Was Sie zum Verteilen einer Zero-Trust-Richtlinie benötigen

In dieser Reihe haben wir uns bisher mit der Richtlinienermittlung und der Richtlinienerstellung befasst. Sobald Sie eine Richtlinie implementieren müssen, müssen Sie sie berechnen, in Regeln umwandeln und an Durchsetzungspunkte verteilen lassen. Schließlich kann die Zero-Trust-Richtlinie nur dort wirken, wo sie ankommt! Lassen Sie uns sicherstellen, dass wir diese Politik an so vielen Orten und so effektiv wie möglich instrumentieren können.

Automatisieren Sie Richtlinien in Regeln

Der erste Schritt, um eine für Menschen lesbare Richtlinie (die auf Labels oder Metadaten basiert) in eine erzwungene Zero-Trust-Segmentierungsrichtlinie umzuwandeln, besteht darin, sie in Regeln zu übersetzen, die die Infrastruktur verstehen kann. Wir haben besprochen, wie wichtig es für Menschen ist, Richtlinien ohne Verwendung von IP-Adressen festzulegen, aber alle Durchsetzungspunkte erfordern sie! Die Funktion der Politikberechnung spielt eine entscheidende Rolle.

Wenn die Zero-Trust-Segmentierungsrichtlinie auf Labels basiert, bedeutet dies, dass die Segmentierungsrichtlinie von denselben Automatisierungsinstanzen gesteuert wird, die Anwendungsinstanzen steuern. Ohne die IP-Adressen oder sogar die Anzahl ähnlicher Anwendungsdienste kennen zu müssen, kann die Anwendungsautomatisierung die richtige Richtlinie erhalten, indem sie einfach den Namen "nennt". Wenn die für Menschen lesbare Richtlinie automatisch in durchsetzbare Regeln umgewandelt werden kann, wird die Segmentierung zu einem Service – genau wie die Anwendungskomponenten selbst.

Machen Sie es dynamisch und kontinuierlich

Die Berechnung der Police muss dynamisch und kontinuierlich sein. In einem modernen Rechenzentrum oder einer Cloud-Bereitstellung werden die Anwendungen durch die Automatisierung ständig angepasst. Das bedeutet, dass sich IP-Adressen ändern, Instanzen spawnen, ihre Arbeit verrichten und entfernt werden. SaaS-Service-Controller verlagern die Last nahtlos auf eine neue IP-Adresse in einem Cluster unbekannter Größe. Das bedeutet, dass die IP-Adressen, die in einem Regelsatz verwendet werden, im Zuge der Weiterentwicklung der Infrastruktur aktualisiert werden müssen. Die Berechnung und Verteilung von Richtlinien muss kontinuierlich und nahezu augenblicklich erfolgen, damit die definierte Richtlinie an allen Erzwingungspunkten korrekt bleibt.

Verwenden vorhandener Erzwingungspunkte

Eine Zero-Trust-Segmentierungsrichtlinie ist nur so gut wie die Anzahl der Orte, an denen sie betrieben wird. Glücklicherweise besitzen Sie bereits alle Durchsetzungspunkte, die Sie jemals brauchen werden! Jedes moderne Betriebssystem verfügt über eine perfekt funktionierende Stateful Firewall. Dabei handelt es sich um IP-Tabellen oder NetFilter, wenn es sich um einen Linux-basierten Computer handelt, oder um die Windows-Filterplattform, wenn es sich um eine Windows-basierte Instanz handelt. Ähnliche OS-basierte Firewalls gibt es für AIX, Solaris und sogar einen IBM System Z-Mainframe! Netzwerk-Switches von Cisco und Arista verwenden ACLs, ebenso wie Load-Balancer von F5 Networks. Es ist nicht übertrieben zu sagen, dass fast jedes an das Netzwerk angeschlossene Gerät in der Lage ist, Segmentierungsanweisungen entgegenzunehmen.

Daher sollte jede gute Mikrosegmentierungslösung so viele dieser Durchsetzungspunkte wie möglich verwenden. Warum sollte man sich schließlich auf einen Anbieteragenten verlassen, um die Durchsetzung durchzuführen, wenn die Kernel-Firewall zu den stabilsten und leistungsfähigsten Codes auf dem Markt gehört? Suchen Sie nach einer Lösung, die in der Lage ist, vorhandene Netzwerk- und Cloud-Netzwerk- und Firewall-Instanzen zu programmieren. Embedded-Systeme und OT-Geräte verfügen nicht über eine integrierte Firewall und benötigen keinen Anbieteragenten, daher möchten Sie eine Lösung, die alle verfügbaren Durchsetzungspunkte nutzt.

Überlegungen zu Leistung und Skalierung

Leistung und Skalierbarkeit müssen bei der Bewertung von Zero-Trust-Segmentierungslösungen berücksichtigt werden. Die Wahl der Architektur ist wichtig, genau wie bei jedem Hardware-Weiterleitungsgerät wie einem Switch oder Router. Die Berechnung einer einzelnen Police während eines Proof-of-Concept ist kaum eine Herausforderung.

Aber was passiert, wenn Sie ein vollautomatisches Rechenzentrum haben, in dem 40.000 Recheninstanzen in einem 15-Minuten-Intervall entfernt und ersetzt werden, in einer Welle, die über einen globalen Rechenzentrumskomplex hinwegfegt? Plötzlich kommt es auf die Berechnungszeit an.

Die einzige Möglichkeit, die korrekte Richtlinie in einer automatisierten Anwendungsumgebung aufrechtzuerhalten, besteht darin, mit der Automatisierung Schritt zu halten. Aber selbst wenn die Berechnung abgeschlossen ist, muss die Richtlinie verteilt und dann durchgesetzt werden. Dieses Konvergenzereignis ist Hardware-Routern nicht unähnlich, die ihre Routing-Tabellen konvergieren.

Wie effektiv ist die Architektur für die Richtlinienverteilung der Lösungen, die Sie in Betracht ziehen? Wenn die Hälfte eines Rechenzentrums ausfällt und damit eine große Disaster Recovery-Umleitung des Datenverkehrs ausgelöst wird, wird die rechtzeitige Verteilung von Richtlinienaktualisierungen plötzlich von entscheidender Bedeutung, um die Anwendungsverfügbarkeit aufrechtzuerhalten.

Führende Anbieter haben Erfahrung mit der Konvergenz vollständiger Zero-Trust-Richtlinien für bis zu 500.000 Objekte. Stellen Sie sicher, dass die Anbieter, die Sie in Betracht ziehen, Behauptungen über ein Failover an mehreren Standorten und gleichzeitige Richtlinienkonvergenz belegen können.

Wenn eine definierte Richtlinie berechnet und dann verteilt wird, stellt dies die größte Leistungsbelastung für die Mikrosegmentierungslösung dar. Jede Lösung kann in einer einfachen Evaluierungsumgebung funktionieren. Aber nur Lösungen auf Unternehmensebene sind in der Lage, Netzwerkpartitionsereignissen, Failover- und Disaster-Recovery-Szenarien standzuhalten, ganz zu schweigen von den anspruchsvollen Neukonfigurationen der Anwendungsautomatisierung.

Um über eine effektive Richtlinienverteilungsfunktion zu verfügen, sollten Sie vollständig verstehen, wie eine Anbieterlösung für Menschen lesbare Richtlinien in Regeln automatisiert. Die Richtlinie sollte an so viele Ihrer bestehenden Durchsetzungspunkte wie möglich verteilt werden, wobei ausgereifte, stabile Kernel-Firewalls jeder proprietären Anbieterlösung vorzuziehen sind. Wenn Sie eine kontinuierliche und dynamische Richtlinienberechnung und -verteilung bereitgestellt haben, wird die Zero-Trust-Segmentierung zu einem verfügbaren Anwendungsservice und kann durch die vorhandene Anwendungsautomatisierung vollständig automatisiert werden.

Begleiten Sie uns nächste Woche in unserer letzten Folge, wenn wir darüber nachdenken, was erforderlich ist, um eine Zero-Trust-Segmentierungsrichtlinie durchzusetzen.