Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Ein Architektenleitfaden für die Bereitstellung von Mikrosegmentierung: Verwalten des Bereitstellungsprozesses

Illumio Editorial
Illumio Editorial
August 7, 2020
23 min. lesen

In Teil 1 und Teil 2 dieser Reihe werden die Auswirkungen einer Änderung Ihres Sicherheitsmodells und die Ressourcen untersucht, die für den Erfolg Ihrer Mikrosegmentierungsbereitstellung erforderlich sind.

In Teil 3 untersuchen wir, wie Sie den Bereitstellungsprozess am besten mit bestimmten Prüfpunkten verwalten, die Sie Ihrem Plan hinzufügen können.

In vielerlei Hinsicht ist der Einsatz von Mikrosegmentierung nur ein weiteres IT-Projekt. Es gibt technische Arbeit, politische Arbeit und Koordinationsarbeit, wie bei jedem Projekt. Im Folgenden werde ich die besonderen Überlegungen hervorheben, die eine Mikrosegmentierungsbereitstellung so reibungslos wie möglich gestalten. Dies sind die "Best Practices", die wir aus vielen großen Unternehmensimplementierungen destilliert haben und die an Bereitstellungen jeder Größe angepasst werden können.

Gewährleisten Sie eine umfassende Überblicksschulung für das gesamte Projektteam

Bringen Sie so viele Personen wie möglich durch die Übersichtsschulung des Anbieters. Dies führt die Teilnehmer in die Architektur, die Richtliniensprache und die Kernkonzepte der Mikrosegmentierung ein. Wenn das gesamte Projektteam dies gemeinsam tut, wird der gesamte Designprozess robuster. Jedes Mitglied des oben aufgeführten funktionsübergreifenden Teams hat eine andere Sicht auf die IT und versteht die Einschränkungen und die bestehende Architektur aus einem einzigartigen Blickwinkel.

Wenn jede Person genug über den Einsatz von Mikrosegmentierung weiß, um zu verbalisieren, wo Komplikationen auftreten können, welche Tests oder Zertifizierungen durchgeführt wurden und andere Details, ist es viel einfacher, einen vollständigen Bereitstellungsplan zu erstellen. Je früher diese Perspektiven im Planungsprozess Gehör finden, desto besser. Wenn das Team im Laufe des Projekts einzeln hinzugezogen wird, werden viele Punkte des "kritischen Pfads" erst Wochen später aufgedeckt. Diese frühzeitige Benachrichtigung gibt der gesamten Organisation mehr Zeit, um zu planen und zu reagieren.

Erwarten Sie vollständige Design-Ergebnisse

Eine Mikrosegmentierungsbereitstellung verfügt über mehrere neue Konzepte, wie oben erwähnt. Diese müssen sich im Projektplan und in der Zeitleiste widerspiegeln. Wenn der Projektplan nur technische Meilensteine enthält und die Koordination, teamübergreifende Benachrichtigungen und andere Berührungspunkte fehlen, wird das Projekt am Ende des Projekts um mehrere Wochen verschoben. Jedes Unternehmen organisiert und verfolgt Projekte mit lokalem Flair, aber jedes Projekt sollte Folgendes haben:

  • Ein detaillierter Bereitstellungsplan. Ein Anbieter sollte eine Vorlage für die "zu erledigende Arbeit" bereitstellen, die alle "Lessons Learned" und "Best Practices" enthält. Dies sollte in einen umsetzbaren Bereitstellungsplan integriert werden, wobei gegebenenfalls Namen und Daten zugewiesen werden. Der Plan sollte von den Teams, die ihn ausführen, unterzeichnet werden, und der ausführende Sponsor sollte mit einer Berichterstattung über den Fortschritt rechnen.
  • Einen Beschriftungs- und Metadatenplan. Da die Mikrosegmentierungsrichtlinie auf Namen und Labels und nicht auf IP-Adressen basiert, muss das Team die aktuellen Datenquellen bewerten und Lücken identifizieren. Für den laufenden Betrieb kann es erforderlich sein, Richtlinien und Workflows zu erstellen oder zu verbessern, wie Metadaten erstellt und verwaltet werden, wenn Anwendungen kommen und gehen.
  • Eine detaillierte anfängliche Sicherheitsrichtlinie. Unsere schnellsten Bereitstellungen erfolgten dort, wo das Bereitstellungsteam zu Beginn des Projekts ein klares Richtlinienziel hatte. Die Mikrosegmentierung ist in der Lage, detaillierter zu sein, als Unternehmen in der Vergangenheit hatten. Für die meisten unserer Kunden bietet die Mikrosegmentierung weit mehr, als zunächst erforderlich ist. Das kluge Projektteam wird zuerst die Projektziele erreichen und sich nicht in all das hineinziehen lassen, was schließlich mit der Plattform möglich sein wird. Es ist am besten, die anfängliche Richtlinie detailliert zu beschreiben und das Team hart auf dieses Ziel hinarbeiten zu lassen. Nachdem alle Workloads durch die ursprüngliche Sicherheitsrichtlinie gesichert wurden, kann eine Verschärfung entsprechend den Geschäftsanforderungen auf risikobereinigter Basis erfolgen. Vermeiden Sie es, "zu versuchen, den Ozean zum Kochen zu bringen".
  • Eine Liste und Beschreibung aller erforderlichen Automatisierungen und wer sie schreiben wird. Die Massenbereitstellung von Agenten, der Import von Labels und Metadaten und so viele andere Dinge werden wahrscheinlich über die Automatisierung erfolgen. Je nachdem, welches Team die technische Führungsposition einnimmt, kann diese Arbeit von anderen Teams erledigt werden. Dies erfordert eine zusätzliche Planung und Koordination. Wenn Sie frühzeitig genau wissen, was bis wann benötigt wird, kann jedes Team Überraschungen vermeiden und auf Kurs bleiben.
  • Eine Liste und Beschreibung aller erforderlichen Integrationspunkte und wer sie durchführen wird. Zumindest werden wahrscheinlich Sicherheits- und Betriebsprotokolle an ein SIEM oder eine Big-Data-Analyseplattform gesendet. Möglicherweise sind zusätzliche Anpassungen, Dashboards und andere Tools erforderlich. Oft handelt es sich hierbei um einen Bereich, an dem neben dem Projektleitungsteam auch andere Teams beteiligt sind. Ihr Anbieter verfügt über professionelle Servicetechniker mit spezifischem Fachwissen und muss die richtigen Ressourcen für Ihr Projekt bereitstellen. Es ist wichtig, früh im Projekt herauszufinden, wer welche Arbeit erledigt, damit die Zeitpläne aufeinander abgestimmt sind.
  • Eine Liste der internen Prozesse und Workflows, die von der Bereitstellung der Mikrosegmentierung betroffen sind. Die Mikrosegmentierung ändert die Art und Weise, wie Ihre Organisation Sicherheitsrichtlinien verfasst. Wenn jemand Bezeichnungen oder Metadaten ändert, ändert sich dadurch die Sicherheitsrichtlinie, die auf eine Workload angewendet wird. In der Theorie unterscheidet sich dies nicht von der Beantragung einer Änderung der Firewall-Regel. Die meisten Unternehmen stellen jedoch fest, dass es wichtige Workflows gibt, die angewendet oder erweitert werden müssen, damit die vorhandenen Sicherheitsvorkehrungen angewendet werden. Erwarten Sie, dass das Team diese identifiziert und auf ein angemessenes Niveau für die Koordination und Abnahme anhebt. Dies ist der Schlüssel zu einer reibungslosen langfristigen Eigentümerschaft einer Mikrosegmentierungslösung und zu einer Arbeit, die ohne Genehmigung und Koordination auf Managementebene nicht erledigt werden kann.

Kadenz der Berichterstattung

Die Bereitstellung von Mikrosegmentierungen verläuft reibungslos, wenn es drei Ebenen der Berichterstellung gibt, die jeweils ihren eigenen Rhythmus haben:

  1. Technischer Projektstatus: Der Teamleiter, der Anbieter, die professionellen Servicetechniker und andere, die auf der Ebene der Arbeit stark involviert sind, müssen regelmäßig miteinander kommunizieren. Wir sehen dies oft bei Zeitplänen, die von einem Tag bis zu einem wöchentlichen Statusanruf am langen Ende reichen. Diese Anrufe werden in der Regel von den PMs und dem technischen Leiter geleitet und konzentrieren sich direkt auf die Arbeit. Ein breites Spektrum von Menschen ist zu diesem Aufruf eingeladen und nimmt teil, wenn sie gebraucht werden.
  2. Projektstatus: An diesem Aufruf nehmen die PMs, der Teamleiter sowie interessierte Manager und Direktoren auf beiden Seiten teil. Normalerweise ist dies alle zwei Wochen oder einmal im Monat. Es wurde entwickelt, um den allgemeinen Rot-Grün-Status zu kommunizieren, Lücken zu identifizieren, Eskalationen oder zusätzliche Ressourcen anzufordern usw. Es handelt sich nicht um einen technischen Call, sondern um einen Projektmanagement-Call, der sowohl den Anbieter als auch das Unternehmen über den Status auf dem Laufenden halten soll.
  3. Exekutiver Status: Unternehmen setzen Mikrosegmentierung ein, um spezifische Geschäftsvorteile zu erzielen. Ein monatlicher oder vierteljährlicher Rhythmus mit dem Executive Sponsor und den Vendor Executives und dem Account Manager stellt sicher, dass das Projekt weiterhin mit den allgemeinen Geschäftszielen und -prioritäten übereinstimmt. Es bietet ein ständiges Forum für beide Teams, um zu interagieren und Prioritäten für den Projekterfolg zu setzen. Dies ist in der Regel ein 30-minütiges Meeting, kann sich aber auch länger hinziehen, bevor wichtige Meilensteine wie die erstmalige Durchsetzung erreicht werden.

Und das ist es. Das Herzstück jeder erfolgreichen Mikrosegmentierung ist die Kommunikation. Wenn alle Teammitglieder ordnungsgemäß geschult sind, die Ergebnisse skizziert und eingehalten werden und der Berichtsrhythmus vereinbart und eingehalten wird, ist ein effektiver Einsatz der Mikrosegmentierung nicht nur möglich, sondern auch einfacher, als Sie vielleicht denken.

Schauen Sie sich Teil 4 dieser Serie an, in dem wir fünf Orte besprechen, an denen Sie sich "einbringen" sollten, um den Erfolg Ihrer Mikrosegmentierungsimplementierung zu beschleunigen.

Verwandte Themen

No items found.

Verwandte Artikel

4 Dinge, die Sie über Illumio auf der Infosecurity Europe 2024 wissen müssen
Zero-Trust-Segmentierung

4 Dinge, die Sie über Illumio auf der Infosecurity Europe 2024 wissen müssen

Nehmen Sie an der Infosecurity Europe 2024 von Illumio vom 4. bis 6. Juni im ExCeL London teil.

Read more
Top-Nachrichten zur Cybersicherheit im Februar 2025
Zero-Trust-Segmentierung

Top-Nachrichten zur Cybersicherheit im Februar 2025

Erfahren Sie, warum Ransomware-Gangs trotz harter Razzien der Strafverfolgungsbehörden immer noch erfolgreich sind, wie CTOs größere Sicherheitsaufgaben übernehmen und wie Illumio und seine Partner die Zero-Trust-Abwehr stärken, um Ransomware im Keim zu ersticken.

Read more
Grundlegendes zu zustandsbehafteten und zustandslosen Firewalls für die zustandsbehaftete Protokollprüfung
Zero-Trust-Segmentierung

Grundlegendes zu zustandsbehafteten und zustandslosen Firewalls für die zustandsbehaftete Protokollprüfung

Stateful Firewall vs. zustandslose Firewall? Erfahren Sie mehr über den Unterschied zwischen Firewalls und die Auswirkungen auf Sicherheit und Leistung für verschiedene Arten von Firewalls.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more