.png)
Was Sie benötigen, um eine Zero-Trust-Segmentierungsrichtlinie zu erstellen
Letzte Woche haben wir die Funktionen besprochen , die erforderlich sind, um die Anwendung und den breiteren Umgebungskontext zu ermitteln, die zum Schreiben einer Zero-Trust-Segmentierungsrichtlinie erforderlich sind. Sobald wir wissen, was obligatorisch ist, müssen wir dies in Grundsatzerklärungen zum Ausdruck bringen. Jede gute Mikrosegmentierungslösung lässt sich nahtlos von der Erkennung bis zur Erstellung überführen und unterstützt alle Workflows, die für die effiziente Erstellung einer fein abgestimmten Segmentierungsrichtlinie erforderlich sind. Lassen Sie uns besprechen, was die Zero-Trust-Segmentierungsrichtlinie beschleunigt und unterstützt.
Sagen Sie, was Sie wollen, nicht wie Sie es tun sollen
In der Vergangenheit erforderte das Schreiben von Zugriffskontrolllisten (Access Control Lists, ACLs), dass wir wissen, was wir wollen und wie wir es tun. Große, komplexe Regeltabellen sind die Folge. Die Zero-Trust-Segmentierung arbeitet im Gegensatz dazu mit einem deklarativen Richtlinienmodell und schafft eine Trennung zwischen "Richtlinie" und "Regeln". Politik ist das Ergebnis, das wir uns wünschen – wie z. B. die Trennung von DEV- und PROD-Umgebungen. Die Regeln oder ACLs, die erforderlich sind, um diese Richtlinie wahr zu machen, sind eine Ausgabe des Richtlinienmoduls, nicht menschlicher Aufwand. Dies vereinfacht die Erstellung von Richtlinien erheblich.
Wenn ich eine Regel schreibe, die es einem Gerät erlaubt, mit drei anderen zu kommunizieren, muss ich nicht vier Regeln schreiben. Ich muss nur eine Richtlinie schreiben, die besagt, dass der eine Server mit den anderen drei kommunizieren kann. Das Richtlinienmodul erstellt alle Regeln, um diese Richtlinie als wahr zu machen. Wenn diese Vereinfachung auf der Ebene eines gesamten Rechenzentrums oder einer Cloud-Bereitstellung durchgeführt wird, beschleunigt sie die Entwicklung einer Zero-Trust-Segmentierungsrichtlinie.
Bekannte Namen vs. IP-Adressen
Das Schreiben herkömmlicher Firewall-Regeln wird immer langsam sein, da ständig zwischen IP-Adressen, die die Infrastruktur versteht, und den Namen, die wir Servern in Gesprächen geben, übersetzt werden muss. Durch die Eliminierung dieser Übersetzung wird die Zeit für die Erstellung einer Zero-Trust-Segmentierungsrichtlinie drastisch reduziert.
Die beste Situation ist, wenn das Unternehmen die Namen wiederverwenden kann, die bereits in CMDBs, SIEMs, IP-Adressverwaltungssystemen, Hostnamenkonventionen, Servernamen usw. vorhanden sind. Wenn vertraute Namen jedes System in der Visualisierung kennzeichnen und die Abstraktion für das Schreiben von Richtlinien bereitstellen, kann plötzlich jeder eine Zero-Trust-Richtlinie verstehen und schreiben. Es ist keine Übersetzung erforderlich, und das gesamte Team kann schnell einen Konsens darüber erzielen, dass die schriftliche Richtlinie dem durch die Visualisierung ermittelten Bedarf entspricht.
Verwenden Sie Vererbung, um den Richtlinienaufwand zu verringern
Sobald wir die Zero-Trust-Segmentierungsrichtlinie in Namen (oder Labels) abstrahiert haben, können wir einen der besten Teile einer Zero-Trust-Positivliste nutzen – die Richtlinienvererbung. Bei einer reinen Positivliste muss im Gegensatz zu einer herkömmlichen Firewall nicht auf die Reihenfolge der Regeln geachtet werden.
In einer Firewall bedeutet die Mischung aus Positivlisten- und Verweigerungslistenregeln , dass die Regeln in einer strikten Reihenfolge sein müssen, um wie vorgesehen zu funktionieren. Da in einer Allowlist Dinge nur erlaubt sind, macht es keinen Unterschied, in welcher Reihenfolge sie erlaubt sind oder ob sie mehr als einmal erlaubt sind.
Das bedeutet, dass die Zero-Trust-Segmentierungsrichtlinie frei vererbt werden kann. Ich kann eine Richtlinie einmal schreiben und sie so oft wie nötig wiederverwenden. Ein Workload kann einen Teil seiner Richtlinie aus der PROD-Umgebungsrichtlinie, der Richtlinie auf Rechenzentrumsebene und der Richtlinie ableiten, die wir für alle Datenbanken geschrieben haben. Wir können eine Richtlinie für Kerndienste einmal definieren und dann jede Workload in der Umgebung diese Richtlinie annehmen lassen. Die Vererbung macht die Erstellung von Zero-Trust-Richtlinien viel einfacher als herkömmliche Methoden.
Verteilen Sie das Schreiben von Regeln, um Skalierbarkeit zu erzielen
Das Schreiben von Firewall-Regeln wurde lange Zeit zentralisiert und von einem Netzwerksicherheitsteam verwaltet, da die Geräte effektiv Teil der Netzwerkarchitektur sind. Dies hat zu unangenehmen Gesprächen geführt, bei denen das Firewall-Team das Anwendungsteam in IP-Adressen beschreiben muss, wie ihre Systeme funktionieren. Und erst dann kann das Firewall-Team das in Regeln umsetzen. Aber warum sollte man sich mit all der Kommunikation und Übersetzung herumschlagen?
Mit Zero-Trust-Segmentierung und einer robusten RBAC-Funktion (Role-Based Access Control) kann das Schreiben von Regeln verteilt werden. Wenn die Zero-Trust-Segmentierungslösung so konzipiert wurde, dass sie anwendungsspezifische Ansichten und Funktionen bietet, ist es möglich, dass Anwendungseigentümer Richtlinien für den internen Betrieb ihrer Anwendung schreiben oder validieren und dann das zentralisierte Team ihre Arbeit genehmigt und die Richtlinien für Kerndienste, Rechenzentrum und Internetzugang hinzufügt.
Eine starke Zero-Trust-Segmentierungslösung bietet den Anwendungs- und DevOps-Teams während des gesamten Prozesses der Richtlinienerstellung Handlungsfähigkeit. Je mehr Ihr Unternehmen automatisieren möchte, desto wichtiger wird diese Delegierung. Wenn das gesamte Team auf gemeinsame Ziele hinarbeiten kann, schafft dies Vertrauen, organisatorischen Zusammenhalt und beschleunigt die Umsetzung einer Zero-Trust-Segmentierungsrichtlinie.
Zusammenfassend
Rechenzentren und Cloud-Umgebungen sind komplex, und es wäre naheliegend anzunehmen, dass das Schreiben einer Segmentierungsrichtlinie die gleiche Komplexität aufweist. Die besten Zero-Trust-Segmentierungslösungen ersetzen jedoch den traditionellen Entwicklungsprozess für Firewall-Regeln durch einfache, skalierbare und effektive Workflows. Ein deklaratives Richtlinienmodell bedeutet, dass Sie sagen können, was Sie wollen, und nicht, wie es zu tun ist.
Menschen sind gut darin, zu sagen, was sie wollen, und eine intelligente Policy-Engine kann dies in Regeln für die Infrastruktur umwandeln. Wenn die Richtlinie auf bekannten Namen basiert und mehrfach wiederverwendet werden kann, reduziert sich der Aufwand für das gesamte Team.
Und das Beste daran ist, dass wenn das gesamte Team zusammenarbeiten kann, die ineffizienten Mauern zwischen den Teams einreißen und das gesamte Unternehmen zusammenarbeiten kann, um die kritischen Ressourcen zu sichern. Die Zero-Trust-Segmentierung verbessert jeden Aspekt der Segmentierungsrichtlinie, verschärft gleichzeitig die Segmentierung und reduziert gleichzeitig die Belastung des Unternehmens.
