.png)
Fragen zur Mikrosegmentierung, die Sie nicht stellen sollen: Was braucht es, um Ihr Bewerbungsteam an Bord zu holen?
Anwendungsbesitzer sind an eine distanzierte Beziehung zu ihren Sicherheits- und Netzwerkteams gewöhnt. Das Netzwerk soll "einfach funktionieren" und Firewalls sind ein Problem, das man nur selten ertragen kann. Schließlich fühlt sich die Infrastruktur für den durchschnittlichen Anwendungsbesitzer nicht "nah" an. Aber wenn die Sicherheits- und Infrastrukturteams ankündigen, dass sie die Erzwingungsgrenze auf das Betriebssystem verschieben oder die Anwendung abgrenzen wollen, nehmen abstrakte Konzepte plötzlich eine neue Realität an.
Die Hauptbefürchtung ist, dass die Implementierung der Kontrollen unvollständig sein wird, was zu Ausfällen führt, oder dass sie die Leistung beeinträchtigen oder anderweitig Kopfschmerzen verursachen, die es vorher nicht gab. Es gilt auch im Allgemeinen, dass das Anwendungsteam auf den Anwendungsserverinstanzen eine beträchtliche Kontrolle ausübt und Implementierungen oft verzögern kann, wenn seine Bedenken nicht berücksichtigt werden. Wie können wir also eine dauerhafte, vertrauensvolle Beziehung zu unseren Anwendungseigentümern, DevOps- und Cloud-Teams aufbauen?
Legen Sie den hippokratischen Eid ab
Für Anwendungsbesitzer steht die Verfügbarkeit von Diensten ganz oben auf der Liste und umfasst oft einen Teil ihrer MBO oder Leistungsboni. Alles, was die Betriebszeit der Anwendung gefährdet, stößt sofort auf Widerstand. Aus diesem Grund ist es für die Anwendungs- und Automatisierungsteams wichtig zu wissen, dass Sie den hippokratischen Eid effektiv abgelegt haben – Sie werden nicht zulassen, dass ihre Anwendung bei der Entwicklung der Mikrosegmentierungsrichtlinie geschädigt wird. Denken Sie daran, dass sie durch Firewall-Umstellungen und -Neukonfigurationen so konditioniert wurden, dass sie jedes Mal mit Unterbrechungen rechnen müssen, wenn die Mikrosegmentierungsregeln angepasst werden. Aber das muss nicht so sein. Wenn Sie sich für eine Lösung mit einer starken "Build, Test, Enforce"-Methodik entscheiden, werden alle Mikrosegmentierungsrichtlinien so lange gründlich getestet, wie es dauert, um die Richtigkeit sicherzustellen.
Versuchen Sie während der ersten Bereitstellung nicht, an Anforderungen vorbeizusprinten, um hostbasierte Agents zu testen oder zu zertifizieren. Jeder Qualitätsagent wird durch die Tests fliegen. Wenn Sie einen Agent auswählen, der nicht in den Datenverkehr eingebunden ist, bei dem es sich nicht um einen virtuellen Netzwerkadapter handelt und der den Kernel nicht ändert, wird die Akzeptanz durch den Anwendungsbesitzer in die Höhe schnellen. Vermeiden Sie Inline-Agents, die entweder geöffnet (keine Firewall-Richtlinie) oder geschlossen (die App wird unterbrochen) fehlschlagen. Wenn Sie sich für einen Agenten entscheiden, der für die Ausführung in geschäftskritischen Umgebungen zertifiziert ist, wie z. B. Oracle Exadata, besteht kaum ein Zweifel daran, dass der Agent unsicher ist. Wenn Sie einen sicheren Agent mit einem sicheren Pfad zur Durchsetzung kombinieren, können die Anwendungsbesitzer und Betriebsteams verstehen, dass Sie ihre Bedenken hinsichtlich der Sicherheit und Betriebszeit der Anwendung teilen.
