5 Gründe, warum Ihr Firewall-Team die Mikrosegmentierung lieben wird

Ich werde nie einen Vorfall vergessen, der sich zu Beginn unserer Kundengeschichte ereignet hat. Wir hatten gerade eine Schulung mit den Firewall-Architektur - und Implementierungsteams eines großen Kunden abgeschlossen. Einer der leitenden Firewall-Administratoren hob die Hand und sagte: "Wenn ich das richtig verstehe, muss ich nie wieder eine Firewall-Regel schreiben." Ich lächelte und sagte: "Das stimmt."

Ein halbes Jahr später standen wir zusammen im Aufzug und er erzählte mir begeistert, wie sehr er die Mikrosegmentierung liebt. Ich fragte warum, und er antwortete: "Sie hatten Recht. Ich schreibe keine ACLs mehr und unsere Richtlinien sind viel strenger."

Das war ein großartiger Moment, aber die einfache Tatsache ist, dass Mikrosegmentierung großartig für Firewall-Betriebsteams ist. Hier sind fünf wichtige Gründe dafür.

1. Keine manuellen ACLs mehr. Konzeptionell ist das Schreiben von Firewall-Regeln "einfach" – geben Sie einfach die Regeln für das ein, was Sie zulassen möchten, und alles andere wird abgelehnt. Das stimmt auf einem hohen Abstraktionsniveau, aber in der Nähe des Werks ist es eine deutliche Vereinfachung. In einer herkömmlichen Firewall muss jeder Richtlinienwunsch von der Art und Weise, wie App-Besitzer über ihre Systeme sprechen, in die Sprache von IP-Adressen, Subnetzen und Zonen übersetzt werden. Bei der Mikrosegmentierung wird der Erzwingungspunkt zur Anwendungsinstanz selbst verschoben, was bedeutet, dass die Segmentierung für die Durchsetzung nicht auf ein Netzwerkkonstrukt angewiesen ist. In Verbindung mit einer leistungsstarken Policy Compute Engine kann der Administrator Richtlinien in einfacher Sprache schreiben: "Der Webserver kommuniziert mit dem Anwendungsserver; die wiederum mit der Datenbank kommuniziert. Die Webserver kommunizieren nie miteinander oder direkt mit der Datenbank." Eine einfache Richtlinie kann in eine durchsetzbare Regelbasis umgewandelt werden, ohne dass ein Mensch eine IP-Adresse, ein Subnetz oder eine Zone kennen muss. Die Mikrosegmentierung befreit Firewall-Administratoren vom Schreiben von ACLs.
    
2. Rufen Sie ein skalierbares Richtlinienmodell ab. Firewalls sind zwar standardmäßig mit einem Standard-Verweigerungstext am Ende der Regeltabelle ausgestattet, aber sie wachsen schnell zu einer komplexen Mischung aus Genehmigungs- und Verweigerungsanweisungen an. Diese gemischten Verweigerungslisten- und Zulassungslistenrichtlinien lassen sich schlecht skalieren, da die Vererbung begrenzt ist. Solange die Regeln gemischt sind, erlauben und verweigern Anweisungen, ist die Reihenfolge der Regeln wichtig, und das schränkt die Vererbung ein – welche Reihenfolge sollte eine zusammengeführte Richtlinie einhalten? Die Mikrosegmentierung funktioniert nach einem reinen Zero-Trust-Modell . Da es nur permit-Anweisungen gibt, ist die Vererbung von Richtlinien einfach – es kann nur passieren, dass etwas mehr als einmal erlaubt ist. Dies macht es einfach, Richtlinien auf einer beliebigen Abstraktionsebene anzugeben. Ein bestimmter Server kann Richtlinien sowohl von einer Richtlinie für das gesamte Rechenzentrum als auch von einer Richtlinie für die Produktionsumgebung und Datenbanken im Allgemeinen übernehmen. Wenn große Teile der Richtlinie aus Vorlagen stammen, lässt sich das Schreiben von Richtlinien viel einfacher und besser skalieren.
    
3. Seien Sie sich bewusst, dass die Richtlinie korrekt ist. Die Entwicklung einer Firewall-Richtlinie ist nicht einfach. Der gesamte Anwendungsdatenverkehr muss bis hin zum Port und Protokoll charakterisiert werden. Diese Informationen liegen oft außerhalb der Hände der Infrastruktur- und Sicherheitsteams. Schlimmer noch, selbst das App-Team ist sich dessen oft nicht bewusst, da die Anwendung möglicherweise von einem Anbieter oder Auftragnehmer installiert wurde, der nicht mehr beteiligt ist. Die Mikrosegmentierung bietet eine umfassende Karte der Anwendungsabhängigkeiten , die das gesamte Team verstehen kann. Da die Karte nur Anwendungsdaten und keine Netzwerkgeräte anzeigt, können die Anwendungs- und DevOps-Teams leicht nachvollziehen, welche Flows ihre Anwendung generiert und was geschützt werden muss. Die Mikrosegmentierung macht es einfach, einen Konsens über den Schutz kritischer Anwendungen zu erzielen, und liefert dem Richtlinienteam genaue Informationen.
    
4. Seien Sie sich bewusst, dass die Police sicher ist. Wie testet man eine Firewall-Regel? Das tust du nicht. Firewalls funktionieren nicht auf diese Weise – wir geben die Regeln ein und wenn es ein Problem gibt, klingelt das Telefon. Im Jahr 2021 ist das nicht mehr gut genug. Bei einer brandneuen Anwendung gibt es etwas Spielraum für ein Hin und Her mit dem App-Team, um sie in die Produktion zu bringen. Bei vorhandenen Anwendungen führt jedoch jeder Fehler in der Segmentierungsrichtlinie zu einem Ausfall. Mikrosegmentierung bietet einen besseren Weg. Richtlinien durchlaufen einen Lebenszyklus, der separate Build-, Test- und Erzwingungsphasen umfasst. Auf diese Weise kann jeder, vom App-Besitzer bis hin zu den Sicherheits- und Infrastrukturteams, überprüfen, ob die Richtlinie "wie vorgesehen" ist und dass die Richtlinie alle erforderlichen Kommunikationen abdeckt. Die einfache Anwendungsabhängigkeitszuordnung macht es einfach zu wissen, dass die Richtlinie sicher ist und in die Erzwingung eingeführt werden kann.
    
5. Holen Sie sich Hilfe von Anwendungsbesitzern. In jedem Unternehmen gibt es weit mehr Personen im Anwendungsteam als im Sicherheitsteam. Und wenn wir die Anzahl der Anwendungen im Vergleich zur Anzahl der Autoren von Segmentierungsrichtlinien betrachten, wäre der Kontrast noch größer. Angesichts dieser Diskrepanz ist es immer eine Herausforderung, jedem Team zu helfen, zu verstehen, was das Firewall-Team benötigt, und es rechtzeitig zu erhalten. Die Mikrosegmentierung bietet Visualisierungen und Workflows, die für Anwendungsbesitzer konzipiert sind , um Teil des Prozesses zu sein. Wenn das App-Team in das Mikrosegmentierungsprojekt eingebunden ist, ist es für es viel einfacher, die Ziele der Sicherheits- und Infrastrukturteams für die App zu unterstützen. Es schafft Vertrauen und beseitigt die Schuldzuweisungen, wenn jeder sehen kann, wie die Anwendung funktioniert und wie die Segmentierungsrichtlinie mit diesen Abläufen interagiert. App-Besitzer können sowohl die Flows als auch den Anwendungsteil der Richtlinie problemlos validieren, um den Fortschritt bei der Durchsetzung zu beschleunigen.

Mikrosegmentierung eignet sich hervorragend für Firewall-Administratoren. Tauschen Sie manuelle Firewallregeln gegen eine einfache Richtlinie in natürlicher Sprache aus, für die keine Netzwerkkenntnisse erforderlich sind. Profitieren Sie von einem echten Zero-Trust-Richtlinienmodell, das sich mit vollständiger Vererbung problemlos skalieren lässt. Alle Segmentierungsrichtlinien müssen korrekt und vollständig sein. Die Mikrosegmentierung macht dies zu einem einfachen grafischen Prozess, an dem die Anwendungseigentümer beteiligt werden können. Mit ihnen an Ihrer Seite wird das Segmentierungsprojekt schneller, einfacher und angenehmer. Mikrosegmentierung ist das Upgrade, auf das Firewall-Administratoren gewartet haben.