.png)
Was Sie brauchen, um Zero-Trust-Richtlinien schnell und sicher durchzusetzen
In dieser Reihe haben wir die unverzichtbaren Eigenschaften für das erfolgreiche Entdecken, Erstellen und Verteilen einer Zero-Trust-Segmentierungsrichtlinie betrachtet. Zum Abschluss dieser Woche werfen wir einen genauen Blick darauf, was zur Durchsetzung einer Zero-Trust-Segmentierungsrichtlinie notwendig ist. Eine Zero-Trust-Richtlinie, die nicht vollständig umgesetzt wird, ist schlichtweg nicht in der Lage, Malware, Ransomware oder böswillige Akteure aufzuhalten. Es gibt einige wichtige Aspekte zu berücksichtigen, um sicherzustellen, dass jede Zero-Trust-Richtlinie schnell in der gesamten Infrastruktur durchgesetzt werden kann – und zwar ohne die Funktionsfähigkeit der Anwendungen zu unterbrechen.
Sei sicher, nicht traurig
Bei der Arbeit in bestehenden Cloud- und Rechenzentrumsumgebungen gilt als erste Voraussetzung die Einhaltung des hippokratischen Eides: Richte keinen Schaden an! Alle Mikrosegmentierungslösungen verwenden Agenten. Sie brauchen ein sicheres Mittel, und kein Inline-Wirkstoff ist sicher. Ein Agent, der eine Inline-Firewall, Filterung oder andere Sicherheitsfunktionen implementiert, kann nicht als sicher angesehen werden. Wenn der Agent nicht geschlossen wird, bricht die Anwendung ab, was ein betriebssicheres Problem darstellt. Wenn der Inline-Agent nicht mehr funktioniert, ist der Sicherheitsmechanismus nicht mehr nutzbar, was die Definition von unsicherem Rechnen ist. Die einzige sichere Agententechnologie für die Durchsetzung ist ein Agent außerhalb des Datenpfads. Sie sollten eine Lösung fordern, die die Einhaltung der Regeln gewährleistet, selbst wenn der Agent des Anbieters ausfällt oder entfernt wird. Fordern Sie einen Agenten , der Installationen und Aktualisierungen ohne Neustart durchführt. Agenten sollten im Benutzermodus ausgeführt werden. Alles, was den Kernel verändert, benutzerdefinierte Netzwerkadapter installiert oder anderweitig in den Kernel eingreift, wird abgelehnt. Es besteht keine Notwendigkeit, etwas so Grundlegendes wie eine Stateful Firewall neu zu erfinden, wenn buchstäblich alles im Rechenzentrum oder in der Cloud bereits über eine solche verfügt.
Setzen Sie alles durch
Sobald Sie eine Zero-Trust-Richtlinie eingeführt haben, ist der beste Ort dafür – überall! Jedes Betriebssystem der letzten zwölf Jahre verfügt über eine einwandfrei funktionierende Stateful Firewall – iptables/Netfilter und die Windows Filtering Platform. Ähnliche Technologien gibt es für AIX, Solaris und sogar Mainframes. Netzwerk-Switches, Load Balancer und Hardware-Firewalls verwenden alle Firewall-Regeln. Warum nicht alles nutzen? Setzen Sie Zero Trust überall ein und automatisieren Sie die Durchsetzung der Richtlinien für alles, was Sie bereits besitzen. Die Durchsetzung muss Ihre Kubernetes-Containerumgebung, Amazon-, Azure- und Google-Cloud- Instanzen, SaaS-Dienste und sogar die Trennung Ihrer OT-Geräte von der IT-Umgebung umfassen. Es lohnt sich gar nicht erst, herstellereigene Agenten zur Durchsetzung von Zero-Trust-Richtlinien in Betracht zu ziehen, wenn jedes Gerät bereits alles unterstützt, was man benötigt.
Verbessern Sie die Geschwindigkeit des Vertrauens
Zero-Trust-Bereitstellungen erfolgen mit dem Tempo des Vertrauens in die Sicherheit der Richtlinie. Schließlich erfordert eine Zero-Trust-Richtlinie, dass alles angegeben wird, was gewünscht ist – alles andere wird verweigert. Das bedeutet, dass Zero-Trust-Richtlinien perfekt sein müssen. Wie viele Flows befinden sich in einem Rechenzentrum? Es klingt schwer, sich auf die Perfektion all dieser Abläufe zu verlassen. Entspannen. Zero-Trust-Segmentierung muss nicht schwierig sein. Stellen Sie sicher, dass Sie in der Lage sind, auch nur einen einzelnen Dienst am kleinen Ende der Skala durchzusetzen. Schließlich sind einige der anfälligsten Abläufe die Kerndienste und Managementsysteme, die jede Maschine in der Umgebung berühren. Viele verwenden einen einzelnen Port oder einen kleinen Bereich. Jede gute Lösung sollte in der Lage sein, selektiv nur diese wenigen Ports zu erzwingen. Sie sind einfach zu definieren, leicht zu vereinbaren und entscheidend zu sichern. Am anderen Ende des Spektrums steht einfach die Durchsetzung von Richtlinienwünschen wie "Alle meine DEV-Systeme sollen nicht mit PROD kommunizieren, mit Ausnahme der folgenden Liste von Shared Services – aber schränke das so weit wie möglich ein". Niemand wird alle DEV-Systeme und alle PROD-Systeme perfekt kennen – es ist zu dynamisch und komplex. Die besten Zero-Trust-Segmentierungslösungen können jedoch problemlos Durchsetzungsgrenzen definieren, die genau diese Funktionalität bieten und gleichzeitig frei von Bedenken hinsichtlich der Regelreihenfolge oder der Unterbrechung der Richtlinienvererbung bleiben. Wie schnell kann jeder im Team sicher sein, dass die Richtlinie richtig und sicher ist? Suchen Sie nach einer Lösung, die auf der Ebene einer einzigen Richtlinienanweisung durchgesetzt werden kann und gleichzeitig umfassende Trennungsziele durchsetzt. Wenn beide gleich einfach sind, ist es einfach, Zero-Trust-Richtlinien durch Änderungskontrolle in die Durchsetzung zu bringen.
Zusammenfassend
Die Trennung von Cloud-, Endpunkt- und Rechenzentrumssystemen durch durchgesetzte Regeln ist der Kern des Zero-Trust-Konzepts. Reine Transparenz- oder Überwachungslösungen können niemals als Zero-Trust-Segmentierung gelten. Eine gute Segmentierungslösung muss in erster Linie sicher sein und darf sich nicht auf Inline-Technologien stützen, die im Fehlerfall entweder offen oder geschlossen sind – und damit die gesamte Umgebung gefährden. Die Durchsetzung sollte breit angelegt sein und alle Firewalls nutzen, für die Sie bereits bezahlt haben, von den betriebssystembasierten Firewalls bis hin zur Hardware und den Netzwerkgeräten in den Racks. Die Implementierung von Zero-Trust-Segmentierungsrichtlinien für Container, Cloud und die gesamte Rechenumgebung erfordert eine Vielzahl unterschiedlicher Lösungen. Warum also nicht das nutzen, was bereits in den jeweiligen Lösungen vorhanden ist? Schließlich ist es wichtig, die Durchsetzung von einer einzelnen Richtlinienvorgabe bis hin zu einfachen Möglichkeiten zur Segmentierung ganzer Umgebungen gestalten zu können. Die feinkörnige Mikrosegmentierung erfolgt in dem Maße, wie das gemeinsame Vertrauen besteht, dass die Systeme nicht unterbrochen werden. Eine Lösung mit hoher Flexibilität und differenzierter Durchsetzung wird daher stets die schnellsten Ergebnisse im Bereich Zero Trust liefern.
ICYMI, lesen Sie den Rest dieser Serie:
