.png)
Was Sie erwartet, wenn Sie mit der Mikrosegmentierung beginnen
Laut Gartner, „Bis 2026 werden 60% der Unternehmen, die auf eine Zero-Trust-Architektur hinarbeiten, mehr als eine Bereitstellungsform der Mikrosegmentierung verwenden, 2023 waren es weniger als 5%.“
Mikrosegmentierung ist die Grundlage für Zero-Trust. Ohne Zero-Trust können Sie kein Zero-Trust erreichen.
Tatsächlich ging John Kindervag, der Erfinder von Zero Trust, im zweiten Bericht, der jemals zu diesem Thema verfasst wurde, auf den Zusammenhang zwischen Zero-Trust und Segmentierung ein. Integrieren Sie Sicherheit in die DNA Ihres Netzwerks: Die Zero-Trust-Netzwerkarchitektur. In dem Bericht sagte er: „Es müssen neue Methoden zur Segmentierung von Netzwerken geschaffen werden, da alle zukünftigen Netzwerke standardmäßig segmentiert werden müssen.“
Wenn Sie eine Zero-Trust-Architektur aufbauen, sollte die Mikrosegmentierung ein wichtiger Bestandteil Ihres Plans sein. Hier sind die 10 Dinge, die Sie erwarten können, wenn Sie mit der Mikrosegmentierung beginnen.
1. Verschaffen Sie sich einen Überblick über den gesamten Workload-Verkehr in jeder Umgebung
Der erste — und einer der wichtigsten — Schritte beim Aufbau einer Mikrosegmentierung besteht darin, zu wissen, was in allen Segmenten in Ihrem Netzwerk vor sich geht. Wie sehen Sie den gesamten Datenverkehr zwischen allen Workloads in Ihren Cloud-, Endpunkt- und Rechenzentrumsumgebungen? Es ist wichtig, dieses Maß an Transparenz in jeder Größenordnung ohne einen übermäßig komplexen Arbeitsablauf erreichen zu können.
Sie können versuchen, verschiedene Sichtbarkeitstools für verschiedene Segmente in Ihrem Netzwerk zu verwenden. Wenn Sie jedoch mehrere Tools verwenden, entsteht eine fragmentierte Ansicht. Dies kann es schwierig machen, das Verhalten in allen Segmenten überall zu verstehen.
Suchen Sie stattdessen nach einer Lösung, mit der der Traffic in allen Segmenten erkannt und in einer Ansicht angezeigt werden kann. Mit Illumio können Sie beispielsweise sehen, wer über welche Ports mit wem spricht, sodass Sie alle Abhängigkeiten erkennen können.
Mit diesen Informationen können Sie die „offenen Türen“ in Ihrem Netzwerk finden, entscheiden, welcher Datenverkehr erforderlich ist, und dann den gesamten anderen Verkehr standardmäßig ablehnen.
2. Verstehe, wie Apps kommunizieren
Die meisten Menschen sind sich einig, dass Zero Trust eine gute Idee ist, aber wie können Sie verstehen, welcher Traffic erforderlich ist, bevor Sie entscheiden, was geschützt werden soll? Es ist nicht immer einfach zu erkennen, welche Apps in Ihrem Netzwerk laufen und welche Ports sie verwenden müssen.
Mit einer Lösung wie Illumio können Sie herausfinden, welche Anwendungen auf allen Workloads ausgeführt werden und welche Ports sie verwenden. Auf diese Weise erhalten Sie ein umfassendes Inventar aller Anwendungen und ihrer Abhängigkeiten in Ihrem Netzwerk, sodass Sie entscheiden können, wie Sie die Segmentierungsrichtlinien durchsetzen möchten.
3. Sperren Sie Ihre wichtigsten Ressourcen mit dem höchsten Risiko
Nicht alle Eintrittspunkte in Ihr Netzwerk unterliegen Ihrer direkten Kontrolle. In einem Rechenzentrum für ein Campus-Netzwerk gibt es zwar möglicherweise strenge Kontrollen, aber Ressourcen in der Cloud oder der Zugriff Dritter durch Partner sind oft weniger sicher.
Viele Bedrohungen gehen von diesen weniger sicheren Umgebungen aus, da sie oft aufgrund von menschlichem Versagen offen bleiben. Jeder dieser Access Points kann für einen Angreifer der erste Schritt in die Tür sein, sodass Bedrohungen über Ihr Netzwerk auf Ihre wertvollen Ressourcen gelangen können.
Hier kann Ihnen eine Mikrosegmentierungslösung wie Illumio helfen, diese anfälligen Teile Ihres Netzwerks zu schützen. Ganz gleich, wo eine Sicherheitsverletzung passiert, die Mikrosegmentierung verhindert, dass sie kritische Ressourcen erreicht, die Sie segmentiert haben. Die Sicherheitslücke wird auf der anderen Seite des Segments isoliert, sodass sie keinen weiteren Schaden anrichten kann.
4. Kennzeichnen Sie Workloads nach Geschäftsfunktionen, nicht nach Netzwerkadressen
In den modernen Netzwerken von heute werden Workloads in einer hybriden Multi-Cloud-Architektur bereitgestellt. Dadurch sind Netzwerkadressen kurzlebig. Die Netzwerkadresse eines Workloads kann sich je nach der zugrunde liegenden Hosting-Umgebung dynamisch ändern.
Aus diesem Grund sollten Sie Workloads mit menschenlesbaren Bezeichnungen kennzeichnen und nicht mit herkömmlichen IP-Adressen. Mit einer Mikrosegmentierungslösung wie Illumio Zero Trust Segmentation können Sie Workloads anhand ihrer Geschäftsfunktion oder Inhaberschaft identifizieren — z. B. nach ihrer Rolle, Anwendung, Umgebung, Standort, Betriebssystem oder Geschäftseinheit — was durch die Verwendung einer IP-Adresse wesentlich aussagekräftiger ist.
Die Etikettierungstools von Illumio können:
- Ändern Sie die Workload-Labels genauso dynamisch
- Labels aus vorhandenen Kennzeichnungsstrukturen importieren, z. B. aus einer Configuration Management Database (CMDB)
- Empfehlen Sie Labels auf der Grundlage der Anwendungen und des Datenverkehrs, den es in verwalteten Umgebungen erkennt
Durch die Verwendung von menschenlesbaren Bezeichnungen erhalten Sie eine metadatengestützte Lösung, mit der Sie sehen können, wie Segmente zwischen Workloads durchgesetzt werden, die vollständig von der Netzwerkadresse entkoppelt sind.
5. Entscheiden Sie sich für einen Ansatz ohne Agenten
Beim Aufbau einer Mikrosegmentierung ist es wichtig zu verstehen, wann ein agentenloser Ansatz oder ein agentenloser Ansatz am besten funktioniert. Bei einigen Lösungen wie Illumio haben Sie die Wahl, ob Sie Agenten verwenden oder nicht, sodass Sie alle Workloads in jeder Umgebung transparent und segmentieren können.
Agentenansatz
Der Illumio Virtual Enforcement Node (VEN) -Agent sammelt Telemetriedaten zur Anwendungsnutzung auf und zwischen Workloads. Auf diese Weise können Sie den Zugriff auf Segmente direkt am Workload steuern.
Agentenloser Ansatz
Illumio kann die Verwendung von Segmenten auch ohne einen Agenten erkennen und durchsetzen.
Dies ist in Umgebungen, in denen Agenten nicht unterstützt werden können, wie z. B. IoT-Geräte in der Fertigungs- oder Gesundheitsbranche, von entscheidender Bedeutung. Dies ist auch in Umgebungen von entscheidender Bedeutung, in denen aufgrund von Compliance-Anforderungen keine Agenten eingesetzt werden können.
- In einem Rechenzentrum: Illumio kann Netzwerk-Switches sichern, die vor Geräten eingesetzt werden, die keine Agenten unterstützen können. Illumio erfasst die Netzwerktelemetrie der Switches und wandelt die auf Bezeichnungen beruhenden Richtlinien in Zugriffslisten um, die von den Switches verwendet werden können.
- In der Cloud: Illumio kann Anwendungs- und Netzwerkverhalten ohne Agenten erfassen. Es konvertiert die auf Bezeichnungen basierende Richtlinie und wendet sie auf bestehende Netzwerkdurchsetzungspunkte an, die sich bereits in der Cloud befinden.
6. Beginnen Sie mit einem Denylist-Modell und wechseln Sie dann zu einem Allowlist-Modell
Eine häufige Herausforderung, vor der Teams beim Aufbau von Mikrosegmentierungen stehen, besteht darin, dass sie zwar die Ports kennen, die sie ablehnen möchten, aber nicht alle Ports, die sie für Anwendungen benötigen, vollständig verstehen.
Ransomware verwendet häufig Ports wie Remote Desktop Protocol (RDP) und Server Message Block (SMB), um segmentweise zwischen Workloads zu wechseln. Wir wissen jedoch, dass diese Ports zwischen Workloads selten geöffnet sein müssen.
Aus diesem Grund empfiehlt es sich, mit einem Denylisten-Modell zu beginnen. Blockieren Sie nur die Ports, von denen Sie wissen, dass sie nicht geöffnet sein sollten, und lassen Sie alle anderen zu. Wenn Sie dann genau wissen, welche Ports Anwendungen benötigen, können Sie zu einem Allowlist-Modell wechseln. Lassen Sie nur die erforderlichen Ports offen und blockieren Sie alle anderen.
Dieser Ansatz ermöglicht es Ihnen, noch heute mit dem Aufbau einer Mikrosegmentierung durch Ransomware zu beginnen und die Richtlinien zu verschärfen, wenn Sie dazu bereit sind.
7. Modellieren Sie eine Richtlinie, bevor sie bereitgestellt wird
Cybersicherheit basiert seit langem auf einem Deploy-and-Pray-Ansatz. Sicherheitsteams erstellen ein Richtlinienmodell und ändern es, bis es korrekt aussieht. Wenn es dann bereitgestellt wird, beten sie, dass das Telefon nicht klingelt, weil die Anwendungsabhängigkeiten unterbrochen sind.
Aus diesem Grund ist es am besten, Ihre Richtlinie zu testen, bevor sie vollständig implementiert wird. Mit Illumio können Sie Richtlinien erstellen und diese dann in den Überwachungsmodus versetzen. Dadurch werden alle Probleme hervorgehoben, die die Richtlinie nach ihrer Implementierung verursachen könnte, sodass Sie sie beheben können, bevor sie den Betrieb unterbrechen.
Die Modellierung stellt sicher, dass Ihre Richtlinie sicher implementiert werden kann, ohne dass das Risiko besteht, dass Anwendungsabhängigkeiten versehentlich unterbrochen werden.
8. Erweitern Sie die konsistente Segmentierung auf die gesamte hybride Multi-Cloud
Wenn Sie eine Lösung verwenden, die nur Segmentierung im Rechenzentrum aufbauen kann, ist es unwahrscheinlich, dass Sie in anderen Umgebungen wie der Cloud eine konsistente Sicherheit erhalten. Die Segmentierung sollte niemals von einer einzigen Umgebung abhängen. Dies wird zu einem isolierten Segmentierungsansatz führen, der nur Sicherheitslücken hinterlässt und es schwieriger macht, Sicherheitslücken zu stoppen und einzudämmen.
Stattdessen muss die Mikrosegmentierung der Arbeitslast bei der Migration zwischen den Umgebungen folgen. Dadurch wird sichergestellt, dass die Segmentierung nicht unterbrochen wird, wenn Workloads in verschiedenen Umgebungen gehostet werden.
Mit Illumio können Sie eine konsistente Segmentierungsrichtlinie für Ihre Cloud-, Endpunkt- und Rechenzentrumsumgebungen erstellen. Auf diese Weise können Workloads mithilfe eines konsistenten Mikrosegmentierungsmodells, das in der gesamten Architektur gleich funktioniert, zwischen Umgebungen migriert werden.
9. Automatisieren Sie Sicherheitsänderungen, ohne sich auf menschliche Entscheidungen verlassen zu müssen
Malware verbreitet sich schneller, als ein Mensch auf einer Tastatur tippen kann. Es ist von entscheidender Bedeutung, eine Mikrosegmentierungslösung zu haben, mit der Richtlinienänderungen so schnell automatisiert werden können, wie sich eine Sicherheitsverletzung ausbreiten kann.
Mithilfe der umfangreichen API-Bibliothek von Illumio können Sie Illumio in Ihre SOAR-Lösung integrieren. Das SOAR-Tool erkennt offene Ports, über die sich Malware im Netzwerk verbreitet. Anschließend sendet das Tool Illumio einen API-Aufruf, um gefährdete Ports sofort abzuschalten.
All dies geschieht, ohne auf menschliches Eingreifen angewiesen zu sein.
10. Beweisen Sie, dass die Sicherheitsvorschriften eingehalten werden
Die Quantifizierung des Risikos kann eine Herausforderung sein, da die Sicherung von Anwendungen und Segmenten viele bewegliche Teile beinhalten kann. Während eines Audits ist es nicht immer einfach, sich ein klares Bild vom bestehenden Risiko zu machen und zu erfahren, wie es nach der Anwendung der Sicherheitsrichtlinien verringert wird. Es ist wichtig, Tools zu verwenden, die dies vor und nach dem Vergleich aufzeigen.
Mit den Vulnerability Maps von Illumio können Sie Risiken anhand einer Bewertung quantifizieren, die die von Illumio und externen Scannern entdeckten Risiken kombiniert. Das Tool empfiehlt dann eine geänderte Richtlinie, die das Risiko reduziert.
Auf diese Weise können Auditoren eine klare Vorher-Nachher-Bewertung für das Expositionsrisiko einer Umgebung erhalten, sodass Ihr Team nicht mehr mit der Einhaltung von Vorschriften rechnen muss.
Sind Sie bereit, mehr über Illumio ZTS zu erfahren? Kontaktieren Sie uns noch heute für eine kostenlose Beratung und Demo.
.webp)
%20(1).webp)
.webp)
