Cloud Security

Palo Alto Networks rät zur Kombination von Zero Trust und Mikrosegmentierung

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Palo Alto Networks rät zur Kombination von Zero Trust und Mikrosegmentierung

Cloud-Infrastrukturen sicher strukturieren

Viele der jüngsten Cyberattacken haben konzeptionelle Schwächen von Cloud-Infrastrukturen ausgenutzt. Palo Alto Networks rät daher zu einer Kombination von Zero Trust und Mikrosegmentierung, um Angreifern deutlich weniger Spielraum zu geben.

Zero Trust hat sich zu einer weit verbreiteten Cyber Security-Strategie entwickelt. Unternehmen lernen, unter der Annahme zu arbeiten, dass keinem Benutzer, Endpunkt, Workload, keiner Anwendung und keinem Inhalt in ihren Netzwerken vertraut werden kann, unabhängig davon, was zuvor geprüft wurde oder was später geprüft wird. Mit anderen Worten: Jedes Gerät, jede Anwendung und jeder Microservice muss für seine eigene Sicherheit verantwortlich sein.

Es gibt jedoch eine Lernkurve, um zu verstehen, wie man dieses Prinzip in der gesamten Infrastruktur anwenden kann. Im Fall von Cloud-nativen Technologien sehen Infrastruktur und Entwicklungsprozesse oft anders aus als in traditionellen Umgebungen. Die Art und Weise, wie Zero Trust angewendet wird, muss sich ebenfalls ändern. In sich ständig verändernden Cloud-Umgebungen ist die Zero-Trust-Mikrosegmentierung eine Technik, die helfen kann, Cloud Security-Richtlinien durchzusetzen, die Best Practices folgen.

Entwickler und DevOps-Teams nutzen weiterhin Cloud-native Technologien wie Microservices und Container, um die Entwicklung zu skalieren und Releases zu beschleunigen, und Multi-Cloud-Architekturen zur Optimierung der Effizienz. Genau diese Kernkomponenten der Cloud-nativen Entwicklung führen jedoch zu grundlegenden Veränderungen in der Art und Weise, wie Netzwerksicherheitsrichtlinien in der Cloud verwaltet werden. Zero Trust-Mikrosegmentierung kann helfen, Probleme zu lösen, bei denen sich Umgebungen ständig ändern und die IP-Adressen, die traditionell für die Verwaltung und Definition von Sicherheitsrichtlinien verwendet wurden, nicht mehr ausreichen.

Warum Cloud-Sicherheitsrichtlinien nicht auf IP-Adressen basieren können

Die native Entwicklung in der Cloud kann eine Herausforderung für herkömmliche Unternehmensrichtlinien darstellen, was zum Teil an der Art der ständigen Veränderungen innerhalb der Umgebungen liegt. Cloud-Workloads bewegen sich über Standorte hinweg, und Instanzen innerhalb einer Anwendung können dynamisch skaliert werden, da die Anforderungen schwanken. Container kommen und gehen innerhalb von Sekunden, was die Validierung zu einem ernsthaften Problem macht.

In diesen Umgebungen kann IP-basierte Sicherheit, an die viele Unternehmen gewöhnt sind, schnell unkontrollierbar werden. Hybrid- und Multi-Cloud-Umgebungen führen zu wechselnden IP-Domains, da containerisierte Workloads innerhalb einer Stunde repliziert, neu geplant und neu gehostet werden können. Microservices werden über APIs bereitgestellt, die über HTTP/gRPC zugänglich sind, wodurch die IP-Adresse irrelevant wird. Um eine End-to-End-Transparenz zu erreichen, müssten Administratoren IP-Ströme über die Vielzahl von Umgebungen hinweg zusammenfügen, was bei der Skalierung unpraktikabel wird.

Da IP-Adressen nicht mehr so beständig sind wie früher, kann man sich nicht auf sie verlassen, um Workloads in der Cloud genau zu identifizieren. Dadurch werden sie nach Meinung von Palo Alto Networks für Sicherheitsrichtlinien, die den Best Practices von Zero Trust folgen, unbrauchbar.

Identitätsbasierte Mikrosegmentierung

Eine identitätsbasierte Mikrosegmentierung gibt Anwendern die Möglichkeit, Sicherheitsrichtlinien auf eine starke, maschinengenerierte Identität für einzelne Workloads zu stützen, anstatt auf allgemeine IP-Adressen. Dadurch ist es möglich, einen Workload zu verfolgen, während er sich durch die Umgebung bewegt, selbst wenn sich IP-Adressen und andere traditionelle Identifikatoren ändern. Die Risikostruktur der Entwicklung verbessert sich, während gleichzeitig die Anforderungen dynamischer nativer Cloud-Umgebungen erfüllt werden.

Sobald Workload-Identitäten zugewiesen sind, kann eine moderne Sicherheitslösung automatisch das Kommunikationsverhalten von Anwendungen innerhalb und zwischen den Clouds erkennen und erlernen. Diese Flüsse lassen sich dann in Echtzeit mithilfe einer visualisierten Karte des Netzwerks überwachen, wie Palo Alto Networks erklärt.

Benutzer sollten außerdem Richtlinien festlegen, um Verbindungsanfragen unter den generierten Identitäten zu authentifizieren und zu autorisieren, und sie können unbekannte Anfragen automatisch ablehnen. Compliance-Teams können Richtlinien erstellen, um Systeme zu isolieren, die bestimmten Vorschriften unterliegen.

Mikrosegmentierung für Zero Trust

Mikrosegmentierung bietet Unternehmen eine Möglichkeit, Best Practices für Zero Trust zur Entwicklung nativer Cloud-Anwendungen zu implementieren. Eine vertrauenswürdige Identität steht für die Durchsetzung von Sicherheitsrichtlinien bereit und ermöglicht gleichzeitig die nahtlose Nutzung von Technologien wie Containern und Microservices.