Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Ein Leitfaden für Architekten zum Einsatz von Mikrosegmentierung: Auswirkungen der Änderung des Sicherheitsmodells

Illumio Editorial
Illumio Editorial
Juli 17, 2020
23 min. lesen

Ein Architekt oder Projektmanager für eine Mikrosegmentierungsbereitstellung profitiert von einem klaren Bild der gewünschten Ergebnisse und davon, wie sich die Bereitstellung wirklich auf sein Unternehmen auswirken wird. Gleichzeitig erfordert die Bereitstellung dieser Erkenntnisse oft die Unterstützung anderer Teammitglieder, von denen einige möglicherweise nicht einmal in die IT-Abteilung fallen. Was muss ein Architekt oder Projektmanager über den Einsatz von Mikrosegmentierung wissen, um ein neues Projekt auf die Beine zu stellen, es auf Kurs zu halten und optimale Ergebnisse zu erzielen?

In dieser Serie werden genau diese Fragen untersucht und die wichtigsten Erkenntnisse untersucht, die Ihr Team optimal aufeinander abstimmen, um die Ergebnisse zu erzielen, die Sie für das Unternehmen erwarten und liefern müssen – basierend auf der Erfahrung aus der Arbeit an Hunderten von Mikrosegmentierungsbereitstellungen.

In Teil 1 werde ich die Auswirkungen einer Änderung Ihres Sicherheitsmodells erörtern. Der Wechsel zu einer Mikrosegmentierungslösung verändert das vorhandene Netzwerk-/Perimetermodell in mehrfacher Hinsicht, wie im Folgenden beschrieben. Jede dieser Modifikationen ermöglicht einige der Vorteile, die die Mikrosegmentierung von Anfang an attraktiv gemacht haben, und jede dieser Modifikationen hat Auswirkungen auf das Unternehmen.

Der Erzwingungspunkt wird vom Netzwerk auf den Host verschoben

Traditionell wird die Sicherheit an Perimeter-Engpässen platziert, sei es am Rand eines VLANs, in der PROD-Umgebung oder im Internet. In diesem Modell gibt es nur wenige direkte Interaktionen mit der Anwendung, dem Serverbetrieb oder den Automatisierungsteams. Die Umstellung auf die hostbasierte Durchsetzung bedeutet, dass:

  • Betriebssystemmischung und Agentenunterstützung sind wichtig
  • Die Verfügbarkeit und Konsistenz von Automatisierungs- und Verwaltungstools wirkt sich darauf aus, wie und wie schnell die Agentenbereitstellung erfolgt
  • Anwendungsbesitzer, Systemadministratoren und Automatisierungsentwickler interagieren auf eine Weise, die für sie und das Sicherheitsteam neu ist
  • Sicherheit "im Betriebssystem" zu haben, ist neu für die Anwendungs-/Admin-Teams, und sie müssen verstehen, was das für sie bedeutet.

Die Sicherheitsrichtlinie wird von einem gemischten Blacklist/Whitelist-Modell zu einem reinen Whitelist-Modell umgestellt

Hardware-Firewalls verwenden eine Mischung aus Erlaubnis- und Verweigerungsanweisungen. Das bedeutet, dass die Reihenfolge der Regeln auf jedem Gerät von großer Bedeutung ist. In den besten Mikrosegmentierungsrichtlinien gibt es nur Genehmigungsanweisungen. Natürlich ist dies die praktische Umsetzung der Zero-Trust-Prinzipien für die Segmentierung. Es beseitigt aber auch Bedenken bei der Reihenfolge der Regeln und ermöglicht flexible mehrdimensionale Richtlinien. Es ist eine andere Art der Arbeit und der Spezifizierung von Richtlinien, die eine kurze Übergangszeit haben wird, da die Autoren von Richtlinien eine neue Art und Weise lernen, ihre Wünsche auszudrücken. Es erstellt eine viel einfachere Richtlinie, die leichter zu "lesen" ist, was Audits und Compliance-Überprüfung erheblich erleichtert. Rechnen Sie damit, Zeit mit diesen Teams zu verbringen, um sie über das neue Richtlinienmodell zu informieren.

Sicherheitsrichtlinienanweisungen werden von netzwerk-/IP-abhängigen Anweisungen zu metadatengesteuerten Anweisungen verschoben

Hardware-Firewalls sind für das Schreiben von Regeln auf IP-Adressen, Ports und Protokolle angewiesen. Alle Anbieter von Mikrosegmentierung stellen eine Art von Labels oder Metadaten zur Verfügung, um Richtlinienanweisungen ohne Verweis auf Netzwerkkonstrukte auszudrücken. Das bedeutet, dass die Sicherheitsrichtlinie nicht nur für das Netzwerk oder die Netzwerksicherheitsteams verständlich ist. Grafische "Point-and-Click"-Mechanismen für das Schreiben von Regeln bieten auch eine fast nicht-technische Möglichkeit, Sicherheitsrichtlinien zu erstellen. In Kombination mit einer leistungsstarken rollenbasierten Zugriffskontrolle (Role-Based Access Control, RBAC) wird es möglich, das Schreiben von Regeln breiter innerhalb der Organisation zu verteilen. Ob dies wünschenswert ist oder nicht, wird organisatorisch spezifisch sein.

