.png)
Was Sie brauchen, um Zero-Trust-Richtlinien schnell und sicher durchzusetzen
In dieser Reihe haben wir uns mit den wichtigsten Merkmalen befasst, die für das erfolgreiche Entdecken, Erstellen und Verteilen einer Zero Trust-Segmentierungsrichtlinie erforderlich sind. Diese Woche werfen wir abschließend einen genauen Blick darauf, was notwendig ist, um eine Zero-Trust-Segmentierungsrichtlinie durchzusetzen. Eine Zero-Trust-Richtlinie, die es nicht bis zur vollständigen Durchsetzung schafft, ist einfach nicht in der Lage, Malware, Ransomware oder böswillige Akteure zu stoppen. Es gibt wichtige Überlegungen, die berücksichtigt werden müssen, um sicherzustellen, dass jede Zero-Trust-Richtlinie schnell in der gesamten Infrastruktur durchgesetzt werden kann – und das ohne Unterbrechung der Anwendungsfunktion.
Sei sicher, nicht traurig
Bei der Arbeit in bestehenden Cloud- und Datacenter-Umgebungen ist die erste Voraussetzung, den hippokratischen Eid abzulegen: Do no ad! Alle Mikrosegmentierungslösungen verwenden Agenten. Sie brauchen einen sicheren, und kein Inline-Agent ist sicher. Agenten, die eine Inline-Firewall, Filterung oder andere Sicherheitsfunktionen implementieren, können nicht als sicher angesehen werden. Wenn der Agent nicht geschlossen werden kann, wird die Anwendung unterbrochen, was betriebstechnisch unsicher ist. Wenn der Inline-Agent nicht geöffnet werden kann, verschwindet der Sicherheitsmechanismus, der die Definition von unsicherem Computing darstellt. Die einzige sichere Agent-Technologie für die Erzwingung ist ein Agent außerhalb des Datenpfads. Sie sollten eine Lösung benötigen, die die Regeln auch dann beibehält, wenn der Kreditorenagent ausfällt oder entfernt wird. Fordern Sie einen Agenten , der ohne Neustart installiert und aktualisiert wird. Agenten sollten im Benutzerbereich ausgeführt werden. Lehnen Sie alles ab, was den Kernel ändert, benutzerdefinierte Netzwerkadapter installiert oder anderweitig inline ausgeführt wird. Es ist nicht nötig, etwas so Grundlegendes wie eine zustandsbehaftete Firewall neu zu erfinden, wenn buchstäblich alles im Rechenzentrum oder in der Cloud eine solche Firewall enthält.
Setzen Sie alles durch
Sobald Sie eine Zero-Trust-Richtlinie durchsetzen müssen, ist der beste Ort, sie zu platzieren – überall! Jedes Betriebssystem der letzten zwölf Jahre verfügt über eine einwandfreie Stateful Firewall – iptables/Netfilter und die Windows Filtering Platform. Ähnliche Technologien gibt es für AIX, Solaris und sogar Mainframes. Netzwerk-Switches, Load Balancer und Hardware-Firewalls verwenden Firewall-Regeln. Warum nicht alles nutzen? Setzen Sie Zero Trust überall ein und automatisieren Sie die Durchsetzung von Richtlinien für alles, was Sie bereits besitzen. Die Durchsetzung muss Ihre Kubernetes-Containerumgebung, Amazon-, Azure - und Google Cloud-Instanzen, SaaS-Dienste und sogar den Ausschluss Ihrer OT-Geräte aus der IT-Umgebung umfassen. Es lohnt sich nicht einmal, proprietäre Anbieteragenten in Betracht zu ziehen, um Zero-Trust-Richtlinien durchzusetzen, wenn jedes Gerät bereits alles unterstützt, was Sie benötigen.
