Nul tillid Overgangen fra arv til cloud-native

Virksomheder, der opererer i det traditionelle monolitiske miljø, kan have strenge organisatoriske strukturer. Som et resultat kan kravet om sikkerhed forhindre dem i at skifte til en hybrid- eller cloud-native applikationsdistributionsmodel.

På trods af de åbenlyse vanskeligheder ønsker de fleste virksomheder at drage fordel af cloud-native kapaciteter. I dag overvejer eller vurderer de fleste enheder cloud-native for at forbedre deres kunders oplevelse. I nogle tilfælde er det evnen til at trække rigere kundemarkedsanalyser eller give operationel fremragende karakter.

Cloud-native er en vigtig strategisk agenda, der giver kunderne mulighed for at drage fordel af mange nye muligheder og rammer. Det giver organisationer mulighed for at opbygge og udvikle sig fremad for at få en fordel i forhold til deres konkurrenter.

Ansøgningerne udvikler sig

Lad os se det i øjnene! Ansøgninger udvikler sig meget hurtigt. Traditionelle applikationer suppleres nu med yderligere cloud-native funktioner. Vi har traditionelle applikationer, der opererer med de nye containeret modulære frontend- eller backend-tjenester.

Kerneapplikationen er stadig en 3-lags monolit, men de cloud-native tjenester er fastgjort for at sende data tilbage til det private datacenters kerneprogram.

Overgangsmål

Ideelt set vil virksomheder have en sikkerhedsstilling, som de er tilfredse med. De har firewalls, IDS / IPS, WAF'er og segmentering: tilgange, der fungerer perfekt.

Når vi går i gang med cloud-native services, er vi nødt til at tilføje et andet lag af sikkerhed. Virksomheder skal sikre, at de har lige eller bedre sikkerhedskapacitet end før.

Dette skaber et hul, der skal udfyldes. Overgang involverer evnen til at bevare dækningen, synligheden og kontrollen i traditionelle miljøer, mens du drager fordel af cloud-native tjenester. Alt gjort med en nulstillingssikkerhedsstilling af standardafvisning.

Det komplekse miljø

Objektivt inden for de traditionelle miljøer er der en række datacenterarkitekturer, der fungerer i offentlige, private, hybrid- og multi-cloud-implementeringsmodeller. Formelt var det bare privat og offentligt, men nu er hybrid og multi-sky de konventionelle normer.

Der er en vektorovergang, der forekommer på tværs af det fysiske, sky- og applikationsmiljø. Denne overgang er meget dynamisk og heterogen. I en fremtidig tid har vi sandsynligvis hybridkonnektivitet. 

Sikkerhed og hybrid sky

Et af hovedfokuserne for hybridforbindelse er på interaktioner. Det er almindeligt, at store virksomheder har lidt af det hele. Der vil være applikationer i skyen, på stedet, mikroservices og monolit. Alle disse enheder lever og opererer i siloer.

Man har brug for god dækning af enhver interaktion mellem komponenter inden for forskellige arkitekturer. For effektiv sikkerhed skal man overvåge for uventet opførsel under interaktionerne. Hvis denne dækning overses, er døren åben for kompromis, da disse komponenter kommunikerer med andre. Sikkerhed vil være det svageste led.

Den traditionelle netværksmetode

Den traditionelle netværksmetode er det, som alle kender, og det er sådan, at størstedelen af ​​sikkerheden implementeres i dag. Det er også den mindst fleksible arkitektur, da sikkerhed er knyttet til en IP-adresse, VLAN eller traditionel 5-tuple. Den traditionelle tilgang er en ineffektiv måde at fastlægge sikkerhedspolitik.

Desuden er netværk leverandørspecifik. Hvordan du implementerer en ACL eller VLAN, udgør forskellige konfigurationer pr. Leverandør, og i nogle tilfælde findes der også forskelle inden for den samme leverandør. Nogle har udviklet sig til Chef eller marionet, men flertallet af sælgere gør stadig CLI, som er manuel og fejlbenyttet.

Hypervisoren

Til applikationen er der en angrebsflade, der omfatter alt på hypervisoren. Det er meget omfattende, når du overvejer, hvor mange VM'er der kan placeres på en hypervisor. Jo mere VM'erne er, jo større er eksplosionsradiusen.

Derfor er der muligheden for VM-flugt, hvor kompromiset med en VM kan resultere i, at en dårlig aktør får adgang til alle andre VM'er på den pågældende hypervisor. I det væsentlige kan en hypervisor utilsigtet forstærke angrebets overflade.

Værtsbaserede firewalls

I nyere tid foretog værtsbaserede firewalls nogle forbedringer af sikkerheden ved at forhindre adgang til uønsket indgående trafik gennem portnummeret. Derfor er angrebets overflade og kontrol nu placeret nede på arbejdsbelastningsniveauet. Vi står dog stadig over for problemet med, at politikken gennemføres på en distribueret måde.

Ovennævnte værktøjer beskriver en række forskellige sikkerhedsmetoder, som alle er vidt implementeret i dag. De er alle nødvendige løsninger, der fører dig fra en grov til en finkornet sikkerhedsmodel. Overgangen til hybrid og cloud-native kræver dog en endnu mere finkornet tilgang, der kaldes nul tillid.

