.png)
Was Sie für die Erkennung von Zero-Trust-Richtlinien benötigen
Die grundlegende Wahrheit über die Mikrosegmentierung ist, dass sie nie detaillierter sein wird als unser Verständnis des zu schützenden Datenverkehrs. Wir können wirklich nicht segmentieren, was wir nicht sehen können.
Die meisten Anbieter von Segmentierungslösungen liefern jetzt eine Art Anwendungskarte, die eine Anwendung in eine Art "Blase" einordnet, um ihre mögliche Isolation zu zeigen. Dies ist zwar eine enorme Verbesserung gegenüber der Alternative (ohne Visualisierungen), reicht aber in Wirklichkeit nicht aus, um eine solide Zero-Trust-Richtlinie zu schreiben. Notwendig – aber nicht ausreichend. Was brauchen wir noch?
Wie in der Einleitung zu dieser Serie erläutert, wird der Erfolg der Zero-Trust-Mikrosegmentierung durch die Effektivität des Richtlinienverwaltungsprozesses bestimmt. Das Schreiben von Segmentierungsregeln ist nicht nur eine Aufgabe, sondern eine Vielzahl von Analyse- und Entscheidungsschritten. Daher erfordert eine bessere Segmentierung ein tiefes Maß an Verständnis und muss sich in der richtigen Transparenz und dem richtigen Workflow für jeden Schritt widerspiegeln. Es gibt keine Möglichkeit, dass eine einzige einfache Visualisierung für alle Aufgaben und Entscheidungspunkte funktioniert.
Die Richtlinienerkennung ist die Gesamtheit der Aufgaben, die ein Unternehmen durchläuft, um eine Anwendung und ihren Kontext gut genug zu verstehen, um eine Zero Trust-Richtlinie zu schreiben. Es umfasst Informationen auf Service-, Host- und Applikationsebene – aber auch viele andere Dinge.
Vollständiger Anwendungskontext
Der vollständige Kontext für eine Anwendung geht über den internen Betrieb hinaus. Es kann mit anderen Anwendungen kommunizieren, wahrscheinlich eine Verbindung zu 20 bis 30 gemeinsamen Kerndiensten herstellen, Benutzer von Unternehmens- und VPN-Standorten haben und mit SaaS-Diensten oder anderen Remote-Adressräumen interagieren. All dies einfach ohne Organisation auf eine Karte zu laden, ist ein Rezept für Verwirrung, das den Fortschritt auf ein Kriechen verlangsamt!
Es ist wichtig, externe Verbindungen in den normalen benannten Adressbereichen zusammenzufassen, die sich möglicherweise im IP-Verwaltungssystem befinden. Auf diese Weise ist es einfach, Benutzersubnetze, DMZ-Datenverkehr usw. zu erkennen. Vor allem in den Anfängen eines Mikrosegmentierungseinsatzes gibt es mehr "ungeschützte" als "geschützte" Systeme. Wie werden diese Systeme dargestellt, organisiert und kategorisiert? Wenn diese Systeme Objekte im Richtlinienmodell sind und als solche auf der Karte angezeigt werden, werden die Komplexität und das Schreiben von Regeln vereinfacht. Schließlich existieren die meisten Anwendungen für Benutzer. Wie wird dieser Benutzerkontext verstanden, angezeigt und für Aktionen zur Verfügung gestellt?
Letztendlich erfordert die Richtlinienerkennung einen vollständigen Anwendungskontext, und dazu gehören mehr als einfache Anwendungszeichnungen mit hundert oder mehr Zeilen zu externen IP-Adressen oder Hostnamen.
Mikro- vs. Makro-Workflows
Rechenzentren oder Cloud-Umgebungen sind komplexe Orte, an denen viel mehr als nur Anwendungen zu berücksichtigen sind. Anwendungsabhängigkeitszuordnungen sind für das Verständnis von Anwendungen von entscheidender Bedeutung, aber wie sieht es mit der Möglichkeit aus, größere Konstrukte zu erkennen? Wie ist es möglich zu wissen , welcher Datenverkehr zwischen Dev und Prod geleitet wird? Wie kann man den gesamten Datenbankverkehr an Port 3306 in der gesamten Umgebung anzeigen, um sicherzustellen, dass keiner übersehen wird? Wie sieht es mit der "Reichweite" eines Kerndienstes wie LDAP oder RDP aus, um die aktuellen Aktivitäten zu verstehen?
Die Erfahrung von Illumio bei der Sicherung mehrerer Umgebungen mit mehr als 100.000 Knoten spiegelt sich in der Bereitstellung von Visualisierungen und Explorationstools für die Makroumgebung zusätzlich zum Anwendungskontext wider. Das Schreiben effektiver abstrahierter, labelbasierter Richtlinien erfordert auch die Fähigkeit, die Kommunikation auf jeder Abstraktionsebene zu visualisieren und zu überprüfen, die das Richtlinienmodell bietet. Interessanterweise sind die für Anwendungsansichten so nützlichen Anwendungsblasen in diesem Zusammenhang wenig hilfreich. Die besten Lösungen zur Richtlinienermittlung verfügen über klare Möglichkeiten, die Kommunikation auf allen Abstraktionsebenen und nicht nur Datenbankdumps gesammelter Flussdaten anzuzeigen.
Benötigen Sie eine Mikrosegmentierungslösung, die die Ansichten auf Makroebene bietet, die für die schnelle Bearbeitung großer Datenmengen durch Massen- oder aggregierte Richtlinienerstellung unerlässlich sind.
Unterschiedliche Sichtweisen für verschiedene Stakeholder
Das Firewall-Team ist nicht das einzige, das Flows und Richtlinien während der Richtlinienermittlung überprüft. Wenn sich die Segmentierungsgrenze auf den Anwendungsserver oder Container-Host verlagert, werden die Betriebs- und Anwendungsteams ein großes Interesse daran haben, sicherzustellen, dass jeder benötigte Service ordnungsgemäß bereitgestellt wurde. Die Fragen dieser Mitarbeiter lassen sich am besten durch speziell entwickelte Ansichten beantworten, die auf die Notwendigkeit zugeschnitten sind, eine Richtlinie schnell zu überprüfen und die Funktionalität zu validieren. Viele der Details zur Richtlinienentwicklung sind nicht notwendig und lenken in der Tat von den Kernanliegen der Anwendungs- und Betriebsteams ab.
Suchen Sie nach einem Mikrosegmentierungsprodukt, das sorgfältig konstruierte Visualisierungen und Workflows für Anwendungs- und Betriebsteams bietet. Sie sind Teil des Workflows für Richtlinien und sollten über Tools verfügen, die ihre Anforderungen unterstützen. Eine RBAC-gefilterte Ansicht ist natürlich unerlässlich, aber erwarten Sie mehr: Holen Sie sich anwendungsbesitzerspezifische Visualisierungen , um den Prozess der Richtlinienermittlung zu beschleunigen.
Zusammenfassend
Niemand kann Richtlinien schneller schreiben, als er versteht, was erforderlich ist! Die Richtlinienermittlung ist der erste Teil eines jeden Workflows für die Richtlinienverwaltung. Die Richtlinienanforderungen einer modernen Anwendung oder einer containerisierten Sammlung von Microservices erfordern einen vollständigen Anwendungskontext – weit über eine einfache Anwendungsblase hinaus. Die Darstellung von IP-Bereichen, nicht verwalteten Systemen, Kerndiensten und mehr ist für das Verständnis eines Anwendungsdienstes im Kontext unerlässlich.
Jedes gute Richtlinienmodell bietet die Möglichkeit, die Kommunikation auf mehreren Ebenen oder "Labels" zu abstrahieren, daher ist es auch wichtig, Visualisierungen zu haben, die diese übergeordneten Richtlinienziele unterstützen. Schließlich handelt es sich bei der Massenpolitik um eine schnelle Politik, so dass die richtigen Fähigkeiten die Entwicklung der Politik radikal beschleunigen werden.
Schließlich sind an der Mikrosegmentierung mehrere Organisationen beteiligt. Die Richtlinienermittlung ist ein Teamsport – stellen Sie sicher, dass jeder über maßgeschneiderte Ermittlungsansichten verfügt, damit jedes Team so effizient wie möglich arbeitet.
Eine schnelle, effiziente Richtlinienerkennung führt zu einer schnellen und effizienten Richtlinienerstellung. Seien Sie nächste Woche dabei, wenn wir darüber diskutieren, was erforderlich ist, um die Erstellung von Richtlinien zu beschleunigen.
.webp)
