Was Sie für die Erkennung von Zero-Trust-Richtlinien benötigen

The fundamental truth about micro-segmentation is that it will never be more granular than our understanding of the traffic to be protected. We truly can’t segment what we can’t see.

Die meisten Anbieter von Segmentierungslösungen liefern jetzt eine Art Anwendungskarte, die eine Anwendung in eine Art "Blase" einordnet, um ihre mögliche Isolation zu zeigen. Dies ist zwar eine enorme Verbesserung gegenüber der Alternative (ohne Visualisierungen), reicht aber in Wirklichkeit nicht aus, um eine solide Zero-Trust-Richtlinie zu schreiben. Notwendig – aber nicht ausreichend. Was brauchen wir noch?

As discussed in the introduction to this series, Zero Trust micro-segmentation success is determined by the effectiveness of the policy management process. Writing segmentation rules isn’t one task – it is a variety of analytical and decision-making steps. Therefore, making segmentation better requires a deep level of understanding and must be reflected in the right visibility and workflow for each step; there is no possibility that a single simple visualization will work for all tasks and decision points.

Die Richtlinienerkennung ist die Gesamtheit der Aufgaben, die ein Unternehmen durchläuft, um eine Anwendung und ihren Kontext gut genug zu verstehen, um eine Zero Trust-Richtlinie zu schreiben. Es umfasst Informationen auf Service-, Host- und Applikationsebene – aber auch viele andere Dinge.

Vollständiger Anwendungskontext

Der vollständige Kontext für eine Anwendung geht über den internen Betrieb hinaus. Es kann mit anderen Anwendungen kommunizieren, wahrscheinlich eine Verbindung zu 20 bis 30 gemeinsamen Kerndiensten herstellen, Benutzer von Unternehmens- und VPN-Standorten haben und mit SaaS-Diensten oder anderen Remote-Adressräumen interagieren. All dies einfach ohne Organisation auf eine Karte zu laden, ist ein Rezept für Verwirrung, das den Fortschritt auf ein Kriechen verlangsamt!

Es ist wichtig, externe Verbindungen in den normalen benannten Adressbereichen zusammenzufassen, die sich möglicherweise im IP-Verwaltungssystem befinden. Auf diese Weise ist es einfach, Benutzersubnetze, DMZ-Datenverkehr usw. zu erkennen. Vor allem in den Anfängen eines Mikrosegmentierungseinsatzes gibt es mehr "ungeschützte" als "geschützte" Systeme. Wie werden diese Systeme dargestellt, organisiert und kategorisiert? Wenn diese Systeme Objekte im Richtlinienmodell sind und als solche auf der Karte angezeigt werden, werden die Komplexität und das Schreiben von Regeln vereinfacht. Schließlich existieren die meisten Anwendungen für Benutzer. Wie wird dieser Benutzerkontext verstanden, angezeigt und für Aktionen zur Verfügung gestellt?

Letztendlich erfordert die Richtlinienerkennung einen vollständigen Anwendungskontext, und dazu gehören mehr als einfache Anwendungszeichnungen mit hundert oder mehr Zeilen zu externen IP-Adressen oder Hostnamen.

Mikro- vs. Makro-Workflows

Data centers or cloud environments are complex places, with much more than applications to consider. Application dependency maps are critical for understanding applications, but what about being able to see larger constructs? How is it possible to know what traffic is passing between Dev and Prod? How can one see all the database traffic on port 3306 across the whole environment to make sure none is missed? What about seeing the “reach” of a core service like LDAP or RDP to understand current activity?

Die Erfahrung von Illumio bei der Sicherung mehrerer Umgebungen mit mehr als 100.000 Knoten spiegelt sich in der Bereitstellung von Visualisierungen und Explorationstools für die Makroumgebung zusätzlich zum Anwendungskontext wider. Das Schreiben effektiver abstrahierter, labelbasierter Richtlinien erfordert auch die Fähigkeit, die Kommunikation auf jeder Abstraktionsebene zu visualisieren und zu überprüfen, die das Richtlinienmodell bietet. Interessanterweise sind die für Anwendungsansichten so nützlichen Anwendungsblasen in diesem Zusammenhang wenig hilfreich. Die besten Lösungen zur Richtlinienermittlung verfügen über klare Möglichkeiten, die Kommunikation auf allen Abstraktionsebenen und nicht nur Datenbankdumps gesammelter Flussdaten anzuzeigen.

Benötigen Sie eine Mikrosegmentierungslösung, die die Ansichten auf Makroebene bietet, die für die schnelle Bearbeitung großer Datenmengen durch Massen- oder aggregierte Richtlinienerstellung unerlässlich sind.

Unterschiedliche Sichtweisen für verschiedene Stakeholder

Das Firewall-Team ist nicht das einzige, das Flows und Richtlinien während der Richtlinienermittlung überprüft. Wenn sich die Segmentierungsgrenze auf den Anwendungsserver oder Container-Host verlagert, werden die Betriebs- und Anwendungsteams ein großes Interesse daran haben, sicherzustellen, dass jeder benötigte Service ordnungsgemäß bereitgestellt wurde. Die Fragen dieser Mitarbeiter lassen sich am besten durch speziell entwickelte Ansichten beantworten, die auf die Notwendigkeit zugeschnitten sind, eine Richtlinie schnell zu überprüfen und die Funktionalität zu validieren. Viele der Details zur Richtlinienentwicklung sind nicht notwendig und lenken in der Tat von den Kernanliegen der Anwendungs- und Betriebsteams ab.

Look for a micro-segmentation product that has thoughtfully constructed visualizations and workflows for application and operations teams. They are part of the workflow for policy and should have tools that support their needs. An RBAC filtered view is essential, of course, but expect more – get application owner-specific visualizations to speed the policy discovery process.

Zusammenfassend

Niemand kann Richtlinien schneller schreiben, als er versteht, was erforderlich ist! Die Richtlinienermittlung ist der erste Teil eines jeden Workflows für die Richtlinienverwaltung. Die Richtlinienanforderungen einer modernen Anwendung oder einer containerisierten Sammlung von Microservices erfordern einen vollständigen Anwendungskontext – weit über eine einfache Anwendungsblase hinaus. Die Darstellung von IP-Bereichen, nicht verwalteten Systemen, Kerndiensten und mehr ist für das Verständnis eines Anwendungsdienstes im Kontext unerlässlich.

Jedes gute Richtlinienmodell bietet die Möglichkeit, die Kommunikation auf mehreren Ebenen oder "Labels" zu abstrahieren, daher ist es auch wichtig, Visualisierungen zu haben, die diese übergeordneten Richtlinienziele unterstützen. Schließlich handelt es sich bei der Massenpolitik um eine schnelle Politik, so dass die richtigen Fähigkeiten die Entwicklung der Politik radikal beschleunigen werden.

Schließlich sind an der Mikrosegmentierung mehrere Organisationen beteiligt. Die Richtlinienermittlung ist ein Teamsport – stellen Sie sicher, dass jeder über maßgeschneiderte Ermittlungsansichten verfügt, damit jedes Team so effizient wie möglich arbeitet.

Eine schnelle, effiziente Richtlinienerkennung führt zu einer schnellen und effizienten Richtlinienerstellung. Seien Sie nächste Woche dabei, wenn wir darüber diskutieren, was erforderlich ist, um die Erstellung von Richtlinien zu beschleunigen.