Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Segmentierung
Illumio Editorial
Illumio Editorial
30April 2021
23 min. lesen

Warum Richtlinien für Zero Trust wichtig sind

Das Prinzip der minimalen Berechtigungen ist nicht neu, und auch die Idee, Geräte im Netzwerk im Sinne der minimalen Berechtigungen voneinander zu trennen, ist nicht neu. Schließlich kommt jede Firewall mit einer Standardregel aus dem Versandbehälter – „Alles verweigern“ – was die Erstellung einer Least-Privileg-Richtlinie begünstigt. Und so haben wir in den letzten 15 oder 20 Jahren pflichtbewusst immer mehr Zulassungs- und Sperranweisungen in Perimeter-Firewalls eingegeben. Die meisten Organisationen verfügen mittlerweile über so viele dieser Erklärungen, dass es Teams von hochqualifizierten Administratoren braucht, um sie zu verwalten, und die Komplexität hat in den letzten Jahren explosionsartig zugenommen.

Das Problem (mal 3)

Das Zero-Trust- Konzept sieht nun vor, dass wir zum Prinzip der geringsten Privilegien zurückkehren. Doch diesmal nicht nur am Rande, sondern bei jeder Arbeitslast, jedem Benutzer, jedem Endpunkt. Wie realistisch ist das? Cisco veröffentlicht jedes Jahr eine detaillierte Studie über Unternehmensnetzwerke, die uns eine einfache Annäherungsmöglichkeit bietet. Im Jahr 2020 fanden 73 % des Datenverkehrs in Ost-West-Richtung statt – also zwischen Systemen innerhalb des Rechenzentrums – und etwa 27 % verliefen über den Perimeter. Die bestehenden Perimeter-Firewall-Regeln decken daher 27 % des Datenverkehrs ab.

Die klare Implikation ist, dass die Schaffung einer ähnlichen Richtlinie für die anderen 73 % des Datenverkehrs ungefähr die dreifache Arbeit, die dreifache Komplexität der Regeln und die dreifache Anzahl von Personen bedeutet. Und das ist das Problem. Niemand kann das 3-fache ausgeben, das 3-fache einstellen und das 3-fache der Komplexität konfigurieren. Diejenigen, die schon einmal versucht haben, eine SDN-Lösung so zu gestalten, dass sie diese Aufgabe erfüllt, oder die versucht haben, virtuelle Firewalls einzusetzen, wissen, dass es einfach nicht funktioniert.

Jeder Anbieter, der Zero Trust anbietet, muss dieses Rätsel lösen. Es ist nicht glaubwürdig zu behaupten, dass ein Zero-Trust-Ergebnis erreichbar ist, ohne sich mit der operativen Realität der immensen Aufgabe auseinanderzusetzen. Jeder, der sich für ein Zero-Trust-Ergebnis entscheidet, benötigt einen glaubwürdigen Nachweis für die Fähigkeit, die Kosten-, Betriebskomplexitäts- und Personalkomponenten für eine erfolgreiche Implementierung zu erfüllen.

Wir brauchen nicht noch mehr Orte, um Richtlinien durchzusetzen

Als Firewalls erstmals in Netzwerken eingesetzt wurden, waren sie das einzige Gerät, das in der Lage war, den Datenverkehr in großem Umfang zu blockieren und einzuschränken. Doch heute ist die Realisierung der Zero-Trust-Mikrosegmentierung kein Problem mehr, das nur die Durchsetzung betrifft. Jedes moderne Betriebssystem im Rechenzentrum, von Windows bis Linux – sogar einschließlich AIX, Solaris und System Z (Mainframes) – verfügt über eine gut implementierte Stateful Firewall im Kernel-Weiterleitungspfad. Jedes Netzwerkgerät, von Routern und Switches bis hin zu Firewalls und Load Balancern, kann Firewall-Regeln verwenden.

Tatsächlich ist es so, dass so ziemlich jedes mit dem Netzwerk verbundene Gerät im Rechenzentrum über einige Zugriffskontrollfunktionen verfügt. Das bedeutet, dass niemand Paletten von Firewalls kaufen muss, um Zero Trust zu implementieren. Die Durchsetzungspunkte sind bereits verfügbar. Das bedeutet, dass die Kosten für die Implementierung von Zero Trust fast ausschließlich im Bereich der Konfigurationskomplexität zu spüren sein werden. Schließlich ergibt sich die Anzahl der benötigten Personen aus dem Arbeitsaufwand.

Richtlinienmanagement entscheidet über Zero-Trust-Ergebnisse

Wir kommen daher zu dem Schluss, dass die Richtlinie der wichtigste Faktor bei einer Zero-Trust-Implementierung ist. Wie realisierbar ein Zero-Trust-Ziel ist, hängt davon ab, wie einfach oder schwer es ist, Richtlinien zu ermitteln, zu erstellen, zu verteilen und durchzusetzen.

