Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Segmentierung
Illumio Editorial
Illumio Editorial
19März 2021
23 min. lesen

Was ist wichtig bei einem Richtlinienmodell für Mikrosegmentierung?

Von allen Funktionen, die in einer Mikrosegmentierungslösung besprochen werden müssen, würden die meisten Anbieter nicht mit dem Richtlinienmodell beginnen. In Bezug auf das potenzielle Ergebnis, das eine bestimmte Lösung erzielen könnte, bestimmt das Politikmodell, was möglich ist. Daher ist das Nachdenken darüber, was in einem Policenmodell notwendig ist, eine hervorragende Vorbereitung auf eine qualitativ hochwertige Kaufentscheidung mit geringem Bedauern. Lassen Sie uns jede der wichtigen Komponenten eines wünschenswerten Mikrosegmentierungsrichtlinienmodells untersuchen.

Mehrdimensionale Etiketten

Mikrosegmentierungsrichtlinien verwenden Labels, um die Segmentierung von der zugrunde liegenden Netzwerkadressierung und den Geräten zu abstrahieren. Im Idealfall sind diese Etiketten "sinnvoll mehrdimensional". Ein flacher Namensraum mit unbegrenzten Bezeichnungen ist nicht nützlich. Es bietet keine Zusammenfassung oder Struktur zum Aufhängen von Richtlinienanweisungen, die viele Computer betreffen. Wenn Sie jedes System in einem flachen Namespace bezeichnen, ist dies kaum besser, als nur IP-Adressen zum Angeben der Richtlinie zu verwenden. Interessanterweise sollte zwar die Anzahl der Bezeichnungen innerhalb einer bestimmten Richtliniendimension nicht begrenzt werden, das Einschränken von Richtliniendimensionen hat sich jedoch bei umfangreichen Bereitstellungen als nützlich erwiesen.

Wir Menschen können uns leicht vier Dimensionen vorstellen: drei physische Dimensionen plus Zeit zum Beispiel. Aber wenn die Physiker Recht haben und wir in einem 11- oder 13-dimensionalen Raum leben, kann nur die Mathematik diese Dimensionen erfassen. Sie sind in unserem Gehirn unmöglich zu visualisieren. Dies hat praktische Konsequenzen für die Mikrosegmentierung. Sie können einen Computer so programmieren, dass er eine 11-dimensionale Richtlinie versteht und berechnet, aber kein Mensch wird in der Lage sein, sie zu verstehen. Menschen müssen in der Lage sein, Mikrosegmentierungsrichtlinien zu inspizieren, zu prüfen und zu verstehen.

In our experience, four dimensions can effectively model even the largest networks on the planet for policy purposes, while still preserving our ability to understand the model. So, look for a policy model that has more than flat-tag or label space. The structure of a few dimensions works at the scale of hundreds of thousands of systems but remains easy to understand and work with. Check out this video to learn more about the power of labels.


Modell mit umfangreichen Objekten

A quality policy language will have a sufficiently rich-object model. A hyperscale enterprise data center is a complex place. It is obvious that the model must accommodate everything that needs to be protected: servers, VMs, containers, cloud instances, etc. But these protected systems are not enough to abstract all the useful policy primitives. You need to have objects for service/port mappings and IP-address ranges. Within shared servers – perhaps a server with multiple database instances – you must be able to abstract these instances from each other as distinct virtual services. Containers and container hosts should be both “first-class citizens” who appear on all visualizations and a part of policy statements. Interestingly, it is also important to add unprotected systems to the object model – especially in the early phases of deployment when more things are unprotected than protected and these systems communicate with each other. Being able to represent all flows cleanly makes it much easier to specify the desired policy. The best solutions will even be able to build policies for the unmanaged objects should you wish to have it available for export and possible implementation.

Erbschaft

Policy inheritance is the only way to scale microsegmentation policy to cover an existing data center. If about 80 percent of the traffic flows within the data center, that implies that the existing perimeter firewall rules only cover 20 percent of the traffic. That means that the potential for five times as many rules exists within the data center as currently exist in all the firewalls! The abstractions provided by the policy model and its useful dimensionality must combine with a pure allow-list policy model. Only in this way can policy be written once to apply in many instances. Inheritance and smart policy automation around common microsegmentation policies, like application ringfencing, combine to form the only proven way to segment tens of thousands of systems successfully.

Deklarativ vs. Imperativ

The only policy model to successfully microsegment over 100,000 workloads uses a declarative method to express segmentation desire. A declarative policy model only requires one to specify the desired outcome. An imperative policy model requires the solution to be specified exactly to create the outcome. A traditional firewall ruleset is imperative: every statement must be present in perfect order and with perfect accuracy for the desired protection to exist. This causes no end of difficulty and complexity. However, the ideal microsegmentation policy uses declarative language exclusively: “I want to ringfence the Ordering application inside my Production environment.” How that is accomplished is the business of the Policy Compute Engine behind the policy language. In this way, the policy is always easy to specify, easy to understand, and easy to develop. Given the scale of work to be done, anything else will result in failure.

Konsequente Anwendung

When all the necessary primitives exist, the best microsegmentation solutions will use them consistently across every area of the product. Labels aren’t just for policy authoring, but must inform visibility, policy distribution, and policy enforcement. Role-based access control (RBAC) should follow the label structure exactly so that application owners, DevOps, and others can access everything they need, but not more. Securing automated deployments in particular demands this precise delegation capability. A useful, clear, and simple label structure creates a mental model when it is consistently applied. Almost immediately, administrators intuitively understand how the solution works and can anticipate outcomes. This intuition quickly turns to speed, speed to mastery, and mastery to finished projects. Simplicity, clarity, and consistency are the solution for complex data center environments.

Vollständige Abstraktion

Ich sage gerne, dass die Automatisierung Metadaten zum Frühstück isst. Automatisierung kann nicht schneller ablaufen, als sie abstrahiert werden kann. Ein erfolgreiches Politikmodell muss alle Spuren der Netzwerkadressierung und des Durchsetzungsmechanismus selbst abstrahieren. Die Politik darf sich nur mit dem befassen, was gewünscht ist. Auf diese Weise kann die Automatisierung leicht das Ergebnis aussprechen: "Web must communicate to App". Die Regeln, die erforderlich sind, um dies zu erreichen, werden sich in einer dynamischen Cloud oder automatisierten Umgebung ständig ändern, und diese Komplexität kann dem Automatisierungsframework nicht zugänglich gemacht werden, wenn es skaliert werden soll. Eine Richtlinie, die sich auf IP-Adressen stützt, lässt sich einfach nicht skalieren, egal wie gut sie gemeint ist. Ebenso muss der Durchsetzungsmechanismus ausgeblendet werden. Sobald der Wunsch geäußert wurde, sollte die Mikrosegmentierungsrichtlinien-Engine herausfinden, wie diese Richtlinie unter Berücksichtigung der ihr bekannten Ressourcen am besten implementiert werden kann. Auf diese Weise ändert sich mit dem Kommen und Gehen von Systemen die Anzahl der Durchsetzungspunkte und damit auch die Richtlinien- und Regelbasis. Nur eine vollständig abstrahierte Richtlinie gibt DevOps und Cloud-Architekten die Fähigkeiten, die sie benötigen, um nahtlos mit der Mikrosegmentierungslösung zu interagieren.

Groß angelegte Politik

Vor vielen Jahren dominierte die Megafauna die Erde. Riesige Versionen von Pflanzen und Tieren gab es auf jedem Kontinent, und sie überragten die Arten, die wir heute haben. Die besten Richtlinienmodelle enthalten Skalenfaktoren, die über die einfachen Beschreibungen einzelner Anwendungen hinausgehen. Die Möglichkeit, beliebige Bezeichnungen über beliebige Richtliniendimensionen hinweg zu gruppieren, ermöglicht es, dass sich einzelne Richtlinien auf Systeme in mehreren Rechenzentren, Umgebungen oder Anwendungen auswirken. Bei der Erstellung von Richtlinien für Hyperscale-Unternehmen bewegen sich diese "Mega-Richtlinien" mit erstaunlicher Reichweite, Geschwindigkeit und Effizienz, um das Unternehmen mit Mikrosegmentierungsrichtlinien abzudecken.

A policy model might seem like an abstract and unimportant concept. But for a successful microsegmentation deployment, nothing could be further from the truth. The policy model determines what will and will not be possible to express and how easy or hard it will be to do so. A company can quickly change the color of their UI, but it will struggle to fix a broken or improperly designed policy model. The most proven microsegmentation policy model in the world provides full abstraction from network addressing and enforcement points though a “usefully dimensional” label model. This model is consistently carried through every function of the product. When full object models combine with inheritance and declarative models, it is possible to easily and quickly state the desire outcome and have it be true in the world. Microsegmentation succeeds at the scale of hundreds of thousands of workloads only through a mature, complete, and well-designed policy model.

Als Nächstes erörtern wir in dieser Serie Fragen zur Mikrosegmentierung, die Sie nicht stellen sollen, was es braucht, um die Mikrosegmentierungsrichtlinie zu automatisieren.

Verwandte Themen

Keine Artikel gefunden.

Verwandte Artikel

Positivliste vs. Verweigerungsliste
Segmentierung

Positivliste vs. Verweigerungsliste

Erfahren Sie, warum Zulassungslisten die perfekte Lösung für die Sicherung des Ost-West-Datenflusses sind.

Mehr lesen
KMUs können es sich nicht leisten, eine Zero-Trust-Strategie aufzuschieben
Segmentierung

KMUs können es sich nicht leisten, eine Zero-Trust-Strategie aufzuschieben

Sichern Sie Ihr KMU mit einer Zero-Trust-Strategie, um Risiken zu reduzieren, Sicherheitsverletzungen einzudämmen und die Widerstandsfähigkeit gegen Cyberangriffe durch Mikrosegmentierung zu stärken.

Mehr lesen
Containersicherheit – eine neue Grenze (Teil 2)
Segmentierung

Containersicherheit – eine neue Grenze (Teil 2)

Container-Sicherheit, Kubernetes-Leitfaden: Herausforderungen, Bedrohungen und Überlegungen. Eine zweiteilige Blog-Serie zum Thema "Sicherheit bei der Nutzung von Containern".

Mehr lesen
Keine Artikel gefunden.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren