Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Ein Architektenleitfaden für den Einsatz von Mikrosegmentierung: Verwalten der Lieferantenbeziehung und der betrieblichen Integration

Illumio Editorial
Illumio Editorial
3September 2020
23 min. lesen

Der Übergang von der traditionellen Netzwerksegmentierung (z. B. Firewalls) zur Mikrosegmentierung erfordert eine orchestrierte Anstrengung, die von Architekten oder Projektmanagern geleitet wird. Durch das Verständnis und die Erforschung der wahren Vorteile im Voraus und des klarsten Weges zur Optimierung ist der Erfolg während des gesamten Bereitstellungsprozesses erreichbar.

Diese Serie hat die vielen Überlegungen ausgepackt. In diesem fünften und letzten Teil werde ich erörtern, wie Sie Ihre Lieferantenbeziehung am besten verwalten und die betriebliche Integration aufrechterhalten können.

Verwalten der Lieferantenbeziehung

Der von Ihnen gewählte Anbieter möchte den Erfolg Ihres Mikrosegmentierungsprojekts genauso sehen wie Sie. Auf der Anbieterseite kommunizieren wir regelmäßig intern über jede Bereitstellung, um sicherzustellen, dass Funktionen, Ressourcen und Code alle verfügbar sind, wenn sie benötigt werden.

Behandeln Sie Ihren Anbieter wie einen strategischen Partner, um unsere beste Leistung zu erzielen. Wenn wir nicht nur wissen, "was Sie brauchen", sondern auch, "warum Sie es brauchen" und "warum Sie es bis wann brauchen", macht es uns so viel leichter, unser erweitertes Team zu bewegen. Wenn Sie Ihren Lieferanten auf Distanz halten und wir nur den nächsten Schritt im Projektplan sehen können, sind wir oft nicht in der Lage, das große Ganze zu sehen und unser Fachwissen und unsere Erfahrungen einzubringen, bis es zu spät ist. Jedes Projekt kann sich verzögern, vorzeitig abgeschlossen werden müssen oder eine beliebige Anzahl anderer Ergebnisse erzielen. Kommunizieren Sie große Änderungen frühzeitig, und Ihr Anbieter wird in der besten Position sein, die Änderungen zu absorbieren und Ihnen bei der Anpassung des Plans und der Ausführung zu helfen.

Checkliste

Es gibt mehrere wichtige Partnerschaften, die in den ersten Wochen des Projekts gebildet werden müssen:

  1. Lösungsarchitekt, Professional Services Engineer, Projektmanager, technischer Leiter. Dies ist das zentrale technische Arbeitsteam. Sie werden gemeinsam den größten Teil der technischen Arbeit leisten, um das Projekt zum Erfolg zu führen. Es ist wichtig, dass es einen freien, offenen und respektvollen Dialog gibt.
  2. Architekt des Kundenerfolgs, Regisseur, Projektarchitekt. Das ist das strategische Arbeitsteam. Sie müssen wissen, was technisch passiert, und dem Projektteam vorausschauen, um Hindernisse zu beseitigen oder zu minimieren. Diese Beziehung muss so angenehm sein, dass beide Seiten transparent über Probleme und Herausforderungen sprechen können. Das ist für beide Seiten der erste "Eskalationspunkt", wenn etwas nicht gut läuft.
  3. Account Manager, Vendor VPs und Executive Sponsor. Dabei handelt es sich um das Arbeitsteam auf Unternehmensebene, das für die Ergebnisse verantwortlich ist. Dieses Team kümmert sich um eventuell auftretende Eskalationen zwischen Unternehmen. Jede Seite hat ein Ausführungsrisiko, das auf dieser Ebene verstanden und ausgedrückt werden sollte. Dieses Team sollte mehr als nur das vorliegende Projekt besprechen, um die Roadmap und zusätzliche Möglichkeiten und Hebelpunkte für die Mikrosegmentierung einzubeziehen.

Der Executive Sponsor, der dafür sorgt, dass jedes dieser Teams gut funktioniert, wird selten von der Kehrseite überrascht sein und feststellen, dass die meisten der unvermeidlichen Probleme behandelt werden, ohne dass die Geschäftsleitung darauf aufmerksam wird, es sei denn, es handelt sich um Statusberichte. Kein Projekt ist "selbstverwaltend", aber wenn diese drei Beziehungsebenen gut gepflegt werden, neigen Projekte dazu, reibungslos zu laufen.

Management der operativen Integration

Schalten wir nun einen Gang höher. Die meisten Mikrosegmentierungslösungen bestehen aus einigen Komponenten: mindestens einer zentralen Policy-Engine und einem hostbasierten Agenten. Die Komplexität, die mit einer Mikrosegmentierungsbereitstellung verbunden ist, ergibt sich aus der Tatsache, dass diese beiden Komponenten so viele andere Dinge in der Unternehmensumgebung berühren. Es gibt mehrere "Best Practices", die bei der betrieblichen Integration in bestehende Systeme helfen.

Erstellen einer QA- oder Pre-Production-Testumgebung

Während sich sowohl das interne als auch das Anbieterteam natürlich auf die PROD-Instanzen der Lösung konzentrieren, sollten Sie sicherstellen, dass das Team eine kleine QA-Version der Mikrosegmentierungslösung in einer Nicht-Produktionsumgebung einrichtet. Diese Plattform dient mehreren Zwecken. Zu Beginn wird es ein Ort sein, an dem interne Entwickler und Teams für Automatisierungstools Code testen und entwickeln können. Betriebsteams können Protokollierungsintegrationen und Ereignisbehandlung testen. Interne Schulungsklassen können das System für Einarbeitungsschulungen nutzen.

Nach Abschluss der Bereitstellung sollte diese Funktion beibehalten werden. Stellen Sie sicher, dass dieses Vorab-System eines Ihrer Hauptbetriebssystem-Images verwaltet. Auf diese Weise kann neuer Herstellercode in der Nicht-Produktionsumgebung mit dem vollständigen Satz von PROD-Betriebssystemimages getestet werden, bevor neue Versionen in die Produktion überführt werden. Im Idealfall kann Ihr Anbieterbereitstellungsteam dieses System als einzelne, schlanke VM einrichten.

Einrichten und Testen der Protokollierung/Ereigniswarnung vor der Bereitstellung in der Produktion

Es überrascht nicht, dass OPS-Teams das höchste Vertrauen haben, wenn die vollständige betriebliche Integration abgeschlossen ist, bevor Produktions-Workloads gekoppelt werden. Es kostet Zeit und Mühe, Protokolle zu streamen, zu analysieren, Warnungen auszulösen und Dashboards zu erstellen.

Diese Arbeit bietet jedoch vollständige Transparenz über den Zustand des Richtlinienmoduls, der Agenten und der zugrunde liegenden Systeme. Es ist für alle viel einfacher, in sensiblen Produktionsumgebungen zu arbeiten, wenn sie wissen, dass alle notwendigen Instrumente vorhanden sind. Erwarten Sie, dass die professionellen Servicetechniker Ihres Anbieters Empfehlungen zu wichtigen Protokollmeldungen geben und Warnungen empfehlen, die bei anderen Kunden beliebt sind.

Drei verschiedene Blickwinkel müssen im Protokollanalyse-/Ereignisübergabemechanismus erfasst werden:

  1. Sicherheit. Das Sicherheitsteam konzentriert sich vor allem auf die Firewall-Protokolle und die Anti-Tampering-Mechanismen des Agents. Sie sind immer an Richtlinien und Richtlinienverstößen interessiert.
  2. OPS. Das OPS-Team konzentriert sich vor allem auf die Integrität der Workload und der Richtlinien-Engine und möchte wissen, wie Systemereignisse mit anderen Rechenzentrumsereignissen korreliert werden können
  3. Armaturenbrett. Management- oder NOC-Administratoren benötigen häufig eine konsolidierte Ansicht der Mikrosegmentierungsbereitstellung, die Highlights und die Möglichkeit zum Drilldown enthält

Wenn sich jedes dieser Bedenken im Protokoll-/Ereignis-/Alarmbehandlungsmechanismus widerspiegelt, steigt Vertrauen in der gesamten Organisation, da viele verschiedene Teams erkennen, dass das Projekt eine vollständige Integration bietet, die der bestehenden Praxis folgt.

Investieren Sie in automatisierte Workflows

Eine Mikrosegmentierung bietet viele Möglichkeiten zur Automatisierung von Sicherheitsprozessen, die lange Zeit ein rein manueller Aufwand waren. Darüber hinaus wird die Mikrosegmentierungskennzeichnung die Untersuchung bestehender Metadatenquellen überprüfen und verbessern und sie auf neuartige Weise kombinieren. Die resultierenden Metadaten sind an sich wertvoll und können für die Verwendung durch andere Systeme und Automatisierungsaufgaben aufbewahrt werden. Es ist üblich, dass Unternehmen nach einer erfolgreichen Mikrosegmentierungsbereitstellung über bessere Metadaten verfügen, wenn ein bescheidener Aufwand unternommen wird. Diese Bemühungen zahlen sich im laufenden Betrieb und in der Erweiterung der anfänglichen Mikrosegmentierungsbereitstellung enorm aus.

Installation des Agenten

Der Einsatz eines Mikrosegmentierungsagenten auf Hunderten oder Tausenden von Systemen erfordert eine Form der Automatisierung. In einigen Fällen handelt es sich dabei um vorhandene Werkzeuge, in anderen wird es von Grund auf neu erstellt. In vielen Fällen besteht jedoch der Wunsch darin, die Agenteninstallation in automatisierte Build-Prozesse zu integrieren. Unabhängig davon, ob es sich um Chef, Puppet, Ansible, Salt oder andere Frameworks handelt, besteht die Möglichkeit, Sicherheit in den standardmäßigen automatisierten Lebenszyklus des Unternehmens zu integrieren.

Die meisten Unternehmensrechenzentren verfügen über eine Mischung aus vollständiger Automatisierung mit Orchestrierungs-Frameworks und Legacy-Umgebungen ohne diese Tools. Wenn Sie sich die Zeit nehmen, nach Möglichkeit die Integration mit dem Orchestrierungsteam durchzuführen, wird das Projekt zum besten Erfolg geführt. Ältere Umgebungen, die das Orchestrierungsframework nicht abrufen, können separat mit benutzerdefinierten Skripts behandelt werden.

Installation des Richtlinienmoduls

Einige unserer Kunden packen die Erstellung der Richtlinien-Engine auch in ihr Orchestrierungspaket. Wenn die Richtlinieninstanziierung automatisiert wurde, kann die Wiederherstellung nach einem Serverabsturz fast so schnell erfolgen, wie die Automatisierung eine neue Richtlinien-Engine erstellen kann. Organisationen mit einem starken DEV-OPS-Antrag sollten dies in Betracht ziehen.

Sicherung der Datenbank des Policy-Engines

Hinter allen Mikrosegmentierungsrichtlinien-Engines steckt eine Art Datenbank. Wenn diese Datenbank beschädigt oder nicht verfügbar ist, ist es wahrscheinlich, dass die Lösung überhaupt nicht funktioniert oder unerwünschte Ergebnisse liefert. Stellen Sie sicher, dass das OPS-Team die erforderlichen Backups automatisiert hat und in der Wiederherstellung und Wiederherstellung gemäß den Verfahren Ihres Anbieters geschult ist.

Zuweisung von Beschriftungen

Die anfängliche Zuweisung von Bezeichnungen zu Workloads erfolgt in der Regel durch eine Art Massenupload in die Richtlinien-Engine. Dadurch werden korrekte Etiketten für die Ausgangssysteme in einem Anfangszustand erstellt. Im Laufe der Zeit ändern sich die Beschriftungen. Neue Systeme werden hinzukommen, einige werden verschwinden. Je mehr dieser Workflow automatisiert wird, desto einfacher wird er für alle Beteiligten. Dazu gehört die Kodierung der Beschriftungszuweisung in der internen Designdokumentation und die Entscheidung, wie sie gespeichert, aktualisiert und abgerufen werden soll.

Ihre Mikrosegmentierungslösung verwendet immer Labels, aber diese Labels können am besten durch eine zentralisierte Metadatenverwaltung gepflegt werden. Ihr DEV-OPS-Team wird wahrscheinlich eine klare Meinung zum Metadatenmanagement haben, und es ist ratsam, seine Stimme einzubeziehen.

Verwaltung von Metadaten

Bei einer Mikrosegmentierungsbereitstellung werden Sicherheitsrichtlinien gemäß Metadatenzuweisungen erstellt. Das bedeutet, dass Ihre Mikrosegmentierungslösung im Laufe der Zeit über eine Reihe von Labels und anderen Metadaten verfügt, die beschreiben, wie die Dinge interagieren sollen. Diese Etiketten werden in der Regel nicht von Ihrem Anbieter individuell angefertigt – sie werden aus einer vorhandenen Quelle der Wahrheit wiederverwendet.

Dies bietet eine Automatisierungsmöglichkeit. Eine gute Mikrosegmentierungslösung wird die Richtlinie immer neu berechnen, wenn sich die Beschriftungen ändern. Wenn die Metadaten also außerhalb Ihrer Mikrosegmentierungslösung gepflegt werden, kann diese Aufgabentrennung für die Automatisierung genutzt werden. Wenn die Mikrosegmentierungslösung auf eine externe "Quelle der Wahrheit" verweist, können alle Metadatenänderungen Ihre Richtlinien-Engine programmgesteuert benachrichtigen, und die Regeln werden automatisch aktualisiert.

Bei der Mikrosegmentierung ist eine intelligentere Metadatenverwaltung dasselbe wie eine intelligentere Handhabung von Richtlinien und Richtlinien. Die Zeit, die damit verbracht wird, darüber nachzudenken, wo die Metadaten gespeichert werden, die zum Erstellen von Beschriftungen verwendet werden, und wie sie aktualisiert, abgerufen und an eine Richtlinien-Engine weitergeleitet werden, ist immer eine fruchtbare Übung. In anderen Fällen können Informationen aus der Policy-Engine nützlich sein, um bestehende CMDB-Systeme zu aktualisieren. Die Bereitstellung von Mikrosegmentierung ist ein hervorragender Grund, darüber nachzudenken, wie Metadaten in der Organisation verwendet und genutzt werden, und sie kann einen Anstoß zur Automatisierung dieser Verbesserungen geben.

Alles nach Hause bringen

Eine erfolgreiche Mikrosegmentierungsbereitstellung verbessert das interne Segmentierungsmodell, den Richtliniendialog und den Grad der Sicherheitsautomatisierung. Das Team an dieses Ziel zu führen, erfordert neue Erkenntnisse und neue Möglichkeiten. Die Mikrosegmentierung wird Teile des bestehenden Betriebsmodells verändern und wird am besten von einem funktionsübergreifenden Bereitstellungsteam unterstützt.

Als Führungskraft wird Ihr Input an mehreren wichtigen Stellen benötigt werden. Indem Sie darauf bestehen, die richtigen Gespräche über die Entwicklung von Metadaten und Richtlinien zu führen, haben Sie die Möglichkeit, die Geschwindigkeit und Agilität des Unternehmens nachhaltig zu verbessern. Sie können wirklich eine fein abgestufte Steuerung und gleichzeitig eine schnelle Automatisierung haben. Ich hoffe, von Ihren Erfolgen bei der Bereitstellung, Operationalisierung und Durchführung Ihrer eigenen Mikrosegmentierungsbereitstellung zu hören.

Für eine ausführlichere Lektüre von allem, was Sie wissen müssen, um eine Mikrosegmentierungsstrategie von Anfang bis Ende zu implementieren, lesen Sie unbedingt das eBook Secure Beyond Breach: Ein praktischer Leitfaden zum Aufbau einer Defense-in-Depth-Cybersicherheitsstrategie durch Mikrosegmentierung.

Verwandte Themen

No items found.

Verwandte Artikel

Ein Hacker nennt 3 Gründe, warum Zero-Trust-Segmentierung sein schlimmster Albtraum ist
Zero-Trust-Segmentierung

Ein Hacker nennt 3 Gründe, warum Zero-Trust-Segmentierung sein schlimmster Albtraum ist

Erfahren Sie, welche Taktiken Bedrohungsakteure in ihrem Hacking-Toolkit verwenden und wie Zero-Trust-Segmentierung sie schnell ineffektiv macht.

Read more
So lösen Sie die 3 größten Herausforderungen bei der Sicherung von Containern und Kubernetes-Umgebungen
Zero-Trust-Segmentierung

So lösen Sie die 3 größten Herausforderungen bei der Sicherung von Containern und Kubernetes-Umgebungen

Erfahren Sie, wie Sie konsistente und dennoch flexible Sicherheit in sich ständig ändernden Container- und Kubernetes-Umgebungen bereitstellen können.

Read more
Top-Nachrichten zur Cybersicherheit vom Mai 2025
Zero-Trust-Segmentierung

Top-Nachrichten zur Cybersicherheit vom Mai 2025

Entdecken Sie die wichtigsten Neuigkeiten zur Cybersicherheit vom Mai 2025, darunter RSAC-Einblicke in KI und Zero Trust, einen Ransomware-Angriff, der die britischen Lebensmittellieferketten stört, und Expertenmeinungen von führenden Illumio-Unternehmen zur Widerstandsfähigkeit in der heutigen Welt nach Sicherheitsverletzungen.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more