Mikrosegmentierung mit Illumio ZTS
Kleinstnetzwerker
Je feiner man Netzwerke unterteilt, desto besser lassen sich die jeweiligen Workloads gegenüber Angriffen auf Nachbarsegmente isolieren – aber man muss das Ganze erst mal aufsetzen, den Überblick behalten und dynamisch reagieren können. Illumio bietet mit ZTS (Zero Trust Segmentation) eine Plattform für derlei Mikrosegmentierung. Laut Forrester ist der kalifornische Security-Spezialist neben Akamai einer der Marktführer in diesem Bereich. ZTS ermöglicht granulare Kontrolle über die Kommunikation zwischen Workloads und Geräten sowie die schnelle Isolation von Ressourcen im Angriffsfall.
„Das Alleinstellungsmerkmal von Illumio ist Zero-Trust-Segmentierung aus einem Guss“, betont Paul Bauer, Regional Sales Director bei Illumio. „Ob Data Center, Endpoint oder Cloud: Wir können alle Flows per Live-Map applikationsbezogen visualisieren.“ Durch das Logging von Metadaten und Kontextinformationen seien auch rückwirkende Darstellungen möglich, ebenso Testläufe für Was-wäre-wenn-Szenarien.
Illumio versucht, dem Anwenderunternehmen die Einrichtung der Mikrosegmentierung möglichst zu erleichtern. Applikationen erkennt die Software laut Bauer mittels Informationen aus der CMDB (Configuration Management Database), angereichert um IPAM-Daten (IP-Address-Management). Auch ein CSV-Import sei natürlich möglich.
Illumios Lösung basiert auf zwei Komponenten. Die erste nennt sich Virtual Enforcement Node, kurz VEN. „VEN ist ein nur 6 MByte großer Agent“, sagt Bauer. „Er ist nicht im Datenpfad, nicht invasiv, nicht im Kernel.“ Für Cloud-Services könne man auch die jeweilige API nutzen.
Die zweite Komponente dient dem Aufsetzen der Segmentierungsrichtlinien und heißt entsprechend Policy Compute Engine. Sie ist laut Bauer als On-Prem-Variante oder as a Service verfügbar, für europäische Kunden gehostet in Paris und in Frankfurt als Backup. Als Referenzkunden hierzulande nennt er die Frankfurter Volksbank.
Die Hauptproblem der Mikrosegmentierung liegt prinzipbedingt darin, bei all den möglichen Labels den Überblick zu nicht zu verlieren – sonst landet man schnell in Teufels Label-Küche. „Wir versuchen, die Kennzeichnung von Workloads auf vier bis fünf Labels zu beschränken“, erläutert Bauer, „zum Beispiel: erstens die Rolle – also Applikations-Server, Datenbank-Server etc. –, zweitens welcher Applikation die Workload zugeordnet ist, drittens Test- oder Produktionsumgebung, viertens Geografie.“ Theoretisch wäre laut dem Illumio-Mann eine unbegrenzte Zahl von Labels möglich. Dies würde den Betrieb aber eben teuflisch kompliziert machen.
Die Einrichtung der Lösung erstreckt sich über drei Phasen: Die erste Definition der erlaubten Kommunikationsbeziehungen ist laut Bauer die Aufgabe des Application Owners. Vorteilhaft dabei: Das Interface verstehe natürliche Sprache. Zweitens gibt der Application Owner dann seine Vorgaben an das Netzwerkteam weiter, das sie in der Folge testet, ob zum Beispiel ein Backup-Server vergessen wurde. Im dritten Schritt schaltet das Netzwerkteam dann die Durchsetzung der Richtlinien (Enforcement) frei. „Dabei kann man durch automatisches Auslesen auf historische Daten zugreifen und Konflikte erkennen“, sagt Bauer.
Ist die Lösung einmal eingerichtet, sorgen Landkartenansichten für den nötigen Überblick: „Das Ergebnis ist eine Live-Map, die sofort Sinn ergibt“, so Bauer, „mit Bubbles für die jeweilige IT-Umgebung. Hover oder Drill-down machen dabei die einzelnen Workloads und Applikationen sichtbar.“
Laut Bauer hebt sich Illumios Lösung durch mehrere Aspekte vom Wettbewerb ab: „Im Gegensatz zu einer Firewall ist unsere Lösung nicht perimeterorientiert“, sagt er. Denn der Perimeter gilt Security-Fachleuten in Hybrid-Cloud- und Hybrid-Work-Zeiten als längst überkommenes Konzept. „VLANs wiederum werden heute oft über mehrere Systeme gesponnen – da sind dann vielleicht 30 bis 40 Rechner in einem VLAN, feiner kann man aber nicht segmentieren“, so Bauer weiter. „Dies ginge zwar mit VMware NSX, aber eben nur innerhalb der VMware-Welt.“
Im Alltagsbetrieb sieht der Anwender laut dem Illumio-Mann per Drill-down die Kommunikation der Workloads, Risiken hebe die Software farblich hervor. Der Anwender könne Workloads isolieren, Ports öffnen oder schließen und die Kommunikation bis auf Prozessebene freischalten. „Dies lässt sich so filigran gestalten, wie es keine Firewall kann“, betont Bauer. Zugleich erhalte der Anwender Sichtbarkeit über die gesamte Infrastruktur.
Als weitere Vorteile nennt der Illumio-Manager die Skalierbarkeit und Hochverfügbarkeit der Software: „Unsere Lösung ist sehr effizient programmiert: Von einer Instanz aus lassen sich 200.000 Nodes versorgen. So kann man zum Beispiel ganz einfach unternehmensweit festlegen: Test- und Produktionsinstanz dürfen nie kommunizieren“, sagt er. „Hochverfügbarkeit ist bis hin zu Superclustern möglich.“ Kurz: Illumio zielt auf ein Höchstmaß an Sicherheit durch kleinste Segmente selbst in größten Netzen.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Illumios Enlighten Partner Program
Der Partner als strategischer Berater
Besseres Management der Azure Firewall
Microsoft und Illumio kooperieren