Obwohl Metadaten für das Sicherheitsteam in der Vergangenheit nicht wichtig waren, werden sie von den Teilen des gesamten Unternehmens, die sich mit der Automatisierung befassen, stark genutzt. Das Zusammentreffen von Sicherheits- und Automatisierungsteams, die Metadaten generieren und konsumieren, impliziert, dass besondere Aufmerksamkeit für das Design, die Speicherung, die Änderung usw. von Metadaten notwendige und lohnende Anstrengungen sind, die sich positiv auf die Agilität der gesamten Organisation auswirken können. Diese breitere Diskussion findet am besten statt, wenn die Führung über Silos und Arbeitsgruppen hinweg das gesamte Spektrum der betroffenen Parteien zusammenbringt, um eine gemeinsame Lösung zu finden.

API-gesteuerte Sicherheitsautomatisierung ist verfügbar

Während Automatisierung und Orchestrierung auf der Anwendungs- und Systemseite der IT gängige Begriffe sind, sind sie im Netzwerk- und Sicherheitsteam nicht so verbreitet. Eine gute Mikrosegmentierungslösung bietet jedoch einen vollständig API-gesteuerten Workflow. Alle Funktionen der Plattform sollten über die API zugänglich sein. Das bedeutet, dass die Fähigkeit, Sicherheit zu automatisieren, nur durch Vorstellungskraft, Zeit und Aufmerksamkeit begrenzt ist. Auch hier ist funktionsübergreifende Teamarbeit erforderlich, damit das Unternehmen die Möglichkeiten versteht, die Automatisierungswünsche priorisiert und die daraus resultierenden Pläne in geeigneten Phasen umsetzt. Die Zeit, die für die Sauberkeit und Organisation von Metadaten aufgewendet wird, wird sich bei der Automatisierung der Mikrosegmentierungsrichtlinie auszahlen.

Bei all diesen Beobachtungen besteht der gemeinsame Nenner darin, dass diese Bereitstellung interne Organisationsgrenzen überschreiten wird. Es bietet Funktionen, die es noch nie gegeben hat, und es werden Daten generiert und genutzt, die für das Team neu sind. Einfach ausgedrückt handelt es sich dabei um "Veränderung" und nicht um "mehr vom Gleichen". Jede Organisation hat ihre eigene Einstellung zum Wandel, und die größte Aufgabe des Managements besteht darin, diesen Wandel mit der Fähigkeit der Organisation, ihn zu absorbieren, in Einklang zu bringen.

Heute haben wir untersucht, wie die Mikrosegmentierung das bestehende Netzwerk-/Perimetermodell, mit dem Ihr Unternehmen wahrscheinlich "zufrieden" ist, grundlegend verändert. In Teil 2 besprechen wir die nächste wichtige Erkenntnis, die es Ihrem Team ermöglicht, Mikrosegmentierung mit dem größten Erfolg einzusetzen: wie Sie ein Bereitstellungsteam aufbauen.

Für einen tieferen Einblick und eine großartige Lektüre von allem, was Sie wissen müssen, um Mikrosegmentierung erfolgreich einzusetzen, lesen Sie das E-Book Secure Beyond Breach: Ein praktischer Leitfaden zum Aufbau einer Defense-in-Depth-Cybersicherheitsstrategie durch Mikrosegmentierung.

Verwandte Themen

No items found.

Verwandte Artikel

10 Gründe, Illumio für die Segmentierung zu wählen
Zero-Trust-Segmentierung

10 Gründe, Illumio für die Segmentierung zu wählen

Erfahren Sie, wie Illumio die Segmentierung als Teil Ihrer Zero-Trust-Sicherheitsstrategie intelligenter, einfacher und stärker macht.

Read more
SolarWinds-Sicherheitsverletzung: Paradigmenwechsel hin zu Zero Trust
Zero-Trust-Segmentierung

SolarWinds-Sicherheitsverletzung: Paradigmenwechsel hin zu Zero Trust

Die SolarWinds-Kompromittierung und ihre anhaltenden Folgen haben deutlich gemacht, wie schwierig es ist, jeden Berührungspunkt eines Unternehmens mit seinen externen Abhängigkeiten (sei es Anbieter, Kunde oder Partner) zu kontrollieren und zu validieren, und unterstreicht das alte Sprichwort, dass "eine Kette nur so stark ist wie ihr schwächstes Glied".

Read more
Wie West Bend Mutual Insurance die Herausforderungen der Cloud-Migration mit Illumio gemeistert hat
Zero-Trust-Segmentierung

Wie West Bend Mutual Insurance die Herausforderungen der Cloud-Migration mit Illumio gemeistert hat

SaaS-gehostet, unterstützt mehrere Betriebssysteme und ist weniger komplex als ähnliche Lösungen: So ist Illumio der Silberstreif am Horizont der Cybersicherheit in West Bend.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more