5 Gründe, warum Ihr Firewall-Team die Mikrosegmentierung lieben wird

Ich werde nie einen Vorfall vergessen, der sich zu Beginn unserer Kundengeschichte ereignet hat. Wir hatten gerade eine Schulung mit den Firewall-Architektur - und Implementierungsteams eines großen Kunden abgeschlossen. Einer der leitenden Firewall-Administratoren hob die Hand und sagte: "Wenn ich das richtig verstehe, muss ich nie wieder eine Firewall-Regel schreiben." Ich lächelte und sagte: "Das stimmt."

Ein halbes Jahr später standen wir zusammen im Aufzug und er erzählte mir begeistert, wie sehr er die Mikrosegmentierung liebt. Ich fragte warum, und er antwortete: "Sie hatten Recht. Ich schreibe keine ACLs mehr und unsere Richtlinien sind viel strenger."

Das war ein großartiger Moment, aber die einfache Tatsache ist, dass Mikrosegmentierung großartig für Firewall-Betriebsteams ist. Hier sind fünf wichtige Gründe dafür.

1. Manuelle ACLs gehören der Vergangenheit an. Prinzipiell ist das Schreiben von Firewall-Regeln „einfach“ – man gibt einfach die Regeln für das ein, was erlaubt werden soll, und alles andere wird verweigert. Das mag auf einer hohen Abstraktionsebene zutreffen, aber in der Praxis stellt es eine erhebliche Vereinfachung dar. Bei einer herkömmlichen Firewall muss jeder Richtlinienwunsch von der Art und Weise, wie Anwendungsbesitzer über ihre Systeme sprechen, in die Sprache von IP-Adressen, Subnetzen und Zonen übersetzt werden. Bei der Mikrosegmentierung verlagert sich der Durchsetzungspunkt auf die Anwendungsinstanz selbst, was bedeutet, dass die Segmentierung nicht auf irgendeine Netzwerkstruktur zur Durchsetzung angewiesen ist. In Verbindung mit einer leistungsstarken Policy Compute Engine kann der Administrator Richtlinien in einfacher Sprache schreiben: „Der Webserver kommuniziert mit dem Anwendungsserver; dieser wiederum kommuniziert mit der Datenbank.“ Die Webserver kommunizieren weder untereinander noch direkt mit der Datenbank.“ Eine einfache Richtlinie kann in eine durchsetzbare Regelbasis umgewandelt werden, ohne dass ein Mensch eine IP-Adresse, ein Subnetz oder eine Zone kennen muss. Mikrosegmentierung befreit Firewall-Administratoren vom Schreiben von ACLs.
    
2. Ein skalierbares Richtlinienmodell beschaffen. Firewalls werden zwar standardmäßig mit einer Verweigerungsregel am Ende der Regeltabelle ausgeliefert, entwickeln sich aber schnell zu einer komplexen Mischung aus Zulassungs- und Verweigerungsanweisungen. Diese gemischten Sperr- und Zulassungsrichtlinien skalieren schlecht, da die Vererbung begrenzt ist. Solange die Regeln sowohl Zulassungs- als auch Ablehnungsregeln enthalten, ist die Reihenfolge der Regeln von Bedeutung und begrenzt die Vererbung – welche Reihenfolge sollte eine zusammengeführte Richtlinie beachten? Mikrosegmentierung funktioniert nach dem reinen Zero-Trust- Modell. Da es nur Berechtigungsanweisungen gibt, ist die Richtlinienvererbung einfach – es kann lediglich vorkommen, dass etwas mehr als einmal erlaubt wird. Dadurch wird es einfach, Richtlinien auf jeder beliebigen Abstraktionsebene festzulegen. Ein bestimmter Server kann Richtlinien sowohl von einer datenzentrumsweiten Richtlinie als auch von einer Richtlinie für die Produktionsumgebung und Datenbanken im Allgemeinen erben. Wenn große Teile der Richtlinie auf Vorlagen basieren, vereinfacht sich die Erstellung der Richtlinie erheblich und lässt sich besser skalieren.
    
3. Vergewissern Sie sich, dass die Richtlinie korrekt ist. Die Entwicklung einer Firewall-Richtlinie ist nicht einfach. Der gesamte Anwendungsdatenverkehr muss bis hin zu Port und Protokoll charakterisiert werden. Diese Informationen liegen oft außerhalb des Einflussbereichs der Infrastruktur- und Sicherheitsteams. Noch schlimmer ist, dass oft nicht einmal das App-Team selbst davon weiß, da die Anwendung möglicherweise von einem Anbieter oder Auftragnehmer installiert wurde, der nicht mehr beteiligt ist. Die Mikrosegmentierung liefert eine detaillierte Abhängigkeitsübersicht der Anwendungen , die vom gesamten Team verstanden werden kann. Da die Karte nur Anwendungsdaten und nicht Netzwerkgeräte anzeigt, können die Anwendungs- und DevOps-Teams die von ihrer Anwendung generierten Datenflüsse und die zu schützenden Daten leicht nachvollziehen. Die Mikrosegmentierung erleichtert die Konsensfindung beim Schutz kritischer Anwendungen und liefert dem Richtlinienteam präzise Informationen.
    
4. Sie können sich darauf verlassen, dass die Richtlinie sicher ist. Wie testet man eine Firewall-Regel? Das tust du nicht. Firewalls funktionieren nicht so – wir geben die Regeln ein, und wenn es ein Problem gibt, klingelt das Telefon. Im Jahr 2021 reicht das nicht mehr aus. Bei einer brandneuen Anwendung besteht ein gewisser Spielraum für Abstimmungen mit dem Anwendungsteam, um sie in die Produktion zu überführen. Bei bestehenden Anwendungen führt jedoch jeder Fehler in der Segmentierungsrichtlinie zu einem Ausfall. Mikrosegmentierung bietet eine bessere Lösung. Richtlinien durchlaufen einen Lebenszyklus, der einzelne Phasen wie Erstellen, Testen und Durchsetzen umfasst. Auf diese Weise kann jeder, vom App-Inhaber bis hin zu den Sicherheits- und Infrastrukturteams, überprüfen, ob die Richtlinie „wie vorgesehen“ ist und ob die Richtlinie alle notwendigen Kommunikationsvorgänge abdeckt. Die einfache Abhängigkeitsübersicht der Anwendung macht es leicht erkennbar, dass die Richtlinie sicher ist und in den Durchsetzungsmodus versetzt werden kann.
    
5. Holen Sie sich Hilfe von den Anwendungsentwicklern. In jeder Organisation gibt es weitaus mehr Mitarbeiter im Anwendungsteam als im Sicherheitsteam. Und wenn wir die Anzahl der Anträge der Anzahl der Autoren von Segmentierungsrichtlinien gegenüberstellen würden, wäre der Kontrast noch größer. Angesichts dieser Diskrepanz ist es immer eine Herausforderung, jedem Team zu helfen, zu verstehen, was das Firewall-Team benötigt, und dies zeitnah zu gewährleisten. Die Mikrosegmentierung bietet Visualisierungen und Arbeitsabläufe, die darauf ausgelegt sind, Anwendungsbesitzer in den Prozess einzubinden. Wenn das App-Team in das Mikrosegmentierungsprojekt eingebunden ist, kann es die Ziele der Sicherheits- und Infrastrukturteams für die App viel leichter unterstützen. Das schafft Vertrauen und beseitigt Schuldzuweisungen, wenn jeder sehen kann, wie die Anwendung funktioniert und wie die Segmentierungsrichtlinie mit diesen Datenflüssen interagiert. App-Inhaber können sowohl die Abläufe als auch den Anwendungsteil der Richtlinie einfach validieren und so die Durchsetzung beschleunigen.

Mikrosegmentierung eignet sich hervorragend für Firewall-Administratoren. Tauschen Sie manuelle Firewallregeln gegen eine einfache Richtlinie in natürlicher Sprache aus, für die keine Netzwerkkenntnisse erforderlich sind. Profitieren Sie von einem echten Zero-Trust-Richtlinienmodell, das sich mit vollständiger Vererbung problemlos skalieren lässt. Alle Segmentierungsrichtlinien müssen korrekt und vollständig sein. Die Mikrosegmentierung macht dies zu einem einfachen grafischen Prozess, an dem die Anwendungseigentümer beteiligt werden können. Mit ihnen an Ihrer Seite wird das Segmentierungsprojekt schneller, einfacher und angenehmer. Mikrosegmentierung ist das Upgrade, auf das Firewall-Administratoren gewartet haben.