Befähigen Sie sie zur Teilnahme
Aber jede qualitativ hochwertige Zero-Trust-Segmentierungslösung geht weit über die Sicherheit hinaus und bietet den Anwendungseigentümern die Möglichkeit, sich sinnvoll zu beteiligen. Gewähren Sie Anwendungsbesitzern mindestens Zugriff auf die Visualisierung ihrer Anwendung mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). Sobald die Anwendungsabhängigkeitszuordnung angezeigt wird, kann der App-Besitzer überprüfen, ob die beobachteten Datenflüsse erwartet werden und zugelassen werden sollten. Während sich die Richtlinie weiterentwickelt, kann der App-Besitzer sehen, dass die erforderlichen Kerndienste, Datenbankverbindungen und Benutzerzugriffsmethoden zulässig sind. Sie werden Teil der Genehmigungskette, um sicherzustellen, dass die Richtlinie sowohl sichert als auch ermöglicht. Einige Organisationen gehen noch weiter und geben den Anwendungsbesitzern die Kontrolle über die Erstellung der internen Anwendungsrichtlinie. Bei der Bereitstellung unter strengen RBAC-Kontrollen kann jeder App-Besitzer nur seine eigene App sehen, und die Richtliniensteuerung kann nach Bedarf delegiert und eingeschränkt werden. Da die endgültige Genehmigung den Sicherheits- und Infrastrukturteams vorbehalten ist, gibt dies den Betriebsteams eine echte Verantwortung und erhöht das Vertrauen und die Verbindung zum Ergebnis.
Bieten Sie die Möglichkeit zur Automatisierung
Fast alle Apps, die in den letzten Jahren entwickelt wurden, sind zu einem großen Teil automatisiert. Sie stehen mit Skripten auf, die vom Anbieter bereitgestellt werden. Sie bieten APIs und lassen sich oft in SaaS, Cloud-Instanzen, Container oder andere fortschrittliche Anwendungshosting-Technologien integrieren. Für DevOps-Teams kann alles, was keine API hat, genauso gut nicht existieren!
In der Vergangenheit waren Anwendungsteams frustriert über das langsame Tempo manuell eingegebener Mikrosegmentierungsregeln und der damit verbundenen Prozesse. Bieten Sie also Segmentierung als Service an! Geben Sie ihnen API-Schlüssel für Ihre Zero-Trust-Segmentierungslösung. Bitten Sie sie, ihre Metadaten als Quelle für die Abstraktion von Labels/Tags/Richtlinien zu verwenden. Wenn ihre Metadaten zum Ausgangspunkt für Visualisierung und Richtlinien werden, kann die Mikrosegmentierung einfach über die API angefordert und vom ersten Tag an automatisiert werden. Zeigen Sie den Anwendungsteams, wie sie auf Segmentierungs-as-a-Service zugreifen können – ermutigen Sie sie, es in ihre Runbooks und Golden Images einzubauen, und dann sprechen Sie ihre Muttersprache. Alle profitieren davon, wenn die Mikrosegmentierungsrichtlinie während des gesamten Anwendungslebenszyklus kontinuierlich aktualisiert wird.
Das Geschäft hängt von Anwendungen ab, und die Teams, die sie bereitstellen und unterstützen, sind nicht an die detaillierten technischen Anforderungen gewöhnt, die ein Firewall-Team traditionell erfordert. Aber die Zero-Trust-Segmentierung muss sie nicht ausbremsen oder dazu führen, dass sie Steine errichten. Richtig kommuniziert und mit Ressourcen ausgestattet, ermöglicht eine Mikrosegmentierungsbereitstellung den Anwendungseigentümern eine sichere Interaktion mit dem Projekt. Die besten Projektteams laden sie außerdem ein, die Mikrosegmentierung als verfügbaren API-gesteuerten Service in Betracht zu ziehen – genau wie die anderen SaaS-Dienste, die sie regelmäßig nutzen. Wenn fortschrittliche Mikrosegmentierung einfach zu nutzen, sicher zu betreiben und in der Lage ist, sie zu kontrollieren und zu beeinflussen, werden Sie Anwendungsteams finden, die bereit sind, Ihnen dabei zu helfen, ihre Systeme vor Bedrohungen zu schützen, von denen niemand möchte, dass sie ihre Systeme beeinträchtigen.
Erfahren Sie noch heute mehr über die Anwendungssegmentierung .
