Nano-SegmentierungSM: Worum geht es bei der ganzen Aufregung?
Auf der RSA-Konferenz letzte Woche stellte Illumio die Nanosegmentierung vor, unsere neueste Innovation zur Sicherung mehrstufiger Anwendungen, die in Rechenzentren und Clouds ausgeführt werden. Die Illumio Adaptive Security Platform (ASP)TM erweitert jetzt die Anwendungssegmentierung von der Granularität einzelner Workloads auf Prozesse, die innerhalb der Workloads ausgeführt werden.
RSA-Teilnehmer, die sich die Illumio Theatervorträge anschauten, erkannten die Möglichkeiten der Nanosegmentierung, mit der Unternehmen das Risiko von Bedrohungen drastisch reduzieren und den „Explosionsradius“ von Angriffen einschränken können. Wir haben gezeigt, wie durch Nanosegmentierung ein kompromittierter Server mithilfe einer einfachen Drag-and-Drop-Operation unter Quarantäne gestellt werden kann — ein Novum in der Branche. Segmentierung des Rechenzentrums in separate Anwendungen (Entwicklung, Test, Produktion usw.) oder um Anwendungen zu isolieren (z. B. für PCI Compliance) ist erforderlich, um die Sicherheit dynamischer Computerumgebungen zu gewährleisten, die über Rechenzentren und Clouds verteilt sind. Aber nicht jede Segmentierung ist gleich. Lassen Sie mich das erklären.
Nicht jede Segmentierung ist gleich.
Die meisten von uns kennen den Begriff „Mikrosegmentierung“, der vor einigen Jahren von SDN-Anbietern eingeführt wurde. Die Mikrosegmentierung wurde als Möglichkeit für Unternehmen beworben, Anwendungen zu isolieren, die in virtuellen Umgebungen ausgeführt werden. Aktuelle Lösungen für die Mikrosegmentierung sind jedoch mit einer Reihe von Bedingungen verbunden: Sie sind entweder an den Hypervisor, Netzwerkkonstrukte (VLANs, Subnetze, Sicherheitszonen usw.) oder andere Hardware (Switches, Router usw.) gebunden. Die meisten Lösungen befassen sich nicht mit der Segmentierung von Anwendungen in der Cloud oder von Anwendungen, die Bare-Metal-Server beinhalten. Das Ziel der Sicherheit durch Anwendungssegmentierung ist gut gemeint, aber bestehende Lösungen reichen nicht aus.
Geben Sie die Nanosegmentierung ein
Der erste Schritt, um eine möglichst detaillierte Segmentierung für Rechenzentrumsanwendungen zu erreichen, besteht darin, die Angriffsfläche auf einzelne Recheneinheiten (beliebige virtuelle Maschinen oder Bare-Metal-Server) in Rechenzentren und Clouds zu reduzieren. Illumio ASP tut dies, indem es für jeden einzelnen Workload dynamisch präzise eingehende und ausgehende Sicherheitsregeln programmiert. Auf diese Weise kann die Plattform einen adaptiven Perimeter um jede Recheninstanz (in jedem Rechenzentrum oder jeder Cloud) erstellen, sodass effektiv ein Segment aus einer Instanz entsteht. In Kombination mit dem Illumio ASP dynamisches Richtlinienmodell auf der Whitelist, ermöglicht es Administratoren, zulässige Workload-Interaktionen für Anwendungen vollständig zu spezifizieren, ohne vom Netzwerk abhängig zu sein. Mit dem letzte Produkteinführung, ging Illumio noch einen Schritt weiter und ermöglichte die Segmentierung mehrerer Anwendungen bis hin zu Prozessen auf einem einzigen Host. Beispielsweise könnten zwei Instanzen des Apache-Prozesses auf einem einzigen Workload auf zwei verschiedene Anwendungen aufgeteilt werden.
Was ist mit dem Namen?
Haben wir uns mit einem Namen wie Nanosegmentierung ein wenig Marketing-Überhebungen hingegeben? Weit gefehlt — es ist gewollt und wird durch Beweise gestützt. Die Nanosegmentierung ermöglicht es Unternehmen, wie der Name schon sagt, Anwendungen so detailliert wie möglich zu segmentieren. Wir wollten, dass Unternehmen wissen, dass es eine Möglichkeit gibt, „alles auf einmal zu haben“ — sie können Anwendungen über Rechenzentren und Clouds hinweg segmentieren und gleichzeitig die Sicherheit aufrechterhalten. Noch wichtiger ist, dass die Funktion dafür sorgt, dass die Anwendungssegmentierung in jeder Computerumgebung gleichermaßen effektiv ist.
Und noch etwas: Der Begriff „Nano“ verleiht dem Illumino-Grundsatz der netzwerkunabhängigen Sicherheit Glaubwürdigkeit. Es ist eine Abkürzung für „Never Again Network-Oriented“.