Richtige Segmentierung mit strukturierter Richtliniensteuerung

Letztendlich geht es bei der Zero-Trust-Segmentierung darum, Sicherheitsregeln aufzustellen und durchzusetzen.

Durch die Einrichtung sorgfältig definierter Zugriffsrichtlinien verhindert die Zero-Trust-Segmentierung, dass sich Sicherheitsverletzungen über IT-Systeme und -Umgebungen hinweg ausbreiten.

In jedem Unternehmen ist es unvermeidlich, dass mindestens ein Endgerät von Angreifern angegriffen wird. Wenn das Unternehmen jedoch über Zero-Trust-Segmentierungssicherheit verfügt, kann die Sicherheitsverletzung auf diesen ursprünglichen Endpunkt beschränkt werden, unabhängig davon, ob es sich bei diesem Endpunkt um einen Laptop, einen Desktop, einen Server oder sogar eine virtuelle Maschine handelt.

Segmentierungsrichtlinien verhindern, dass Malware auf die Netzwerkports und -protokolle zugreift, die sie benötigt, um sich selbst auf andere geschäftskritische Server und Rechenzentren zu kopieren oder das Netzwerk auf der Suche nach wertvollen Daten zu durchsuchen. Die Segmentierung fängt den Angriff an Ort und Stelle ein, wie eine Fliege unter einem Glas.

Zero-Trust-Segmentierung: Zwei Ansätze

Eine Regel-Engine ist eine Software, die die Syntax für Segmentierungsregeln definiert. Diese Regeln werden auch erzwungen, sobald sie definiert sind. Im Allgemeinen verfolgen Anbieter von Segmentierungssoftware zwei unterschiedliche Ansätze, wenn sie Regel-Engines für Kunden entwerfen.

Der erste Ansatz besteht darin, den Kunden maximale Flexibilität zu bieten, so dass die Stakeholder im gesamten Unternehmen Regeln mit beliebigen Kategorien oder Labels definieren können.

Der andere Ansatz besteht darin, eine Designphilosophie zu übernehmen, die als strukturierte Richtlinienkontrolle bekannt ist. Dieser Ansatz begrenzt die Anzahl der Bezeichnungen, die für Segmentierungsregeln verfügbar sind. Außerdem wird die Regelsetzung unter die Kontrolle eines zentralisierten Teams von IT-Sicherheitsexperten gestellt. Anbieter, die diesen Ansatz verfolgen, glauben, dass Einfachheit letztendlich effektiver ist, um Angriffe einzudämmen, als eine offene Komplexität.

Wir werden diese Ansätze nun untersuchen und ihre Vorteile und Herausforderungen für reale Bereitstellungen vergleichen.

Der Ansatz der maximalen Flexibilität bei der Segmentierung

In jedem Unternehmen variieren die Sicherheitsanforderungen von Abteilung zu Abteilung und von Anwendungsfall zu Anwendungsfall. Unterschiedliche Anwendungen erfordern unterschiedliche Regeln. Selbst für dieselbe Anwendung können unterschiedliche Regeln gelten, je nachdem, in welchem Rechenzentrum sie ausgeführt wird, welche Softwareversion ausgeführt wird, auf welche Ressourcen sie sich verlässt usw.

Viele Anbieter von Segmentierungslösungen erfüllen diesen Bedarf an Flexibilität, indem sie es verschiedenen Benutzern und Anwendungseigentümern ermöglichen, ihre eigenen Regeln für ihr Fachgebiet oder ihren Verantwortungsbereich festzulegen.

In der Regel unterstützen diese Anbieter drei Arten von Regeln:

• "Block"-Regeln zur Verhinderung des Verkehrs auf bestimmten Wegen
• "Zulassen"-Regeln für die Erteilung der Erlaubnis für bestimmte Arten von Verkehr, einen Pfad zu befahren
• "Override"-Regeln zum Überspringen anderer Regeln, um den Datenverkehr in bestimmten Situationen entweder zu blockieren oder zuzulassen

Auf hoher Ebene klingt dieser verteilte Ansatz für flexible Regelsetzung vielversprechend. Schließlich sollten IT-Asset-Besitzer über das Fachwissen verfügen, das sie benötigen, um die Segmentierungsregeln festzulegen, die für ein bestimmtes IT-Asset oder eine Gruppe verwandter Assets am besten geeignet sind. Und die Bereitstellung von drei Arten von Regeln – Blockieren, Zulassen und Überschreiben – scheint IT-Sicherheitsteams und Geschäftsbeteiligten die Präzision zu bieten, die erforderlich ist, um genau die richtigen Sicherheitsrichtlinien zum Schutz von IT-Ressourcen zu definieren.

Leider ist in den meisten Unternehmen – insbesondere in großen Unternehmen mit Zehn- oder Hunderttausenden von Workloads, die über Cloud-, On-Premises- und Endpunktumgebungen verteilt sind – das, was sich aus diesem Ansatz bald ergibt, der "Wilde Westen".

Sicher, die Stakeholder im gesamten Unternehmen haben Regeln zum Schutz wertvoller IT-Assets definiert. Aber das führt letztendlich zu Chaos, weil es zu viele Regeln gibt, die zu viele verschiedene Arten haben, um sie effektiv zu verwalten.

Da die Regelsetzung verteilt und unkoordiniert ist, führt die Sammlung von Regeln zu Konflikten und Auslassungen, die Angreifern die Möglichkeit bieten, durchzuschlüpfen. Eine zentrale, konsistente Governance ist praktisch unmöglich.

Hier ist, was diese "Wild West"-Bedingungen erzeugt:

• Verantwortungsbereiche überschneiden sich oft.
  Beispielsweise kann eine Person für eine Geschäftsanwendung und eine andere Person für eine Datenbank verantwortlich sein. Die Anwendung kann sich auf die Datenbank stützen, aber die Zugriffsregeln, die für die Anwendung und die Datenbank definiert sind, werden unabhängig voneinander entwickelt. Dies kann dazu führen, dass die beiden Regelsätze inkonsistent sind, insbesondere wenn die Datenbank auch von anderen Anwendungen verwendet wird.
  
  Ein anderes Beispiel: Eine Person ist für die Customer Relationship Management (CRM)-Anwendung des Unternehmens verantwortlich. Eine weitere Person ist für das New Yorker Rechenzentrum des Unternehmens verantwortlich, in dem die CRM-Anwendung ausgeführt wird. Selbst wenn sich diese beiden Personen über Sicherheitsphilosophien einig sind, ist es höchst unwahrscheinlich, dass ihre unabhängigen Implementierungen von Segmentierungsregeln einwandfrei zusammenarbeiten werden. Es gibt einfach zu viel Komplexität in Bezug auf IP-Adressen, Ports und Protokolle, um Dutzende oder Hunderte von Regeln unabhängig und effektiv zu erstellen.
   
• Die Segmentierungssteuerung ist nicht zentralisiert, sondern verteilt, sodass nur selten Tests durchgeführt werden.
  Da die Kontrolle auf so viele Beteiligte verteilt ist, ist es für die IT-Organisation schwierig, alle Segmentierungsregeln zu testen, bevor sie aktiviert werden. Fehlende Tests erhöhen das Risiko von Fehlern und Versehen. Es kann sogar dazu führen, dass geschäftskritischer Datenverkehr versehentlich blockiert wird.
   
• Die Unterstützung für eine unbegrenzte oder hohe Anzahl von Labels führt zu Verwirrung.
  Segmentierungsprodukte, die die Kontrolle auf diese Weise verteilen, ermöglichen es Kunden in der Regel, ihre eigenen Kategorien oder Labels für die Segmentierung zu definieren.
  
  Durch die Nutzung dieser Flexibilität verfügen Kunden bald über zwanzig, dreißig oder mehr Labels für ihre Segmentierungsrichtlinien. Ein Kunde kann z. B. alle IT-Assets, die an der PCI-Compliance beteiligt sind, mit einem "PCI-Compliance"-Label kennzeichnen. Sie können auch alle Assets an einem bestimmten Standort mit dem Namen des Standorts kennzeichnen oder Bezeichnungen für Geschäftseinheiten, Anwendungen, Umgebungen (z. B. Test vs. Produktion), zusätzliche behördliche Vorschriften (z. B. DSGVO) usw. haben.
  
