.png)
Warum Richtlinien für Zero Trust wichtig sind
Die Idee der geringsten Rechte ist nicht neu, ebenso wenig wie die Idee, Geräte im Netzwerk getrennt zu halten, um die geringsten Rechte zu gewährleisten. Schließlich kommt jede Firewall mit einer Standardregel – "Alle verweigern" – aus ihrem Schiffscontainer, die zur Erstellung einer Richtlinie mit den geringsten Rechten einlädt. Und so haben wir in den letzten 15 oder 20 Jahren pflichtbewusst immer mehr Genehmigungs- und Verweigerungserklärungen in Perimeter-Firewalls eingegeben. Die meisten Unternehmen verfügen heute über so viele dieser Anweisungen, dass Teams von hochqualifizierten Administratoren erforderlich sind, um sie zu verwalten, und die Komplexität ist in den letzten Jahren explodiert.
Das Problem (mal 3)
Jetzt schreibt Zero Trust vor, dass wir zu den geringsten Rechten zurückkehren. Nur dieses Mal nicht an der Edge, sondern auf jedem Workload, jedem Benutzer, jedem Endpunkt. Wie machbar ist das? Jedes Jahr veröffentlicht Cisco eine detaillierte Umfrage zu Unternehmensnetzwerken, die uns eine einfache Annäherung bietet. Im Jahr 2020 fanden 73 % des Datenverkehrs "Ost-West" statt – also zwischen den Systemen im Rechenzentrum – und etwa 27 % gingen durch den Perimeter. Die bestehenden Perimeter-Firewall-Regeln decken daher 27 % des Datenverkehrs ab.
Die klare Implikation ist, dass die Schaffung einer ähnlichen Richtlinie für die anderen 73 % des Datenverkehrs ungefähr die dreifache Arbeit, die dreifache Komplexität der Regeln und die dreifache Anzahl von Personen bedeutet. Und das ist das Problem. Niemand kann das 3-fache ausgeben, das 3-fache einstellen und das 3-fache der Komplexität konfigurieren. Diejenigen, die schon einmal versucht haben, eine SDN-Lösung so zu gestalten, dass sie diese Aufgabe erfüllt, oder die versucht haben, virtuelle Firewalls einzusetzen, wissen, dass es einfach nicht funktioniert.
Jeder Anbieter, der Zero Trust anbietet, muss dieses Rätsel lösen. Es ist nicht glaubwürdig zu behaupten, dass ein Zero-Trust-Ergebnis erreichbar ist, ohne sich mit der operativen Realität der immensen Aufgabe auseinanderzusetzen. Jeder, der sich für ein Zero-Trust-Ergebnis entscheidet, benötigt einen glaubwürdigen Nachweis für die Fähigkeit, die Kosten-, Betriebskomplexitäts- und Personalkomponenten für eine erfolgreiche Implementierung zu erfüllen.
Wir brauchen nicht noch mehr Orte, um Richtlinien durchzusetzen
Als Firewalls zum ersten Mal in das Netzwerk eindrangen, waren sie das einzige Gerät, das in der Lage war, den Datenverkehr in großem Umfang zu blockieren und einzuschränken. Aber heute ist das Erreichen von Zero-Trust-Mikrosegmentierung kein Problem mehr. Jedes moderne Betriebssystem im Rechenzentrum von Windows bis Linux – sogar AIX, Solaris und System Z (Mainframes) – verfügt über eine gut implementierte Stateful Firewall im Kernel-Weiterleitungspfad. Jedes Netzwerkgerät, von Routern und Switches bis hin zu Firewalls und Load Balancern, kann Firewall-Regeln annehmen.
Tatsächlich ist es so, dass so ziemlich jedes mit dem Netzwerk verbundene Gerät im Rechenzentrum über einige Zugriffskontrollfunktionen verfügt. Das bedeutet, dass niemand Paletten von Firewalls kaufen muss, um Zero Trust zu implementieren. Die Durchsetzungspunkte sind bereits verfügbar. Das bedeutet, dass die Kosten für die Implementierung von Zero Trust fast ausschließlich im Bereich der Konfigurationskomplexität zu spüren sein werden. Schließlich ergibt sich die Anzahl der benötigten Personen aus dem Arbeitsaufwand.
Richtlinienmanagement entscheidet über Zero-Trust-Ergebnisse
Wir kommen daher zu dem Schluss, dass die Richtlinie der wichtigste Faktor bei einer Zero-Trust-Implementierung ist. Wie realisierbar ein Zero-Trust-Ziel ist, hängt davon ab, wie einfach oder schwer es ist, Richtlinien zu ermitteln, zu erstellen, zu verteilen und durchzusetzen.
Anbieter sprechen gerne über ihre Funktionen und zeigen hübsche Benutzeroberflächen, aber am Ende kommt es nur darauf an, wie gut sie die Arbeit zur Richtlinienverwaltung vereinfachen, reduzieren und automatisieren, die mit einer Zero-Trust-Mikrosegmentierungsinitiative verbunden ist.
Bevor jemand eine Zero-Trust-Richtlinie schreiben kann, muss man zunächst alle relevanten Kommunikationsflüsse kennen und wissen, wie die jeweilige Anwendung funktioniert: wie sie von den Kerndiensten und den Benutzern und anderen Geräten abhängt, mit denen sie verbunden ist. Dies ist eine Richtlinienerkennung, und es ist mehr als ein hübsches Bild einer App in einer Blase. Letztendlich benötigen Sie alle notwendigen Informationen, um die Zero-Trust-Richtlinie erfolgreich zu erstellen.
Durch das Verfassen einer Richtlinie muss die Belastung durch die Übersetzung menschlicher Wünsche in IP-Adressen beseitigt werden. Es müssen Metadaten verwendet werden, um Richtlinien zu vereinfachen, zu skalieren und zu übernehmen, um den Authoring-Aufwand zu reduzieren. Nachdem Sie eine Richtlinie geschrieben haben, benötigen Sie eine Möglichkeit, sie an die bereits vorhandenen Erzwingungspunkte zu verteilen. Wie halten Sie alle Richtlinien auf dem neuesten Stand und die automatische Nachverfolgung durch Anwendungsautomatisierung? Wenn Sie alle Verschiebungen, Ergänzungen und Änderungen berücksichtigen können, verringert sich die Arbeitsbelastung Ihres Verwaltungsteams.
Schließlich hängt die Durchsetzung der Politik letztlich von der Fähigkeit ab, die vorgeschlagene Politik zu validieren und Vertrauen in sie aufzubauen. Firewalls verfügen über keine Modellierungsfunktionen. Aber es reicht nicht aus, "zuzulassen und zu beten". Sie müssen in der Lage sein, sich darauf verlassen zu können, dass die Richtlinie korrekt und vollständig ist und die Anwendung nicht beschädigt – und in der Lage sein, dies allen Beteiligten mitzuteilen.
Conclusion
Zu wissen, was für die Verwaltung von Zero-Trust-Richtlinien wichtig ist, ist dasselbe wie zu wissen, was es braucht, um ein Zero-Trust- oder Mikrosegmentierungsprojekt durchzuführen. Die Operationalisierung einer feinkörnigen Segmentierung wird in dem Tempo erfolgen, das von unserer menschlichen Fähigkeit bestimmt wird, die Richtlinie zu entdecken, zu erstellen, zu verteilen und durchzusetzen. Wenn ein effektives und effizientes Bestandsmanagement vorhanden ist, sinkt der Personalbedarf proportional. Es ist also klar, dass der wichtigste Faktor bei der Operationalisierung von Zero Trust der effektive Umgang mit der Richtlinienkomplexität ist, die erforderlich ist, um die Segmentierungskontrollen zu verschärfen. Da es so wichtig ist, werden wir uns in den kommenden Blogbeiträgen sehr ausführlich mit dem Richtlinienmanagement befassen.
.webp)
