Null Vertrauen Der Übergang vom Legacy zum Cloud-Native

Unternehmen, die in der traditionellen monolithischen Umgebung tätig sind, können strenge Organisationsstrukturen aufweisen. Infolgedessen kann die Sicherheitsanforderung den Übergang zu einem hybriden oder Cloud-nativen Anwendungsbereitstellungsmodell verhindern.

Trotz der offensichtlichen Schwierigkeiten möchte die Mehrheit der Unternehmen die Cloud-nativen Funktionen nutzen. Heutzutage erwägen oder bewerten die meisten Unternehmen Cloud-native, um das Kundenerlebnis zu verbessern. In einigen Fällen ist es die Fähigkeit, umfassendere Kundenmarktanalysen zu erstellen oder operative Exzellenz bereitzustellen.

Cloud-native ist eine wichtige strategische Agenda, mit der Kunden viele neue Funktionen und Frameworks nutzen können. Es ermöglicht Unternehmen, in Zukunft aufzubauen und sich weiterzuentwickeln, um sich einen Vorteil gegenüber ihren Mitbewerbern zu verschaffen.

Anwendungen entwickeln sich weiter

Seien wir ehrlich! Anwendungen entwickeln sich sehr schnell. Herkömmliche Anwendungen werden jetzt durch zusätzliche Cloud-native Funktionen ergänzt. Wir haben traditionelle Anwendungen, die mit den neuen containerisierten modularen Front-End- oder Back-End-Diensten arbeiten.

Die Kernanwendung ist immer noch ein dreistufiger Monolith, aber die Cloud-nativen Dienste sind angeschraubt, um Daten an die Kernanwendung des privaten Rechenzentrums zurückzusenden.

Übergangsziele

Im Idealfall haben Unternehmen eine Sicherheitshaltung, mit der sie zufrieden sind. Sie verfügen über Firewalls, IDS / IPS, WAFs und Segmentierung: Ansätze, die perfekt funktionieren.

Wenn wir Cloud-native Dienste in Anspruch nehmen, müssen wir eine weitere Sicherheitsebene hinzufügen. Unternehmen müssen sicherstellen, dass sie über gleiche oder bessere Sicherheitsfähigkeiten als zuvor verfügen.

Dies schafft eine Lücke, die gefüllt werden muss. Der Übergang umfasst die Fähigkeit, die Abdeckung, Sichtbarkeit und Kontrolle in herkömmlichen Umgebungen aufrechtzuerhalten und gleichzeitig die Vorteile von Cloud-nativen Diensten zu nutzen. Alles erfolgt mit einer Sicherheitslage von null Vertrauen, die standardmäßig verweigert wird.

Die komplexe Umgebung

In den traditionellen Umgebungen gibt es objektiv eine Vielzahl von Rechenzentrumsarchitekturen, die in öffentlichen, privaten, hybriden und Multi-Cloud-Bereitstellungsmodellen ausgeführt werden. Früher war es nur privat und öffentlich, aber jetzt sind Hybrid und Multi-Cloud die herkömmlichen Normen.

Es gibt einen Vektorübergang, der in der physischen, Cloud- und Anwendungsumgebung stattfindet. Dieser Übergang ist sehr dynamisch und heterogen. In Zukunft werden wir wahrscheinlich über eine hybride Konnektivität verfügen. 

Sicherheit und Hybrid Cloud

Ein Schwerpunkt der hybriden Konnektivität liegt auf Interaktionen. Es ist üblich, dass große Unternehmen von allem ein bisschen haben. Es wird Anwendungen in der Cloud, vor Ort, in Microservices und in Monolithen geben. Alle diese Einheiten leben und arbeiten in Silos.

Man braucht eine gute Abdeckung jeder Interaktion zwischen Komponenten innerhalb verschiedener Architekturen. Für eine effektive Sicherheit sollte man während der Interaktionen auf unerwartete Verhaltensweisen achten. Wenn diese Abdeckung übersehen wird, ist die Tür für Kompromisse offen, da diese Komponenten mit anderen kommunizieren. Sicherheit wird das schwächste Glied sein.

Der traditionelle Netzwerkansatz

Der traditionelle Netzwerkansatz ist jedem bekannt und so wird der Großteil der Sicherheit heute implementiert. Es ist auch die am wenigsten flexible Architektur, da die Sicherheit an eine IP-Adresse, ein VLAN oder ein herkömmliches 5-Tupel gebunden ist. Der traditionelle Ansatz ist ein ineffektiver Weg, um Sicherheitsrichtlinien festzulegen.

Außerdem ist die Vernetzung herstellerspezifisch. Wie Sie eine ACL oder ein VLAN implementieren, führt zu unterschiedlichen Konfigurationen pro Anbieter. In einigen Fällen bestehen auch Unterschiede innerhalb desselben Anbieters. Einige haben sich zu Chef oder Puppet entwickelt, aber die meisten Anbieter verwenden immer noch CLI, die manuell und fehleranfällig ist.

Der Hypervisor

Für die Anwendung gibt es eine Angriffsfläche, die alles auf dem Hypervisor umfasst. Es ist sehr umfangreich, wenn man bedenkt, wie viele VMs auf einem Hypervisor platziert werden können. Je mehr VMs vorhanden sind, desto größer ist der Explosionsradius.

Daher besteht die Möglichkeit eines VM-Escape, bei dem der Kompromiss einer VM dazu führen kann, dass ein schlechter Akteur auf alle anderen VMs auf diesem Hypervisor zugreift. Im Wesentlichen kann ein Hypervisor versehentlich die Angriffsfläche vergrößern.

Hostbasierte Firewalls

In jüngster Zeit haben hostbasierte Firewalls die Sicherheit verbessert, indem sie den Zugriff auf unerwünschten eingehenden Datenverkehr über die Portnummer verhindert haben. Folglich befinden sich die Angriffsfläche und die Steuerung jetzt unten auf der Workload-Ebene. Wir stehen jedoch immer noch vor dem Problem, dass die Richtlinie verteilt ausgeführt wird.

Die oben beschriebenen Tools beschreiben eine Vielzahl von Sicherheitsansätzen, die heute weit verbreitet sind. Dies sind alles notwendige Lösungen, die Sie von einem groben zu einem feinkörnigen Sicherheitsmodell führen. Die Umstellung auf Hybrid und Cloud-native erfordert jedoch einen noch detaillierteren Ansatz, der als Zero Trust bezeichnet wird.

Die nächste Evolutionsphase

Wir kommen gerade zu einer Phase, in der die Lösungen für virtualisierte Umgebungen, die auf VMs in der öffentlichen und privaten Cloud basieren, zu reifen beginnen. Wenn wir diese Phase erreichen, beginnen wir bereits, die nächste Entwicklung mitzuerleben.

Der nächste Schritt in der Entwicklung der von DevOps geführten Umgebungen basiert auf Containern und Orchestrierungsframeworks. Dies bringt eine weitere Größenordnung in die Komplexität der Umgebung in Bezug auf Computer und Vernetzung.

Die vorhandenen virtualisierten Umgebungen, die auf VMs basieren, können die Komplexität der containerisierten Umgebungen nicht bewältigen. Also, was ist der richtige Weg nach vorne??

Netzwerk- und Anwendungsunabhängigkeit

Das Sicherheits- und Compliance-Framework muss unabhängig vom Netzwerk sein. In gewisser Weise sollten sie wie zwei Schiffe funktionieren, die in der Nacht vorbeifahren. Außerdem sollten sie identitätsbasiert sein.

Der Hauptvorteil einer identitätsbasierten Lösung besteht darin, dass Sie Einblick in die Service-to-Service-Kommunikation erhalten, die zu den Bausteinen für die Authentifizierung und Zugriffskontrolle wird.

Einheitliche Sicherheitsrichtlinien und adaptive Skalierung

Sie müssen in der Lage sein, eine Vielzahl möglicher Kombinationen abzudecken. Es geht nicht nur darum, verschiedene Arten von Infrastrukturen abzudecken, sondern Sie müssen auch die Interaktionen zwischen ihnen abdecken, die in sehr komplexen Umgebungen implementiert werden können.

In der modernen Welt verfügen wir über Orchestrierungs-, Container-, kurzlebige und dynamische Services, die die Funktionalität ändern und skalieren können. Daher sollte die Sicherheitslösung an die zugrunde liegenden Dienste angepasst werden können, unabhängig davon, ob sie skaliert oder weiterentwickelt wird.