  Theoretisch sorgt diese Verbreitung von Etiketten für Präzision und Sichtbarkeit. In der Praxis führt dies zu Sicherheitsmodellen, die zu komplex sind, um sie effektiv zu verwalten.
  
  Teams können versuchen, dieses Chaos durch Regelreihenfolge zu reduzieren, z. B. durch die Strukturierung von Regelsätzen, um zuerst die Regeln des Rechenzentrums durchzusetzen, dann die Regeln der Anwendung und zuletzt Regeln zu Vorschriften oder Geschäftsbereichen. In der Praxis führt diese Art der Strukturierung jedoch zu labyrinthischen Politiken, die es sehr schwierig machen, zu sagen, welche Regeln unter bestimmten Bedingungen gelten.
   
• Dezentrale Regeln sind schwieriger zu verwalten, wenn Mitarbeiter den Arbeitsplatz wechseln.
  Ein weiteres Problem bei der verteilten Regelsetzung besteht darin, dass es für die IT- und Sicherheitsteams eines Unternehmens schwieriger wird, den Überblick darüber zu behalten, welche Regeln erstellt wurden und warum.
  
  Ein Regelautor, z. B. ein Anwendungsbesitzer, hat möglicherweise nicht dokumentiert, was in die Segmentierungsregeln eingeflossen ist. Wenn dieser Mitarbeiter das Unternehmen verlässt, geht wichtiges Sicherheits- und Betriebswissen verloren.

Das größte Problem bei diesem hochflexiblen Ansatz? Es lässt Lücken, die Angreifer ausnutzen können. Ransomware dringt immer noch ein, trotz all der Zeit, des Geldes und der Mühe, die ein Unternehmen in die Segmentierung seiner Netzwerke investiert hat.

Der strukturierte Policy-Control-Ansatz zur Segmentierung

Im Gegensatz zum Ansatz der "maximalen Flexibilität" bei der Erstellung von Segmentierungsregeln kann es sein, dass ein Segmentierungsanbieter die Anzahl der Labels einschränkt, die erstellt werden können.

Die Anzahl der zulässigen Bezeichnungen kann nur vier betragen und nur Rollen, Anwendungen, Umgebungen und Speicherorte abdecken. Oder die Zahl könnte etwas höher sein, aber bei weitem nicht so hoch wie die Zahl, die im oben diskutierten Ansatz der maximalen Flexibilität zulässig ist.

Es stellt sich heraus, dass das Einschränken von Labels in der Praxis gut funktioniert. Tatsächlich verfolgen die größten erfolgreichen Implementierungen der Zero-Trust-Segmentierung alle diesen Ansatz und beschränken die Labels auf zehn oder weniger, obwohl diese Richtlinien sehr komplexe, hybride IT-Umgebungen schützen.

Hier ist der Grund, warum der Ansatz der strukturierten Richtlinienkontrolle so gut funktioniert:

• Begrenzte Labels erzwingen die Zentralisierung und Koordination im Voraus.
  Damit die Verwaltung von Segmentierungsrichtlinien gut funktioniert, benötigt ein Unternehmen ein zentrales Team, das den Netzwerkverkehr analysiert und gemeinsam die zu erzwingenden Segmentierungsrichtlinien entwickelt.
  
  Anwendungsbesitzer koordinieren sich mit Datenbankbesitzern, die sich wiederum mit Firewall-Managern abstimmen. Da sie auf einer gemeinsamen Analyse und einem gemeinsamen Verständnis der autorisierten Traffic-Muster basieren, können sie kohärente, gegenseitig konsistente Segmentierungsregeln definieren, die die Sicherheit bieten, die sie benötigen.
   
• Es baut auf der umfassenden Netzwerktransparenz auf, die eine strukturierte Richtlinienkontrolle bieten kann.
  Um die Regelsetzung über verschiedene Anwendungen, Datenbanken und andere Ressourcen hinweg zu koordinieren, benötigen IT- und Sicherheitsteams einen umfassenden Einblick in den Netzwerkverkehr ihres Unternehmens. Auf diese Weise können sie den legitimen Datenverkehr identifizieren, auf den ihre Anwendungen und Dienste angewiesen sind.
  
  Sobald dieser wichtige Datenverkehr identifiziert ist, wird es einfacher, Richtlinien zu schreiben, die alles andere blockieren. Außerdem wird es für verschiedene Interessengruppen einfacher, sich darauf zu einigen, welcher Verkehr zugelassen werden soll. Wenn die Beteiligten auf der Grundlage eines gemeinsamen Verständnisses der Netzwerknutzung arbeiten können, wird die Zusammenarbeit unkompliziert.
   
• Es bietet weitere Vereinfachung, indem es standardmäßig den gesamten Datenverkehr für die Zero-Trust-Sicherheit ablehnt.
  Anstatt den Projektbeteiligten die Möglichkeit zu geben, Datenverkehr zu blockieren, Datenverkehr zuzulassen oder vorherige Segmentierungsregeln außer Kraft zu setzen, kann ein strukturierter Richtlinienansatz damit beginnen, standardmäßig den gesamten Datenverkehr für jedes System oder jede Umgebung zu blockieren. Anschließend können IT- und Sicherheitsteams anhand einer Visualisierungskarte, die den gesamten legitimen Datenverkehr im gesamten Unternehmen anzeigt, Richtlinien schreiben, um nur den Datenverkehr zuzulassen, den die Anwendung, Datenbank oder der Dienst benötigt.
  
  Indem sie standardmäßig nichts vertrauen, bieten Anbieter von strukturierten Richtlinienkontrollen die strenge Zero-Trust-Sicherheit, die vom National Institute of Standards and Technologies (NIST), dem Weißen Haus der USA in seiner Executive Order on Improving the Nation's Cybersecurity und anderen IT-Sicherheitsbehörden empfohlen wird.
   
• Da die Regelsetzung zentralisiert ist, können IT- und Sicherheitsteams Regeln testen und zuordnen, bevor sie durchgesetzt werden.
  Ein weiterer Vorteil eines zentralisierten Ansatzes für die Regelerstellung besteht darin, dass das gesamte Modell im Testmodus ausgeführt werden kann, da es ein kohärentes Modell für Regeln gibt. Außerdem können Kommunikationspfade zwischen Workloads visuell abgebildet werden, bevor die Regeln implementiert werden, um die Teams auf potenzielle Probleme aufmerksam zu machen. Dies gibt IT- und Sicherheitsteams die Möglichkeit, Fehler zu beheben und Regeln zu optimieren, bevor sie durchgesetzt werden.

Fazit: Flexibilität vs. Skalierbarkeit

Die Wahl zwischen diesen beiden Ansätzen wird deutlich, wenn Sie Regeln in großem Umfang implementieren.

Selbst in kleineren Organisationen wird der hochflexible Ansatz schnell unhaltbar. Sicherheitslücken bleiben unweigerlich in einem Dickicht von unabhängig voneinander entwickelten Regelwerken bestehen. Angriffe kommen durch oder eine gut gemeinte Sicherheitsregel blockiert versehentlich geschäftskritischen Datenverkehr, weil es keine einheitliche Koordination gibt.

Im Gegensatz dazu hilft der strukturierte Policy-Control-Ansatz zur Segmentierung IT- und Sicherheitsteams, jede Art von IT-Umgebung, von Start-ups bis hin zu den größten und komplexesten globalen Netzwerken, einfach und effizient zu schützen, indem er eine Designdisziplin von vornherein durchsetzt.

So erfahren Sie mehr über die Illumio-Lösung für die Zero-Trust-Segmentierung:

• Holen Sie sich den Zero Trust Impact Report , um mehr über ESG-Forschung darüber zu erfahren, wie Unternehmen mit Zero Trust umgehen.
• Laden Sie unseren ausführlichen Leitfaden herunter: So erstellen Sie eine Mikrosegmentierungsstrategie in 5 Schritten.
• Holen Sie sich ein kostenloses Exemplar der Forrester New Wave: Microsegmentation, Q1 2022 , in der Illumio als Leader ausgezeichnet wird.
• Vereinbaren Sie eine unverbindliche Demo und Beratung mit unseren Experten für Zero-Trust-Segmentierung.