Verbessern Sie die Geschwindigkeit des Vertrauens
Zero-Trust-Bereitstellungen erfolgen mit dem Tempo des Vertrauens in die Sicherheit der Richtlinie. Schließlich erfordert eine Zero-Trust-Richtlinie, dass alles angegeben wird, was gewünscht ist – alles andere wird verweigert. Das bedeutet, dass Zero-Trust-Richtlinien perfekt sein müssen. Wie viele Flows befinden sich in einem Rechenzentrum? Es klingt schwer, sich auf die Perfektion all dieser Abläufe zu verlassen. Entspannen. Zero-Trust-Segmentierung muss nicht schwierig sein. Stellen Sie sicher, dass Sie in der Lage sind, auch nur einen einzelnen Dienst am kleinen Ende der Skala durchzusetzen. Schließlich sind einige der anfälligsten Abläufe die Kerndienste und Managementsysteme, die jede Maschine in der Umgebung berühren. Viele verwenden einen einzelnen Port oder einen kleinen Bereich. Jede gute Lösung sollte in der Lage sein, selektiv nur diese wenigen Ports zu erzwingen. Sie sind einfach zu definieren, leicht zu vereinbaren und entscheidend zu sichern. Am anderen Ende des Spektrums steht einfach die Durchsetzung von Richtlinienwünschen wie "Alle meine DEV-Systeme sollen nicht mit PROD kommunizieren, mit Ausnahme der folgenden Liste von Shared Services – aber schränke das so weit wie möglich ein". Niemand wird alle DEV-Systeme und alle PROD-Systeme perfekt kennen – es ist zu dynamisch und komplex. Die besten Zero-Trust-Segmentierungslösungen können jedoch problemlos Durchsetzungsgrenzen definieren, die genau diese Funktionalität bieten und gleichzeitig frei von Bedenken hinsichtlich der Regelreihenfolge oder der Unterbrechung der Richtlinienvererbung bleiben. Wie schnell kann jeder im Team sicher sein, dass die Richtlinie richtig und sicher ist? Suchen Sie nach einer Lösung, die auf der Ebene einer einzigen Richtlinienanweisung durchgesetzt werden kann und gleichzeitig umfassende Trennungsziele durchsetzt. Wenn beide gleich einfach sind, ist es einfach, Zero-Trust-Richtlinien durch Änderungskontrolle in die Durchsetzung zu bringen.
Zusammenfassend
Die Isolierung von Cloud-, Endpunkt- und Rechenzentrumssystemen durch durchgesetzte Regeln ist der Sinn von Zero Trust. Reine Transparenz oder Überwachungslösungen können niemals als Zero-Trust-Segmentierung gezählt werden. Eine gute Segmentierungslösung ist zunächst sicher und verlässt sich nicht auf Inline-Technologien, die sich nicht öffnen oder schließen lassen und die gesamte Umgebung gefährden. Die Durchsetzung sollte breit angelegt sein und alle Firewalls nutzen, für deren Besitz Sie bereits bezahlt haben, von den betriebssystembasierten Firewalls bis hin zu der Hardware und Netzwerkausrüstung, die in Racks untergebracht ist. Die Implementierung von Zero-Trust-Segmentierungsrichtlinien für Container, die Cloud und die gesamte Computing-Umgebung bedeutet, dass viele verschiedene Lösungen erforderlich sind. Warum also nicht das nutzen, was bereits in jeder einzelnen Lösung enthalten ist? Schließlich ist es wichtig, dass die Durchsetzung von einer einzigen Richtlinienanweisung bis hin zu einfachen Möglichkeiten zur Segmentierung ganzer Umgebungen aufgebaut werden kann. Die feinkörnige Mikrosegmentierung verläuft mit der Geschwindigkeit, mit der man sich darauf verlassen kann, dass die Systeme nicht unterbrochen werden. Eine Lösung mit hochflexibler und nuancierter Durchsetzung liefert also immer die schnellsten Zero-Trust-Ergebnisse.
ICYMI, lesen Sie den Rest dieser Serie:
