Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Es ist ein Vogel, es ist ein Flugzeug, es ist... Superhaufen!

Illumio Editorial
Illumio Editorial
November 4, 2018
23 min. lesen

Große Organisationen verfügen häufig über Rechenzentren in verschiedenen geografischen Regionen. Verteilte Rechenzentren ermöglichen es diesen Organisationen, ihre Anwendungen in der Nähe ihrer Kunden und Mitarbeiter zu platzieren, die Anforderungen an die Datenresidenz zu erfüllen und eine Notfallwiederherstellung für ihre kritischen Geschäftsanwendungen bereitzustellen. Die Einführung der Public Cloud macht es für Unternehmen jeder Größe noch einfacher, ihre Workloads auf mehrere Regionen zu verteilen. Zum Beispiel erstreckt sich AWS jetzt über 18 geografische Regionen auf der ganzen Welt.   

Wir freuen uns, PCE Supercluster vorstellen zu können , um vollständige Transparenz, zentralisiertes und föderiertes Management und konsistente Durchsetzung von Mikrosegmentierungsrichtlinien in der gesamten Infrastruktur mehrerer Regionen zu bieten – und das in sehr großem Maßstab. In diesem Beitrag werden die wichtigsten Anforderungen für die Sicherung einer Infrastruktur in mehreren Regionen untersucht und erläutert, warum wir PCE Supercluster mit einer föderierten Architektur entwickelt haben.

Anforderungen an eine Multi-Region-Mikrosegmentierungslösung

Wenn Sie über eine global verteilte Infrastruktur verfügen, gibt es mehrere wichtige Anforderungen an eine Mikrosegmentierungslösung. Es ist wichtig, diese Anforderungen im Voraus zu berücksichtigen, auch wenn Ihre anfängliche Mikrosegmentierungsbereitstellung auf einen einzigen Standort beschränkt ist.

  • Ausfallsicherheit: Die Mikrosegmentierungslösung muss im Falle eines Ausfalls des Rechenzentrums oder eines Netzwerkausfalls zwischen den Regionen weiterhin betrieben und die Infrastruktur gesichert werden.
  • Skalierbarkeit: Die Mikrosegmentierungslösung muss mit der Anzahl der Workloads in jedem Rechenzentrum und der Gesamtzahl der Workloads weltweit skaliert werden.
  • Verwaltbarkeit: Die Mikrosegmentierungslösung muss sowohl von globalen als auch von regionalen Sicherheits- und Anwendungsteams verwaltet werden können.
  • Bandbreiteneffizienz: Die Netzwerkbandbreite zwischen den Regionen ist teuer, daher darf die Lösung keine großen Mengen an Bandbreite verbrauchen.

Architekturen für eine Multi-Region-Mikrosegmentierungslösung

Die Policy Compute Engine (PCE) von Illumio ist ein softwarebasierter Controller, der für die Orchestrierung von Mikrosegmentierungsrichtlinien über Workloads und andere Durchsetzungspunkte in der Infrastruktur hinweg verantwortlich ist. Der PCE sammelt auch Telemetriedaten aus der Infrastruktur, z. B. Netzwerkflussinformationen und Informationen zu den Prozessen, die auf den Workloads ausgeführt werden.

Es gibt mehrere mögliche Ansätze, um den PCE – oder jede softwarebasierte Mikrosegmentierungslösung – so zu gestalten, dass Workloads in verschiedenen geografischen Regionen gesichert werden.

Im Folgenden finden Sie eine Aufschlüsselung der verschiedenen Architekturansätze und wie sie den oben beschriebenen Anforderungen zugeordnet werden können.

Zentralisierte Architektur – der Controller befindet sich an einem einzigen Standort.

  • Resilienz: Eine zentralisierte Architektur schafft einen Single Point of Failure und bietet eingeschränkte Resilienz.
  • Skalierbarkeit: Eine zentralisierte Architektur kann sowohl vertikal als auch horizontal skaliert werden, um die Gesamtzahl der Workloads weltweit zu unterstützen.
  • Verwaltbarkeit: Eine zentralisierte Architektur erleichtert globalen Sicherheits- und Anwendungsteams die Konfiguration und Anwendung von Mikrosegmentierungsrichtlinien in der gesamten Infrastruktur. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) kann verwendet werden, um regionalen Teams eingeschränkten Zugriff zum Anzeigen und Ändern von Richtlinien nur für die Anwendungen in ihrer Region zu gewähren. 
  • Bandbreiteneffizienz: Eine zentralisierte Architektur verbraucht mehr Bandbreite, da alle Netzwerkflussdaten und andere Telemetriedaten an den Controller zurückgesendet werden müssen. Die Bandbreite steigt mit der Anzahl der Workloads pro Region und der Anzahl der Verbindungen zwischen diesen Workloads.
     

Verteilte Architektur – platziert einen Controller in jedem Rechenzentrum und die Controller sind völlig unabhängig voneinander.

  • Resilienz: Eine verteilte Architektur ist sehr widerstandsfähig. Ein Ausfall eines Controllers in einer Region wirkt sich nicht auf die anderen Regionen aus.
  • Skalierbarkeit: Eine verteilte Architektur kann mit der Anzahl der Workloads in jedem Rechenzentrum und der Gesamtzahl der Workloads weltweit skaliert werden, indem mehr Controller bereitgestellt werden.
  • Verwaltbarkeit: Eine verteilte Architektur ermöglicht es regionalen Teams, lokale Richtlinien zu erstellen, aber diese Architektur stellt Herausforderungen bei der Durchsetzung globaler Richtlinien dar, da diese manuell in jede Region repliziert werden müssen. Darüber hinaus gibt es keine Möglichkeit, alle Anwendungen an einem Ort zu visualisieren und regionsübergreifende Abhängigkeiten zu erkennen.
  • Bandbreiteneffizienz: Eine verteilte Architektur ist bandbreiteneffizienter, da alle Daten lokal in der Region bleiben.


Verbundarchitektur – platziert einen Controller in jedem Rechenzentrum, und die Controller kommunizieren miteinander, um Informationen über die Sicherheitsrichtlinie der Organisation und die zu sichernden Workloads auszutauschen.

  • Resilienz: Eine Verbundarchitektur ist sehr widerstandsfähig. Der Ausfall eines Controllers in einer Region wirkt sich nicht auf die anderen Regionen aus.
  • Skalierbarkeit: Eine Verbundarchitektur kann mit der Anzahl der Workloads in jedem Rechenzentrum und der Gesamtzahl der Workloads weltweit skaliert werden, indem mehr Controller bereitgestellt werden.
  • Verwaltbarkeit: Eine föderierte Architektur erleichtert globalen Sicherheits- und Anwendungsteams die Konfiguration und Anwendung von Mikrosegmentierungsrichtlinien in der gesamten Infrastruktur. RBAC kann verwendet werden, um regionalen Teams eingeschränkten Zugriff zum Anzeigen und Ändern von Richtlinien nur für die Anwendungen in ihrer Region zu gewähren.
  • Bandbreiteneffizienz: Eine föderierte Architektur ist bandbreiteneffizienter, vorausgesetzt, dass nur die minimale Menge an Informationen zwischen den Controllern ausgetauscht wird, damit das System funktioniert.

In der folgenden Tabelle sind die drei Architekturen für die Mikrosegmentierung von Infrastrukturen mit mehreren Regionen zusammengefasst:

ZentralisiertVerteiltFöderiert Ausfallsicherheit -++ Skalierbarkeit +++ Verwaltbarkeit +-+ Bandbreiteneffizienz -++

Wir stellen vor: PCE Supercluster: Mikrosegmentierung in mehreren Regionen richtig gemacht

Angesichts der klaren Vorteile wurde PCE Supercluster mit einer föderierten Architektur konzipiert. In einem Supercluster wird die globale Sicherheitsrichtlinie von einem designierten Leader-PCE verwaltet. Die robusten RBAC-Funktionen von Illumio werden auf Supercluster unterstützt, so dass globale und regionale Teams auf das führende PCE mit den geringsten Rechten zugreifen können. Die Richtlinie wird dann automatisch auf die anderen PCEs repliziert, die die bezeichnungsbasierten Richtlinien in Anweisungen übersetzen, die zum Programmieren von Host-Firewalls für Workloads und andere Erzwingungspunkte in der Infrastruktur verwendet werden. Dieses Design stellt sicher, dass die globale Richtlinie kontinuierlich durchgesetzt wird, selbst wenn eine Region vom Rest des Superclusters isoliert wird.

Illumio hat früh erkannt, dass Transparenz der Schlüssel zur Mikrosegmentierung ist, da man nicht sichern kann, was man nicht sehen kann. Supercluster bietet eine vollständige Live-Karte der Anwendungsabhängigkeiten (Illumination) auf dem Leader, um intra- und interregionale Anwendungsabhängigkeiten und die Richtlinienabdeckung zu visualisieren. Echtzeit-Transparenz der hochwertigen Systeme und der autorisierten Verbindungen und Flüsse über diese Anwendungen hinweg ist ein wichtiger erster Schritt bei der Gestaltung der Mikroperimeter des Unternehmens und der Erstellung von Mikrosegmentierungsrichtlinien, die Anwendungen nicht beeinträchtigen.

Supercluster bietet ein gewisses Maß an Skalierbarkeit, um die größten Organisationen der Welt zu unterstützen.

Ein einzelner PCE kann bereits als Cluster mit mehreren Knoten bereitgestellt werden, um Zehntausende von Workloads zu unterstützen. Durch die Möglichkeit, mehrere PCEs miteinander zu verbinden, fügt Supercluster eine weitere Skalierungsebene hinzu, um die größten Organisationen der Welt zu unterstützen.

Wir haben viel Energie in die Entwicklung von Supercluster investiert, um den Bandbreitenverbrauch zwischen PCEs zu minimieren. Nur die minimale Menge an Workload-Daten, die zum Berechnen der Richtlinie erforderlich ist, wird zwischen Regionen repliziert. Darüber hinaus werden Netzwerkflussdaten von jedem PCE in der Region vorverarbeitet, und nur die Mindestinformationen, die zum Zeichnen der Liveanwendungsabhängigkeitskarte erforderlich sind, werden im gesamten Netzwerk repliziert.

Mit PCE Supercluster können Unternehmen:

  • Verschaffen Sie sich Echtzeit-Einblicke in ihre global verteilte Rechenzentrumsumgebung.
  • Entwerfen Sie sicher Mikroperimeter und erstellen Sie Mikrosegmentierungsrichtlinien, die den interregionalen Datenverkehr unterstützen und Mikrosegmentierung in erheblichem Umfang durchsetzen – ohne Anwendungen zu unterbrechen.
  • Erreichen Sie ihre Mikrosegmentierungsziele und realisieren Sie gleichzeitig die Effizienz der Netzwerkbandbreite und unterstützen Sie Disaster Recovery und Hochverfügbarkeit.

Verwandte Themen

Mikrosegmentierung

Verwandte Artikel

Mapping von Illumio auf die GUS Top 20
Zero-Trust-Segmentierung

Mapping von Illumio auf die GUS Top 20

Möchten Sie besser verstehen, wie Illumio Ihnen hilft, Ihre CIS-Sicherheitskontrollinitiative zu unterstützen? Lesen Sie weiter, um mehr zu erfahren.

Read more
Illumio gehört zu den namhaften Anbietern in der Mikrosegmentierungslandschaft von Forrester, 2. Quartal 2024
Zero-Trust-Segmentierung

Illumio gehört zu den namhaften Anbietern in der Mikrosegmentierungslandschaft von Forrester, 2. Quartal 2024

Erfahren Sie, wie die Illumio Zero Trust Segmentation Platform unserer Meinung nach mit allen Kern- und erweiterten Anwendungsfällen der Forrester-Übersicht übereinstimmt.

Read more
Können Sie die Wirksamkeit der Mikrosegmentierung messen?
Zero-Trust-Segmentierung

Können Sie die Wirksamkeit der Mikrosegmentierung messen?

Illumio und Bishop Fox führten und dokumentierten eine branchenweit erste Blaupause zur Messung der Wirksamkeit von Mikrosegmentierung.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more