Um den ständig wachsenden Anforderungen gerecht zu werden, werden Infrastruktur und Unternehmens-IT ausgebaut. Um agiler zu werden setzen Organisationen vermehrt auf SaaS, Hybrid- und Multi-Cloud-Umgebungen.
Spätestens mit der Anbindung von kaum gesicherten Homeoffices, ist das Risiko und die Komplexität der Verwaltung intransparent. Das ist die schwere Aufgabe, der sich die Security-Abteilungen in den Unternehmen täglich stellen müssen.
it-daily.net sprach bezüglich dieser Herausforderungen über „Risk-Based Visibility & Zero-Trust Segmentation” mit Paul Bauer, Regional Sales Director von Illumio.
Hallo Herr Bauer! Können Sie uns einen kurzen Überblick über Illumio verschaffen? Was genau macht das Unternehmen?
Paul Bauer: Illumio ist ein echter Pionier im Bereich Zero Trust Segmentierung. Unser Business fußt auf dem Zero Trust-Modell, das speziell auf die Belange unserer hybriden und agilen Welt ausgerichtet ist. Mittels Zero Trust Segmentierung im Zusammenspiel mit Risiko-basierter Visibilität aller Datenströme schützen wir Unternehmens-Infrastrukturen mitsamt aller Applikationen – damit ist auch maximaler Datenschutz garantiert. Neueste Bedrohungen wie beispielsweise Ransomware werden verlangsamt und gestoppt und gleichzeitig können hybride Infrastrukturen schneller und sicherer als je zuvor betrieben werden.
Warum fußt Ihr Geschäftsmodell auf Zero Trust?
Paul Bauer: Zero Trust hat sich zu einer weit verbreiteten Cyber Security-Strategie entwickelt. Unternehmen lernen, unter der Annahme zu arbeiten, dass wirklich niemandem in ihren Netzwerken vertraut werden kann, keinem Benutzer, keinem Endpunkt oder Workload, keiner Anwendung und keinem Inhalt, unabhängig davon, was zuvor geprüft wurde oder was später geprüft wird. Mit anderen Worten: Jedes Gerät, jede Anwendung und jeder Microservice muss für seine eigene Sicherheit verantwortlich sein. Wir gehen heutzutage davon aus, dass ein motivierter Angreifer einen Weg ins Firmennetzwerk finden kann. Die Idee, dass man seinen Perimeter so gut schützt, dass niemand durchkommt, wird jeden Tag aufs Neue durch stets frisch bekanntwerdende, erfolgreiche Attacken widerlegt. Wenn wir also davon ausgehen, dass ein Unbefugter bereits im Netzwerk ist, dann wollen wir sicherstellen, dass er Mühe hat, auf weitere Systeme zuzugreifen. Der nächste logische Schritt ist dann Segmentierung. Angreifer müssen sich bewegen, Segmentierung verhindert das!
Können Sie uns das Thema Zero Trust (Mikro)Segmentierung ganz kurz erklären?
Paul Bauer: Jede Applikation, die mit einer anderen Applikation oder einem Service kommuniziert, sollte autorisiert werden bevor eine Verbindung aufgebaut wird. Nur autorisierte Verbindungen werden überhaupt zugelassen. Das ist, was man unter Mikrosegmentierung versteht. Dabei wird der Netzwerkverkehr von einer Applikation zur anderen überprüft und nur dann erlaubt, wenn dies gemäß einer Policy auch zugelassen ist. Dazu wird anhand von Telemetriedaten eine Karte allen Applikationsverkehrs erstellt. Man visualisiert welche Applikation mit welchen Services in Verbindung stehen, und wie sie miteinander kommunizieren.
Welche Möglichkeiten ergeben sich dadurch dann?
Paul Bauer: Eine identitätsbasierte Mikrosegmentierung gibt Anwendern die Möglichkeit, Sicherheitsrichtlinien auf eine starke, maschinengenerierte Identität für einzelne Workloads zu stützen, anstatt auf allgemeine IP-Adressen. Dadurch ist es möglich, einen Workload zu verfolgen, während er sich durch die Umgebung bewegt, selbst wenn sich IP-Adressen und andere traditionelle Identifikatoren ändern. Die Risikostruktur der Entwicklung verbessert sich, während gleichzeitig die Anforderungen dynamischer nativer Cloud-Umgebungen erfüllt werden.
Sollte es beispielsweise zu einem Breach kommen, könnte man die Mikrosegmentierung nutzen, um die Angriffsfläche zu verkleinern und den Cyberkriminellen zusätzliche Hindernisse in den Weg zu legen, so dass es deutlich schwerer werden würde einen Zero-Day-Exploit einzusetzen.
Warum ist Mikrosegmentierung so bedeutungsvoll?
Paul Bauer: Segmentierung und Mikrosegmentierung haben unübersehbar an Bedeutung gewonnen. Grund hierfür ist, dass Arbeitsplatz-Rechner aus gesicherten Firmennetzwerken ins ungesicherte Heimnetzwerk gewandert sind. Dieser Veränderung mussten sich die Security Policys des Unternehmens schnellstmöglich anpassen. Nun ist es die Herausforderung, negative Auswirkungen von Systemen, die sich aus einer viel weniger gesicherten Endbenutzer-Computing-Umgebung wieder mit dem Unternehmens-Rechenzentrum verbinden, zu verhindern. Mikrosegmentierung offeriert für diese aktuelle Herausforderung Hilfe und Sicherheit. Dies gilt sowohl für Endpunkte als auch für Server, VMs und Container des Rechenzentrums. Da allerdings die klassische Pflege eines komplexen Firewall Regelwerks immer schon eine große Herausforderung war, bedeutet eine feinere Segmentierung eine große Belastung mit exponentieller Last für das Netzwerk- Management. Zudem ist die Intransparenz von komplexen Firewall Umgebungen oft der Grund für erhebliche Projektverzögerungen und steht im starken Kontrast zur geplanten Agilität von Cloud- und Container-Projekten.
Die Illumio Core Policy Compute Engine (PCE) automatisiert die Sichtbarkeit über alle Netzwerk-Flows in allen Infrastrukturen und kann automatisiert eine dynamische Zero-Trust Policy erstellen, verteilen und in Enforcement bringen. Dabei skaliert die Illumio Core PCE bei Kunden jenseits der 150.000 Server ganz ohne Netzwerkänderungen oder Hardware-Firewalls.
Warum ist Mikrosegmentierung für Cloud-Umgebungen sinnvoll?
Paul Bauer: Mikrosegmentierung bietet Unternehmen die Möglichkeit, Best Practices für Zero Trust zur Entwicklung nativer Cloud-Anwendungen zu implementieren. Eine vertrauenswürdige Identität steht für das Enforcement von Policies bereit und ermöglicht gleichzeitig die nahtlose Nutzung von Technologien wie Containern und Microservices.