Den næste udviklingsfase

Vi ankommer lige til en fase, hvor løsningen til virtualiserede miljøer, der er baseret på VM's i de offentlige og private skyer, begynder at modne. Når vi når denne fase, begynder vi allerede at være vidne til den næste udvikling.

Det næste trin i udviklingen af ​​DevOps-ledede miljøer er baseret på containere og orkestreringsrammer. Dette bringer en anden størrelsesorden til miljøets kompleksitet med hensyn til computing og netværk.

De eksisterende virtualiserede miljøer baseret på VM'er vil ikke være i stand til at håndtere den kompleksitet, som de containeriserede miljøer præsenterer. Så hvad er den rigtige vej frem?

Netværk og applikationsuafhængighed

Sikkerheds- og overholdelsesrammen skal være uafhængig af netværket. På en måde skal de operere som to skibe, der passerer om natten. Desuden skal de være identitetsbaserede.

Den vigtigste fordel ved en identitetsbaseret løsning er, at du får synlighed i service-til-service-kommunikation, der bliver byggestenene til godkendelse og adgangskontrol.

Ensartede sikkerhedspolitikker og adaptiv skalering

Du har brug for muligheden for at dække en lang række mulige kombinationer. Det handler ikke kun om at dække forskellige slags infrastrukturer, du skal også dække interaktioner mellem dem, som kan implementeres i meget komplekse miljøer.

I den moderne verden har vi orkestrering, containere, flygtige og dynamiske tjenester, der skifter funktionalitet med kapacitet til at skalere og skalere ned. Derfor bør sikkerhedsløsningen være tilpasningsdygtig med de underliggende tjenester, hvad enten det er skalering eller udvikling.

Krypter automatisk data i bevægelse (mTLS)

Da vores applikationer spænder over både hybrid- og multi-cloud-implementeringsmodeller, bliver kryptering kompliceret med PKI-systemer med offentlig nøgle og styring af tokens.

Hvis du har en løsning, der udvider applikations-, fysiske og skymiljøer, har du en elastisk og gennemgribende tilgang. Til sidst giver dette dig mulighed for at kryptere data i bevægelse uden omkostningen til at styre komplekse PKI-systemer.

Nul tillid

Enhver bruger, mikroservice, port eller API kan introducere sårbarheder. Dette bringer os tilbage til nul tillid - ”aldrig tillid, altid bekræft”. Ideen om at flytte omkredsen for at beskytte de interne aktiver er et mandat for nulstillingssikkerhedsmodellen. Perimetre stiger i antal og bliver mere kornede og tættere på arbejdsbyrden. Identitet vil være den nye omkreds.

Alle de aktiver, du har brug for at beskytte, når du kun fokuserede på udgående tjenester, er imidlertid mere komplekse med hensyn til størrelsesorden, når du nu skal beskytte de interne aktiver. De nuværende løsninger vil simpelthen ikke skaleres for at tilfredsstille dette niveau. Vi har en størrelsesorden, der er større i skala end det miljø, du har brug for at beskytte.

Derfor er det obligatorisk at have en løsning på plads, der er designet grundlæggende, for at være lige så skalerbar som datacenteret og det computermiljø. Nul tillid bliver endnu vigtigere i overgangsperioden, fordi du har mere tværgående snak mellem tjenester og arbejdsmængder, der er implementeret i forskellige miljøer. Mediet mellem miljøerne kan også have et varierende tillidsniveau.

Derfor er beslutningen om at anvende nul-tillidsstrategien et kritisk element for at opretholde en effektiv sikkerhedsstilling under overgangsfasen. Hvis du ikke har tillid til din omkreds, er den eneste måde at sikre dig ved at kryptere al kommunikation mellem tjenesterne.

Sammendrag af prøveopløsningen

Ideelt set skal løsningen tilbyde en unik sikkerhedsplatform på applikationsniveau. En lag 7-løsning gør det muligt for administratorerne at forstå "hvem" og "hvornår". Desuden hjælper det med at finde ud af, hvilke tjenester der bruges, samtidig med at applikationsniveauets kapacitet udnytter NLP.

Et netværk, der er uafhængigt og en applikationscentrisk sikkerhedsløsning er forslaget til basisværdi. Det dækker en bred vifte af virtuelle miljøer og netværksmiljøer med fokus på overgangen til cloud-native med en nulstillet tilgang.

Arbejdsbyrde centreret, ikke netværkscentrisk, er det, der gør løsningen mere stabil, læsbar og håndterbar. Det dæmper brugen af ​​automatisering for at udlede den mindst privilegerede politik fra den observerede aktivitet.

Dette giver en fuld cirkel tilgang til visualisering, aktivitet, politik og forskellene mellem dem. Arbejdsbyrde centreret politik advarer, når en aktivitet overtræder politikken, og hvor politikken måske er for løs i betragtning af den observerede aktivitet. Politik skal indstilles ved hjælp af logiske attributter, ikke fysiske attributter.

Sikkerhedsplatformen sikrer, at du ved nøjagtigt, hvad der sker, mens du gennemgår overgangen fra ældre til cloud-native applikationsmiljøer. Det konstateres med succes og udfylder kløften for en sikker og jævn migration.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.