Anbieter sprechen gerne über ihre Funktionen und zeigen hübsche Benutzeroberflächen, aber am Ende kommt es nur darauf an, wie gut sie die Arbeit zur Richtlinienverwaltung vereinfachen, reduzieren und automatisieren, die mit einer Zero-Trust-Mikrosegmentierungsinitiative verbunden ist.

Bevor jemand eine Zero-Trust-Richtlinie schreiben kann, muss man zunächst alle relevanten Kommunikationsflüsse kennen und wissen, wie die jeweilige Anwendung funktioniert: wie sie von den Kerndiensten und den Benutzern und anderen Geräten abhängt, mit denen sie verbunden ist. Dies ist eine Richtlinienerkennung, und es ist mehr als ein hübsches Bild einer App in einer Blase. Letztendlich benötigen Sie alle notwendigen Informationen, um die Zero-Trust-Richtlinie erfolgreich zu erstellen.

Durch das Verfassen einer Richtlinie muss die Belastung durch die Übersetzung menschlicher Wünsche in IP-Adressen beseitigt werden. Es müssen Metadaten verwendet werden, um Richtlinien zu vereinfachen, zu skalieren und zu übernehmen, um den Authoring-Aufwand zu reduzieren. Nachdem Sie eine Richtlinie geschrieben haben, benötigen Sie eine Möglichkeit, sie an die bereits vorhandenen Erzwingungspunkte zu verteilen. Wie halten Sie alle Richtlinien auf dem neuesten Stand und die automatische Nachverfolgung durch Anwendungsautomatisierung? Wenn Sie alle Verschiebungen, Ergänzungen und Änderungen berücksichtigen können, verringert sich die Arbeitsbelastung Ihres Verwaltungsteams.

Schließlich hängt die Durchsetzung der Politik letztlich von der Fähigkeit ab, die vorgeschlagene Politik zu validieren und Vertrauen in sie aufzubauen. Firewalls verfügen über keine Modellierungsfunktionen. Aber es reicht nicht aus, "zuzulassen und zu beten". Sie müssen in der Lage sein, sich darauf verlassen zu können, dass die Richtlinie korrekt und vollständig ist und die Anwendung nicht beschädigt – und in der Lage sein, dies allen Beteiligten mitzuteilen.

Fazit

Zu wissen, was für das Management von Zero-Trust-Richtlinien wichtig ist, bedeutet auch zu wissen, was für die Durchführung eines Zero-Trust- oder Mikrosegmentierungsprojekts erforderlich ist. Die Umsetzung der detaillierten Segmentierung wird in dem Tempo voranschreiten, das von unserer menschlichen Fähigkeit abhängt, die Richtlinie zu entdecken, zu erstellen, zu verbreiten und durchzusetzen. Bei effektivem und effizientem Policy-Management sinkt der Personalbedarf proportional. Es ist also klar, dass der wichtigste Faktor bei der Operationalisierung von Zero Trust darin besteht, die erforderliche Komplexität der Richtlinien zur Verschärfung der Segmentierungskontrollen effektiv zu bewältigen. Da es sich um ein so wichtiges Thema handelt, werden wir uns in den kommenden Blogbeiträgen ausführlich mit dem Policy-Management befassen.

Verwandte Themen

Keine Artikel gefunden.

Verwandte Artikel

Cyber Consultant Stephen J. White darüber, wie man Sicherheit mit Geschäftsergebnissen in Einklang bringt
Segmentierung

Cyber Consultant Stephen J. White darüber, wie man Sicherheit mit Geschäftsergebnissen in Einklang bringt

Verschaffen Sie sich einen Überblick darüber, was Ihr Unternehmen tun muss, um Ihre Sicherheitsstrategien zu modernisieren und die Cybersicherheit besser auf die Geschäftsergebnisse abzustimmen.

Mehr lesen
Containersicherheit – eine neue Grenze (Teil 2)
Segmentierung

Containersicherheit – eine neue Grenze (Teil 2)

Container-Sicherheit, Kubernetes-Leitfaden: Herausforderungen, Bedrohungen und Überlegungen. Eine zweiteilige Blog-Serie zum Thema "Sicherheit bei der Nutzung von Containern".

Mehr lesen
9 Gründe, warum Gesundheitsdienstleister Zero-Trust-Segmentierung implementieren sollten
Segmentierung

9 Gründe, warum Gesundheitsdienstleister Zero-Trust-Segmentierung implementieren sollten

Entdecken Sie die Vorteile der Zero-Trust-Segmentierung für Ihr Unternehmen im Gesundheitswesen.

Mehr lesen
Keine Artikel gefunden.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren