersetzung zurück in IP-Adressen und Firewall-Richtlinien übernimmt – und sogar automatisch mit Änderungen der Anwendungstopologie Schritt hält.
3. All-in-One-Transparenz und -Kontrolle für Cloud-, Rechenzentrums- und Endpunktumgebungen
Wir haben gerade einige der Cloud-nativen Funktionen von Zero Trust Segmentation untersucht, aber die beste Nachricht ist, dass diese Funktionen auch für Rechenzentrums- und Endpunktumgebungen volle Transparenz und Kontrolle bieten.
Keine Wolke ist eine Insel.
Benutzer und Administratoren greifen auf die Cloud zu, und die Cloud kommuniziert mit Systemen in Rechenzentren und Co-Location-Einrichtungen. Oft ist die Kommunikation zwischen Cloud-Anbietern ständig im Fluss.
Die Zero-Trust-Segmentierung bietet ein einziges Richtlinienmodell, eine Visualisierung und eine einzige Richtlinienverteilungsschicht, um all diese verschiedenen Umgebungen zu einem kollaborativen, reibungslosen Workflow zu verbinden. Systeme, die über Cloud-APIs visualisiert werden, werden auf demselben Bildschirm wie Systeme angezeigt, die im Rechenzentrum oder in VDI-Instanzen oder Benutzerendpunkten erkannt wurden.
Bei der Bereitstellung mit Endpunkten bietet Zero Trust Segmentation identitätsgesteuerte Segmentierung und Zugriffskontrolle für Cloud-Workloads.
4. Verbessern Sie die betriebliche Resilienz
Ein universeller Hub für die Segmentierungsrichtlinie bedeutet, dass es einfach ist, alle Systeme in eine gemeinsame Richtlinie einzubeziehen.
Viele Unternehmen möchten die Reaktion auf Vorfälle verbessern, indem sie proaktive und reaktive Segmentierungsrichtlinien vorab bereitstellen. Die Idee ist einfach und basiert auf dem, was jeder weiß, sobald er eine Sicherheitsverletzung entdeckt, tun muss – die Segmentierungskontrollen zu verschärfen.
Welche Notfallrichtlinien würden Sie im Falle eines Cyberangriffs sofort umsetzen wollen, um die kritischsten Systeme zu schützen?
Mit der Zero-Trust-Segmentierung können Sie diese Richtlinien im Voraus erstellen und implementieren, sodass sie jederzeit aktiviert werden können. Und das Beste daran ist, dass sich diese Richtlinien auf Cloud-, Rechenzentrums- und Endpunktumgebungen erstrecken können.
Die Zero-Trust-Segmentierung macht es einfach, eine Basisrichtlinie zu haben, an die sich alle Systeme halten sollten, und diese Richtlinie dann überall durchzusetzen – von Cloud-basierten Container-Bereitstellungen bis hin zu virtuellen Maschinen im Rechenzentrum.
Stärken Sie Ihre Cloud-Sicherheitslage mit Zero-Trust-Segmentierung
Unternehmen wechseln in die Cloud, um Verfügbarkeit und Agilität zu gewinnen, globale Bereitstellungen zu automatisieren und vieles mehr.
Zero Trust Segmentation bietet die Transparenz, Automatisierung und Abdeckung, die für die Bereitstellung von Segmentierung als Service erforderlich sind. Es beginnt mit automatisierter Transparenz und Verbindungszuordnung, wobei Informationen direkt von Cloud-Anbieter-APIs gestreamt werden. Diese Daten speisen dann leistungsstarken Automatisierungs- und Optimierungscode ein, der Vorschläge zur Optimierung und Verschärfung der Segmentierungsrichtlinie enthält.
Wenn diese Richtlinien bereitgestellt werden, können sie bei Bedarf in die Cloud, in das Rechenzentrum und in die Endpunktsysteme übertragen werden. Die Cloud unterscheidet sich zwar vom Rechenzentrum, aber es stellt sich heraus, dass die Nutzung von Cloud-Metadaten, Verbindungsinformationen und APIs bedeutet, dass Unternehmen die automatisierte Segmentierungspolitik in ihren Cloud-Bereitstellungen vorantreiben können.
Und schließlich gibt es eine vollautomatische Cloud-Segmentierung, die für Zero-Trust-Prinzipien optimiert ist.
Der Cybersecurity Awareness Month bietet eine großartige Gelegenheit, einen Schritt zurückzutreten und Funktionen wie Zero Trust Segmentation in Betracht zu ziehen, die sich am stärksten auf Ihre Sicherheitslage in der Cloud auswirken würden.
Nächste Woche setzen wir unsere Serie über Themen fort, auf die wir uns während des Monats des Cybersicherheitsbewusstseins wieder konzentrieren sollten.
Möchten Sie mehr über Cloud-Sicherheit erfahren? Lesen Sie unser E-Book: 5 Dinge, die Sie vielleicht noch nicht über Cloud-Sicherheit wussten
