Zero trust De overgang van legacy naar cloud-native

Ondernemingen die in de traditionele monolithische omgeving opereren, kunnen strikte organisatiestructuren hebben. Als gevolg hiervan kan de vereiste van beveiliging hen ervan weerhouden over te stappen naar een hybride of cloud-native applicatie-implementatiemodel.

Ondanks de voor de hand liggende problemen, willen de meeste bedrijven profiteren van cloud-native mogelijkheden. Tegenwoordig overwegen of evalueren de meeste entiteiten cloud-native om de ervaring van hun klanten te verbeteren. In sommige gevallen is het de mogelijkheid om rijkere klantmarktanalyses te maken of om operationele uitmuntendheid te bieden.

Cloud-native is een belangrijke strategische agenda waarmee klanten kunnen profiteren van veel nieuwe mogelijkheden en frameworks. Het stelt organisaties in staat om in de toekomst te bouwen en te evolueren om een ​​voorsprong op hun concurrenten te krijgen.

Toepassingen evolueren

Laten we eerlijk zijn! Applicaties evolueren erg snel. Traditionele applicaties worden nu aangevuld met extra cloud-native mogelijkheden. We hebben traditionele applicaties die werken met de nieuwe gecontaineriseerde modulaire front-end- of back-endservices.

De kernapplicatie is nog steeds een drieledige monoliet, maar de cloud-native services zijn vastgeschroefd om gegevens terug te sturen naar de kernapplicatie van het privédatacenter.

Overgangsdoelen

Idealiter hebben bedrijven een beveiligingsstandpunt waar ze blij mee zijn. Ze hebben firewalls, IDS / IPS, WAF's en segmentatie: benaderingen die perfect werken.

Terwijl we beginnen aan cloud-native services, moeten we nog een beveiligingslaag toevoegen. Ondernemingen moeten ervoor zorgen dat ze gelijke of betere beveiligingsmogelijkheden hebben dan voorheen.

Dit creëert een leemte die moet worden opgevuld. Transitie omvat de mogelijkheid om de dekking, zichtbaarheid en controle in traditionele omgevingen te behouden, terwijl u profiteert van cloud-native services. Alles gedaan met een nul-beveiligingsbeveiligingsstandaard van standaard weigeren.

De complexe omgeving

Objectief gezien zijn er binnen de traditionele omgevingen verschillende datacenterarchitecturen die werken in openbare, particuliere, hybride en multi-cloud-implementatiemodellen. Formeel was het gewoon privé en openbaar, maar nu zijn hybride en multi-cloud de conventionele normen.

Er vindt een vectortransitie plaats in de fysieke, cloud- en applicatie-omgeving. Deze overgang is zeer dynamisch en heterogeen. In de toekomst zullen we waarschijnlijk hybride connectiviteit hebben. 

Beveiliging en hybride cloud

Een van de belangrijkste aandachtspunten van hybride connectiviteit is op interacties. Het is gebruikelijk dat grote ondernemingen van alles een beetje hebben. Er zullen applicaties zijn in de cloud, on-premise, microservices en monolieten. Al deze entiteiten leven en opereren in silo's.

Men moet een goede dekking hebben van elke interactie tussen componenten binnen verschillende architecturen. Voor effectieve beveiliging moet men tijdens de interacties op onverwacht gedrag letten. Als deze dekking over het hoofd wordt gezien, staat de deur open voor compromissen omdat deze componenten met andere communiceren. Beveiliging is de zwakste schakel.

De traditionele netwerkbenadering

Iedereen kent de traditionele netwerkbenadering en het is hoe de meeste beveiliging tegenwoordig wordt geïmplementeerd. Het is ook de minst flexibele architectuur, omdat beveiliging is gekoppeld aan een IP-adres, VLAN of traditionele 5-tuple. De traditionele aanpak is een ineffectieve manier om een ​​beveiligingsbeleid vast te stellen.

Bovendien is netwerken leverancierspecifiek. Hoe u een ACL of VLAN implementeert, zal per leverancier verschillende configuraties opleveren en in sommige gevallen zijn er ook verschillen binnen dezelfde leverancier. Sommige zijn geëvolueerd tot Chef of Puppet, maar de meeste leveranciers doen nog steeds CLI, wat handmatig en foutgevoelig is.

De hypervisor

Voor de applicatie is er een aanvalsoppervlak dat alles op de hypervisor omvat. Het is erg uitgebreid als je bedenkt hoeveel VM's er op een hypervisor geplaatst kunnen worden. Hoe meer VM's, hoe groter de straal.

Daarom is er de mogelijkheid van VM-ontsnapping, waarbij het compromis van één VM ertoe kan leiden dat een slechte acteur toegang krijgt tot alle andere VM's op die hypervisor. In wezen kan een hypervisor het aanvalsoppervlak per ongeluk vergroten.

Host-gebaseerde firewalls

In de afgelopen tijd hebben hostgebaseerde firewalls enkele verbeteringen aangebracht in de beveiliging door toegang tot ongewenst inkomend verkeer via het poortnummer te voorkomen. Bijgevolg bevinden het aanvalsoppervlak en de besturing zich nu op het niveau van de werkbelasting. We hebben echter nog steeds het probleem dat het beleid op een gedistribueerde manier wordt uitgevoerd.

De hierboven geschetste tools beschrijven verschillende beveiligingsbenaderingen, die tegenwoordig allemaal op grote schaal worden geïmplementeerd. Het zijn allemaal noodzakelijke oplossingen die u van een grof naar een fijnmazig beveiligingsmodel brengen. De overstap naar hybride en cloud-native vereist echter een nog fijnere aanpak, die nul vertrouwen wordt genoemd.

De volgende evolutionaire fase

We komen net in een fase waarin de oplossingen voor gevirtualiseerde omgevingen op basis van VM's in de publieke en private cloud beginnen te rijpen. Daarom, nu we deze fase bereiken, beginnen we al de volgende evolutie te zien.

De volgende stap in de evolutie van de door DevOps geleide omgevingen is gebaseerd op containers en orkestratiekaders. Dit brengt een andere orde van grootte aan de complexiteit van de omgeving op het gebied van computers en netwerken.

De bestaande gevirtualiseerde omgevingen op basis van VM's kunnen de complexiteit van de containeromgevingen niet aan. Dus, wat is de juiste weg voorwaarts?

Netwerk- en applicatie-onafhankelijkheid

Het beveiligings- en nalevingskader moet onafhankelijk zijn van het netwerk. In zekere zin zouden ze moeten werken als twee schepen die 's nachts passeren. Bovendien moeten ze op identiteit zijn gebaseerd.

Het belangrijkste voordeel van een op identiteit gebaseerde oplossing is dat u inzicht krijgt in service-naar-service communicatie, die de bouwstenen worden voor authenticatie en toegangscontrole.

Uniform beveiligingsbeleid en adaptief schalen

Je hebt de mogelijkheid nodig om een ​​breed scala aan mogelijke combinaties te dekken. Het gaat niet alleen om het afdekken van verschillende soorten infrastructuren, u moet ook de interacties daartussen dekken, die kunnen worden geïmplementeerd in zeer complexe omgevingen.

In de moderne wereld hebben we orkestratie, containers, kortstondige en dynamische services die de functionaliteit veranderen met de mogelijkheid om op en af ​​te schalen. Daarom moet de beveiligingsoplossing zich aanpassen aan de onderliggende services, of deze nu schaalbaar is of evolueert.

Gegevens automatisch in beweging coderen (mTLS)

Aangezien onze applicaties zowel hybride als multi-cloud-implementatiemodellen omvatten, wordt encryptie gecompliceerd met openbare-sleutelinfrastructuur (PKI) -systemen en het beheer van tokens.

Als u een oplossing heeft die de applicatie-, fysieke en cloudomgevingen uitbreidt, heeft u een elastische en alomvattende aanpak. Dit stelt u uiteindelijk in staat om bewegende gegevens te versleutelen zonder de overhead van het beheer van complexe PKI-systemen.

Zero Trust

Elke gebruiker, microservice, poort of API kan kwetsbaarheden introduceren. Dit brengt ons terug naar nul vertrouwen - "nooit vertrouwen, altijd verifiëren". Het idee om de perimeter te verplaatsen om de interne activa te beschermen, is een mandaat voor het zero trust-beveiligingsmodel. Perimeters zullen in aantal toenemen, korreliger worden en dichter bij de werklast komen. Identiteit wordt de nieuwe perimeter.

Echter, alle activa die u nodig had om te beschermen, toen u zich uitsluitend op uitgaande diensten concentreerde, zijn qua omvang complexer wanneer u nu de interne activa moet beschermen. De huidige oplossingen zullen eenvoudigweg niet schaalbaar zijn om aan dit niveau te voldoen. We hebben een orde van grootte die groter is dan de omgeving die u moet beschermen.

Daarom is het verplicht om een ​​oplossing te hebben die van de grond af is ontworpen en die net zo schaalbaar is als het datacenter en de computeromgeving. Zero trust wordt tijdens de overgangsperiode nog belangrijker omdat u meer overspraak hebt tussen services en workloads die in verschillende omgevingen worden ingezet. Ook kan het medium tussen de omgevingen een wisselend niveau van vertrouwen hebben.

Daarom is de beslissing om de zero trust-benadering te hanteren een cruciaal element om een ​​effectieve beveiliging te behouden tijdens de overgangsfase. Als u uw perimeter niet vertrouwt, is de enige manier om te beveiligen het versleutelen van alle communicatie tussen de services.

Samenvatting van de oplossing

Idealiter moet de oplossing een uniek beveiligingsplatform op applicatieniveau bieden. Een laag 7-oplossing stelt de beheerders in staat het 'wie' en het 'wanneer' te begrijpen. Bovendien helpt het om erachter te komen welke services worden gebruikt, terwijl de mogelijkheid op applicatieniveau NLP gebruikt.

Een onafhankelijk netwerk en een toepassingsgerichte beveiligingsoplossing is de basiswaardepropositie. Het bestrijkt een breed scala aan virtuele en netwerkomgevingen met een focus op de overgang naar cloud-native zonder een vertrouwensaanpak.

Workload centric, niet netwerkgericht, is wat de oplossing stabieler, leesbaarder en beter beheersbaar maakt. Het beperkt het gebruik van automatisering om het beleid van de minste privileges af te leiden uit de waargenomen activiteit.

Dit biedt een volledige benadering van visualisatie, activiteit, beleid en de verschillen daartussen. Workload-centric beleid waarschuwt wanneer een activiteit het beleid schendt en waar het beleid te los zou kunnen zijn gezien de waargenomen activiteit. Beleid moet worden ingesteld met logische kenmerken, niet met fysieke kenmerken.

Het beveiligingsplatform zorgt ervoor dat u precies weet wat er gebeurt, terwijl u de transitie ondergaat van legacy naar cloud-native applicatieomgevingen. Het stelt met succes vast en vult de kloof voor een veilige en soepele migratie.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.