Daten in Bewegung automatisch verschlüsseln (mTLS)

Da unsere Anwendungen sowohl Hybrid- als auch Multi-Cloud-Bereitstellungsmodelle umfassen, wird die Verschlüsselung mit PKI-Systemen (Public Key Infrastructure) und der Verwaltung von Token kompliziert.

Wenn Sie eine Lösung haben, die die Anwendungs-, physischen und Cloud-Umgebungen erweitert, haben Sie einen elastischen und umfassenden Ansatz. Auf diese Weise können Sie bewegte Daten verschlüsseln, ohne komplexe PKI-Systeme verwalten zu müssen.

Null Vertrauen

Jeder Benutzer, Mikroservice, Port oder API kann Schwachstellen verursachen. Dies bringt uns zurück zu null Vertrauen - "niemals vertrauen, immer verifizieren". Die Idee, den Perimeter zu verschieben, um die internen Assets zu schützen, ist ein Mandat für das Zero Trust-Sicherheitsmodell. Die Anzahl der Perimeter nimmt zu, wird detaillierter und näher an der Arbeitsbelastung. Identität wird der neue Umfang sein.

Alle Assets, die Sie schützen mussten, als Sie sich ausschließlich auf Outbound-Services konzentrierten, sind jedoch in Bezug auf die Größe komplexer, wenn Sie jetzt die internen Assets schützen müssen. Die aktuellen Lösungen lassen sich einfach nicht skalieren, um dieses Niveau zu erreichen. Wir haben eine Größenordnung, die größer ist als die Umwelt, die Sie schützen müssen.

Daher ist eine Lösung erforderlich, die von Grund auf so skalierbar ist wie das Rechenzentrum und die Rechenumgebung. Während der Übergangszeit wird das Null-Vertrauen noch wichtiger, da mehr Dienste zwischen Diensten und Workloads in verschiedenen Umgebungen miteinander gesprochen werden. Außerdem kann das Medium zwischen den Umgebungen ein unterschiedliches Vertrauensniveau aufweisen.

Daher ist die Entscheidung für den Zero-Trust-Ansatz ein entscheidendes Element, um während der Übergangsphase eine effektive Sicherheitslage aufrechtzuerhalten. Wenn Sie Ihrem Perimeter nicht vertrauen, können Sie nur die gesamte Kommunikation zwischen den Diensten verschlüsseln.

Zusammenfassung der Beispiellösung

Im Idealfall muss die Lösung eine einzigartige Sicherheitsplattform auf Anwendungsebene bieten. Eine Layer 7-Lösung ermöglicht es den Administratoren, das „Wer“ und das „Wann“ zu verstehen. Außerdem hilft es, herauszufinden, welche Dienste verwendet werden, während die Funktionen auf Anwendungsebene NLP nutzen.

Ein unabhängiges Netzwerk und eine anwendungsorientierte Sicherheitslösung sind das Basiswertversprechen. Es deckt eine Vielzahl von virtuellen und Netzwerkumgebungen ab, wobei der Schwerpunkt auf dem Übergang zu Cloud-Native mit einem Zero-Trust-Ansatz liegt.

Workload-zentriert und nicht netzwerkzentriert macht die Lösung stabiler, lesbarer und verwaltbarer. Es dämpft die Verwendung von Automatisierung, um die Richtlinie mit den geringsten Berechtigungen aus der beobachteten Aktivität abzuleiten.

Dies bietet einen umfassenden Ansatz für Visualisierung, Aktivität, Richtlinien und die Unterschiede zwischen ihnen. Workload-zentrierte Richtlinien warnen, wenn eine Aktivität gegen die Richtlinie verstößt und die Richtlinie angesichts der beobachteten Aktivität möglicherweise zu locker ist. Richtlinien sollten mit logischen Attributen und nicht mit physischen Attributen festgelegt werden.

Die Sicherheitsplattform stellt sicher, dass Sie genau wissen, was passiert, während Sie den Übergang von Legacy- zu Cloud-nativen Anwendungsumgebungen durchlaufen. Es stellt erfolgreich fest und füllt die Lücke für eine sichere und reibungslose Migration.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.