Machen Sie Sicherheit einfach: Optimieren Sie Richtlinien in Unified SASE

Das Gleichgewicht zwischen Konfiguration und Kontrolle ist entscheidend für die Reduzierung von Sicherheitsrisiken und Verwaltungskomplexität

Der Secure Access Service Edge (SASE)-Dienst umfasst zusammen mit der zugehörigen Architektur eine leistungsstarke Kombination mehrerer Sicherheitskomponenten. Dazu gehören eine Stateful-Inspection-Firewall, ein Intrusion Detection and ein Prevention System (IDPS), DNS Sicherheit, DoS/DDoS-Schutz, Secure Web Gateway (SWG), Zero Trust Network Architecture (ZTNA), ein Cloud Zugriffssicherheitsbroker (CASB), und viele mehr. Diese Komponenten geben Administratoren die Möglichkeit, sie über Richtlinien zu konfigurieren, und bieten einen robusten Schutzschild, um die Vermögenswerte einer Organisation vor Bedrohungen zu schützen und gleichzeitig bestimmte Zugriffsanforderungen einzuhalten.

Die Rolle der Richtlinienkonfiguration

Die Richtlinienkonfiguration spielt eine Rolle bei der Durchsetzung der Sicherheit innerhalb des SASE Rahmens. Die Auswirkungen schlecht konfigurierter Richtlinien können von Ressourcenbedrohungen und Datenlecks bis hin zu unbeabsichtigtem, übermäßig freizügigem Zugriff reichen. In der heutigen Branchenlandschaft kämpfen Unternehmen mit zwei vorherrschenden Ansätzen für die Verwaltung von Sicherheitsrichtlinien:

1. Der Single-Table-Ansatz: Eine konsolidierte Richtlinientabelle mit einer Vielzahl von Richtlinien, die das Bedrohungsmanagement und verschiedene Zugriffskontrollszenarien umfassen SASE Komponenten.
2. Der Multi-Table-Ansatz: Mehrere Richtlinientabellen, die sich jeweils mit spezifischen Aspekten wie Bedrohungsschutz, Zugriffskontrolle, verschiedenen Anwendungen und Benutzergruppen befassen.

Ein Gleichgewicht im Richtlinienmanagement finden

Die Erwartung von SASE ist klar: Es sollte leicht verwaltbare Sicherheitsrichtlinien und vereinfachte Fehlerbehebungsverfahren bieten. Um dies zu erreichen, ist ein ausgewogener Ansatz erforderlich. Eine wirksame Strategie zur Reduzierung der Richtlinienkomplexität basierend auf den Anforderungen des Unternehmens. Größere Organisationen erfordern möglicherweise eine Unterteilung mit einem Multi-Table-Ansatz, bei dem die Granularität der Richtlinientabelle auf der Grundlage von Sicherheitsfunktionen, Anwendungsressourcen und Betreff (Benutzer/Gruppen) definiert wird. Kleinere Organisationen bevorzugen möglicherweise eine Unterteilung mit einer geringeren Anzahl von Richtlinientabellen, die mehrere Arten von Zugriffskontrollen kombinieren oder sogar Bedrohungsschutz mit Zugriffskontrolle kombinieren. Dieser flexible Ansatz minimiert die Anzahl der Richtlinien, die eine gleichzeitige Verwaltung erfordern, und macht sie leichter verwaltbar.

Es ist jedoch wichtig, Vorsicht walten zu lassen, um eine übermäßige Unterteilung zu vermeiden, die eigene Herausforderungen mit sich bringen kann. Administratoren müssen möglicherweise durch mehrere Richtlinientabellen navigieren, um Probleme zu identifizieren und zu beheben, was möglicherweise zu Verzögerungen bei der Lösung führt.

Die wichtigsten Anforderungen verstehen

Bevor wir uns eingehender mit den Feinheiten des Richtlinienmanagements befassen, ist es wichtig, die spezifischen Anforderungen zu verstehen, die Unternehmen innerhalb des Richtlinienmanagements berücksichtigen müssen bezüglich des SASE-Rahmens. Zu den Schlüsselbereichen gehören:

Bedarf an rollenbasiertem Sicherheitskonfigurationsmanagement in SASE Environments

Secure Access Service Edge (SASE) Die Komponenten bieten umfassende Sicherheit und umfassen Bedrohungsschutz und Zugriffskontrolle für eine Vielzahl von Ressourcen in verschiedenen Organisationen, einschließlich ihrer Mitarbeiter, Partner und Gäste. Innerhalb dieses Sicherheitsrahmens verfügen Organisationen häufig über unterschiedliche Kategorien von Administratoren, die für verschiedene Sicherheitsaspekte verantwortlich sind.

Beispielsweise kann eine Organisation über eine Gruppe von Administratoren verfügen, die sich der Verwaltung des Bedrohungsschutzes widmet, während sich eine andere Gruppe auf Zugriffskontrollen konzentriert. Innerhalb dieser allgemeinen Kategorien richten Unternehmen häufig verschiedene Verwaltungsrollen ein, die auf bestimmte Arten des Bedrohungsschutzes und der Zugriffskontrolle zugeschnitten sind. Schauen wir uns einige praktische Beispiele an:

Bedrohungsschutzrollen:

• Intrusion Detection und Firewall-Konfiguration: Administratoren mit dem „Threat-Protection-“ngfw-role“ erhalten Zugriff zum Konfigurieren der Intrusion Detection und der Firewall-Einstellungen innerhalb der SASE Umwelt.
• Reputationskontrollen: Administratoren mit der Rolle „Threat-Protection-Reputation“ können Einstellungen im Zusammenhang mit IP-Reputationskontrollen verwalten. URL-basierte Reputationskontrollen, domänenbasierte Reputationskontrollen, Datei-Reputationskontrollen sowie cloud-Service und cloud-Reputationskontrollen der Organisation.
• Malware Schutz: Administratoren mit der Rolle „Threat-Protection-Malware-Protection“ haben die Befugnis, Einstellungen speziell für Malware-Schutzkontrollen zu konfigurieren.

Zugriffskontrollrollen:

• SWG-Konfiguration: Administratoren mit der Bezeichnung „Access-Control-Internet-Role“ sind für die Verwaltung der Secure Web Gateway (SWG)-Konfigurationen verantwortlich.
• SaaS Anwendungsspezifische Zugriffskontrolle: Rollen wie „Zugriffskontrolle-“saas1app-role“ und „access-control-“saas„Napp-role“ konzentriert sich auf die Konfiguration von Zugriffskontrollrichtlinien für bestimmte Anwendungen (SaaS Dienst 1 und SaaS Service N), der eine feinkörnige Kontrolle gewährleistet.
• EnterpRise Anwendungsmanagement: Rollen wie „access-control-hostedapp1-role“ und „access-control-hostedappM-role“ sind für die Verwaltung von Zugriffskontrollkonfigurationen für enterpRise-Level-Anwendungen, app1 und appM.

In Fällen, in denen eine Organisation mandantenfähige Anwendungen verwendet, können zusätzliche Rollen eingeführt werden, um Sicherheitskonfigurationen effektiv zu verwalten. Beispielsweise können Rollen eingerichtet werden, um Richtlinien für die Belegschaft der Organisation, die Belegschaft pro Mandant und sogar für Gäste zu konfigurieren. Stellen Sie sich eine Anwendung „X“ mit Sicherheitskonfigurationen vor, die von verschiedenen Administratorgruppen verwaltet werden:

• Sicherheit der Mitarbeiter des Eigentümers: Administratoren mit „access-control-hostedappX-role“ und „access-control-owner-workforce-role“ arbeiten zusammen, um Zugriffskontrollkonfigurationen für die Anwendung „X“ für die Belegschaft des Besitzers zu verwalten.
• Anwendungsmandantenspezifische Arbeitskräfte für Mandanten: Mit Rollen wie „access-control-hostedAppX-role“ und „access-control-owner-tenantA-workforce-role“ können Administratoren Zugriffskontrolleinstellungen für die Belegschaft von Mandant A konfigurieren.
• Anwendung Mieterspezifische Arbeitskräfte für Mieter B: Für eine mandantenfähige Anwendung „X“ erleichtern verschiedene Rollen, wie z. B. „access-control-hostedAppX-role“ und „access-control-owner-tenantB-workforce-role“, die Verwaltung von Zugriffskontrollkonfigurationen für die Belegschaft von Mandant B .

Darüber hinaus auch nicht mandantenfähige EnterpFür Rise-Anwendungen sind möglicherweise separate Administratoren für verschiedene Belegschaftssegmente erforderlich. Zum Beispiel:

• Technische Abteilung: Administratoren mit „access-control-hostedappY-role“ und „access-control-eng-role“ konzentrieren sich auf die Verwaltung von Zugriffskontrollkonfigurationen für die Anwendung „Y“ innerhalb der technischen Abteilung.
• Sales & Marketing: Rollen wie „access-control-hostedappY-role“ und „access-control-sales-role“ sind für die Konfiguration von Zugriffskontrolleinstellungen für Vertriebs- und Marketingteams vorgesehen.
• IT Abteilung: Administratoren mit „access-control-hostedappY-role“ und „access-control-it-role“ sind für die Zugriffskontrollkonfigurationen der IT-Abteilung verantwortlich.

Ein wesentlicher Vorteil des rollenbasierten Sicherheitskonfigurationsmanagements ist seine Fähigkeit, eine granulare, auf bestimmte Verantwortlichkeiten zugeschnittene Kontrolle bereitzustellen. Vergleichen Sie diesen Ansatz mit den Herausforderungen, die sich bei der Verwendung einer einzigen, allumfassenden Richtlinientabelle ergeben können:

• Fehleranfällig: Mehrere Administratoren, die mit derselben Richtlinientabelle und sich überschneidenden Berechtigungen arbeiten, können beim Hinzufügen, Löschen oder Ändern von Richtlinien versehentlich Fehler verursachen.
• Komplexität der Fehlerbehebung: Das Lösen von Problemen innerhalb einer monolithischen Richtlinientabelle kann zeitaufwändig und herausfordernd sein.
• Richtlinienüberlastung: Die Konsolidierung aller Richtlinien in einer einzigen Tabelle, die verschiedene Anwendungen und Bedrohungsschutzszenarien abdeckt, kann zu einer umständlichen und unhandlichen Richtlinienverwaltung sowie zu potenziellen Leistungsproblemen bei der Richtlinienbewertung führen.

Abschließend: Einführung eines rollenbasierten Sicherheitskonfigurationsmanagements SASE Umgebungen ermöglichen es Unternehmen, Verantwortlichkeiten effizient zu delegieren, die Sicherheit zu erhöhen und die Richtlinienverwaltung zu optimieren und gleichzeitig die Komplexität zu vermeiden, die mit Einzeltabellen-Ansätzen verbunden ist.

Zusammenarbeit mit dem Configuration Change Control Management

Unternehmen nutzen zunehmend das Änderungskontrollmanagement für alle Konfigurationen, einschließlich der SASE-Konfiguration, um Konfigurationsfehler proaktiv zu erkennen und zu beheben, bevor sie implementiert werden. Diese Vorgehensweise dient nicht nur der Absicherung, sondern führt auch eine zweite Kontrollebene ein, die es einem zweiten Augenpaar ermöglicht, Konfigurationen zu überprüfen und zu genehmigen, bevor sie in Kraft treten.

Konfigurationen von Sicherheitsrichtlinien werden direkt im Datenverkehrsfluss angewendet, sodass Fehler in Richtlinien möglicherweise die Dienste stören und direkte finanzielle Konsequenzen nach sich ziehen.

Um die inhärente Komplexität der Konfiguration von Sicherheitsrichtlinien zu bewältigen, ist es üblich, Änderungen zu serialisieren. Dies bedeutet, dass beim Ändern eines Konfigurationstyps keine weiteren Konfigurationssitzungen desselben Typs initiiert werden, bis die vorherige entweder angewendet oder widerrufen wird. Wenn jedoch eine einzelne Richtlinientabelle verwendet wird, die alle Bedrohungs- und Zugriffskontrollfunktionen umfasst, kann die Serialisierung von Änderungen zu Verzögerungen bei Konfigurationsanpassungen führen, die von anderen Administratoren durchgeführt werden.

Im Gegensatz dazu kann ein Ansatz mit mehreren Tabellen dieses Szenario effektiv bewältigen, indem er verschiedenen Administratoren ermöglicht, gleichzeitig an unterschiedlichen Tabellen zu arbeiten und so den Prozess der Konfigurationsänderung zu optimieren.

Nicht alle Organisationen haben die gleichen Anforderungen:

SASE wird typischerweise als Dienstleistung angeboten und SASE-Anbieter können mehrere Organisationen als Kunden bedienen. Diese Organisationen können hinsichtlich Größe, regulatorischen Anforderungen und der Vielfalt der Rollen innerhalb ihrer Strukturen erheblich variieren. Einige Organisationen hosten möglicherweise mehrere Anwendungen, entweder vor Ort oder in der Internet-cloud, während andere sich möglicherweise ausschließlich auf Dienste von SaaS-Anbietern verlassen, und einige umfassen möglicherweise eine Kombinationen aus beidem.

Darüber hinaus benötigen bestimmte Organisationen möglicherweise keine verschiedenen Verwaltungsrollen oder mehrere Verwaltungsbenutzer. In Szenarien, in denen Organisationen nur über eine begrenzte Anzahl von Anwendungen verfügen und nicht über die Komplexität mehrerer Verwaltungsrollen, kann es sinnvoll sein, weniger Richtlinientabellen zu verwenden.

Von SASE wird erwartet, dass es die erforderliche Flexibilität bietet, um diesen unterschiedlichen Anforderungen gerecht zu werden, einschließlich der Option, konsolidierte Richtlinientabellen für mehrere relevante Sicherheitsfunktionen und -anwendungen zu verwenden.

Verwirrende Konfigurationen vermeiden:

Bestimmte SASE-Lösungen benörigen in ihrem Streben nach Vereinfachung, wie bereits erwähnt, für eine einzige, umfassende Richtlinientabelle, in der Richtlinien mit Werten für verschiedene übereinstimmende Attribute konfiguriert werden können. Während der Datenverkehrsverarbeitung basiert die Richtlinienauswahl auf dem Abgleich der Werte des eingehenden Datenverkehrs und anderer Kontextinformationen mit den in den Richtlinien angegebenen Attributwerten.

Es ist jedoch wichtig zu erkennen, dass bei der Verarbeitung des Datenverkehrs nicht alle seine Attribute ohne weiteres bekannt sind. Im Fall von Stateful-Inspection-Firewalls kann beispielsweise nur ein begrenzter Satz von Verkehrswerten extrahiert werden, wie etwa die 5-Tupel-Informationen (Quell-IP, Ziel-IP, Quell-Port, Ziel-Port und IP-Protokoll). Inzwischen gibt es für Proxy-basierte Sicherheitskomponenten wie SWG, ZTNA usw CASBDie Extraktion von Attributwerten kann variieren und unterschiedliche Phasen umfassen, insbesondere die Phasen der Prä-TLS-Inspektion und der Post-TLS-Inspektion.

Vor der TLS-Inspektion/Entschlüsselung bleiben viele HTTP-Attribute unbekannt. Erst nach der TLS-Entschlüsselung stehen zusätzliche Attribute wie Zugriffs-URI-Pfad, HTTP-Methode und Anforderungsheader für die Auswertung zur Verfügung.

Als Administratoren, die für die Konfiguration von Sicherheitsrichtlinien verantwortlich sind, ist es unpraktisch, von Administratoren zu erwarten, dass sie beim Definieren von Richtlinien den Überblick darüber behalten, welche Attribute in den verschiedenen Phasen der Paketverarbeitung gültig sind. Während einige Sicherheitslösungen behaupten, dass irrelevante Attribute bei der Richtlinienbewertung nicht berücksichtigt werden, kann es bei der Überprüfung komplexer Richtlinien schwierig sein, festzustellen, welche Attribute relevant sind und welche nicht.

Wir sind der festen Überzeugung, dass die Zusammenführung von Richtlinientabellen über mehrere Phasen hinweg in einer einzigen Tabelle zu Komplexität und Verwirrung für Administratoren führt. Ein solcher Ansatz kann schwierig zu verstehen sein und möglicherweise zu Problemen führen. Um Klarheit zu gewährleisten, empfiehlt es sich, innerhalb einer bestimmten Tabelle Richtlinien zu erstellen, die nur relevante Attribute für konsistente und unkomplizierte Auswertungen enthalten.

Optimieren von Verweigerungs- und Zulassungsrichtlinientabellen:

Bestimmte Sicherheitslösungen verwenden eine Struktur, in der sie separate Richtlinientabellen für „Verweigern“ und „Zulassen“ verwalten. Innerhalb dieses Setups haben die in der „Verweigern“-Liste definierten Richtlinien Vorrang und werden zuerst ausgewertet. Wenn in der Tabelle „Verweigern“ keine passende Richtlinie gefunden wird, geht die Auswertung zur Richtlinientabelle „Zulassen“ über. Allerdings kann diese Aufteilung der Richtlinien in zwei unterschiedliche Tabellen für Administratoren eine Herausforderung darstellen.

Wir plädieren entschieden für einen schlankeren Ansatz, bei dem jede einzelne Richtlinientabelle als geordnete Liste von Richtlinien dargestellt wird. Dabei gibt jede Richtlinie ihre Aktion explizit an – sei es „Verweigern“, „Zulassen“ oder eine andere gewünschte Aktion. Während der Datenverkehrsverarbeitung folgt die Richtlinienauswertung einem logischen Verlauf von der Richtlinie mit der höchsten Priorität zur Richtlinie mit der niedrigsten Priorität, bis eine Übereinstimmung gefunden wird. Sobald eine passende Richtlinie identifiziert wurde, wird die entsprechende Aktion auf den Datenverkehr angewendet. In Fällen, in denen keine übereinstimmende Richtlinie gefunden wird, wird eine Standardaktion wie „Öffnen fehlschlagen“ oder „Schließen fehlschlagen“ ausgelöst, wie in der Sicherheitsrichtlinie der Organisation definiert.

Dieser Ansatz vereinfacht die Richtlinienverwaltung und erhöht die Übersichtlichkeit für Administratoren, indem Richtlinien unabhängig von den Richtlinienaktionswerten in einer einzigen und geordneten Liste konsolidiert werden, wodurch die Komplexität minimiert und der Richtlinienbewertungsprozess rationalisiert wird. Es ist ebenfalls aktiviert, dass Richtlinientabellen nicht anhand von Aktionswerten getrennt werden, versetzt SASE-Lösungsanbieter in Zukunft relativ einfach in die Lage, neue Handlungswerte einzuführen.

Erstellen flexibler und ausdrucksstarker Richtlinien:

Wie Sie bereits erfahren haben, erstellen Administratoren Richtlinien, indem sie Wertesätze für übereinstimmende Attribute definieren. Traditionell besteht ein gemeinsames Verständnis darüber, wie der Richtlinienabgleich bei Verkehrsauswertungen funktioniert: Eine Richtlinie gilt nur dann als Übereinstimmung, wenn alle in der Richtlinie angegebenen Attributwerte perfekt mit den Werten der eingehenden Verkehrssitzung übereinstimmen. Diese Werte können entweder direkt aus dem Datenverkehr extrahiert oder aus Kontextinformationen wie dem authentifizierten Benutzerkontext und dem Gerätekontext abgeleitet werden, der für die Initiierung des Datenverkehrs verantwortlich ist. Im Wesentlichen beinhaltet dieser Abgleichsprozess eine UND-Operation für alle Attribute der Richtlinie.

Mit der Weiterentwicklung der Sicherheitstechnologien haben viele Sicherheitsgeräte jedoch einen flexibleren Ansatz eingeführt, der Administratoren die Möglichkeit gibt, Attributen mehrere Werte zuzuweisen. In diesem weiterentwickelten Paradigma wird eine Übereinstimmung hergestellt, wenn die Laufzeitkontextinformationen mit einem der für die Richtlinienattribute angegebenen Werte übereinstimmen. Im Wesentlichen kombiniert der Matching-Prozess nun eine „AND“-Operation über Attribute hinweg mit einer „OR“-Operation über die mit diesen Attributen verknüpften Werte.

Organisationen werden von dieser Flexibilität bei der Erstellung umfassender Richtlinien erheblich profitieren. Dadurch wird die Gesamtzahl der erforderlichen Richtlinien reduziert und gleichzeitig die Lesbarkeit gewahrt. Diese Mehrwertattribute sind jedoch nur ein Schritt in die richtige Richtung und häufig sind weitere Verbesserungen erforderlich, um den individuellen Anforderungen von Organisationen gerecht zu werden:

Unterstützung für „NOT“-Dekoration: Administratoren benötigen die Möglichkeit, Richtlinienattributwerte mit einer „NOT“-Dekoration zu definieren. Beispielsweise sollte es möglich sein, den Attributwert „Quell-IP“ als „NICHT 10.1.5.0/24“ anzugeben, was darauf hinweist, dass die Richtlinie erfolgreich übereinstimmt, wenn die Quell-IP der Datenverkehrssitzung nicht zum Subnetz 10.1.5.0/24 gehört .

Unterstützung für mehrere Instanzen eines Attributs: Viele herkömmliche Sicherheitsgeräte unterstützen nur eine Instanz eines bestimmten Attributs innerhalb einer Richtlinie. Um umfassende Richtlinien zu erstellen, ist die Möglichkeit, mehrere Instanzen desselben Attributs in einer einzigen Richtlinie einzuschließen, unerlässlich. Beispielsweise kann ein Administrator Sitzungen von jeder IP-Adresse im Subnetz 10.0.0.0/8 zulassen und gleichzeitig Verkehrssitzungen vom Subnetz 10.1.5.0/24 verweigern. Dies sollte innerhalb einer einzigen Richtlinie erreichbar sein, vielleicht durch die doppelte Angabe von „Quell-IP“-Werten: „Quell-IP == 10.0.0.0/8“ und „Quell-IP == NICHT 10.1.5.0/24“. Dadurch entfällt die Notwendigkeit, zwei separate Richtlinien zu erstellen, und ermöglicht eine intuitivere Richtlinienverwaltung.

Unterstützung für Dekorationen für String-Typwerte: Attribute, die Zeichenfolgenwerte akzeptieren, wie URI-Pfade, Domänennamen und viele HTTP-Anforderungsheader, profitieren von Dekorationen wie „exact“, „starts_with“ und „ends_with“. Diese Dekorationen unterstützen die Schaffung ausdrucksstarker Richtlinien.

Unterstützung für reguläre Ausdrucksmuster: In einigen Fällen erfordern Richtlinien einen Musterabgleich innerhalb der Verkehrswerte. Beispielsweise kann eine Richtlinie vorschreiben, dass eine Verkehrssitzung nur dann zulässig ist, wenn irgendwo im Anforderungsheaderwert „Benutzeragent“ ein bestimmtes Muster vorhanden ist. In solchen Szenarien ist die Unterstützung regulärer Ausdrucksmuster unerlässlich.

Unterstützung für dynamische Attribute: Während herkömmliche Attribute in Richtlinien fest und vordefiniert sind, erfordern SASE-Umgebungen manchmal dynamische Attribute. Erwägen Sie Anforderungs- und Antwortheader oder JWT-Ansprüche, bei denen Standards mit zahlreichen benutzerdefinierten Headern und Ansprüchen koexistieren. SASE sollte Administratoren die Möglichkeit geben, Richtlinien zu erstellen, die benutzerdefinierte Header und Ansprüche berücksichtigen. Zum Beispiel sollte SASE die Erstellung von Richtlinien mit dem Anforderungsheader „X-custom-header“ als Attribut und dem Wert „matchme“ ermöglichen. Zur Datenverkehrszeit sollten alle HTTP-Sitzungen mit „X-custom-header“ als einem der Anforderungsheader und „matchme“ als Wert mit der Richtlinie übereinstimmen.

Unterstützung für Objekte: Diese Funktion ermöglicht die Erstellung verschiedener Objekttypen mit Werten, die als Attributwerte in Richtlinien verwendet werden können, anstatt unmittelbare Werte anzugeben. Auf Objekte kann über mehrere Richtlinien hinweg verwiesen werden, und zukünftige Wertänderungen können auf Objektebene vorgenommen werden, wodurch Richtlinienänderungen vereinfacht und Konsistenz sichergestellt wird.

Diese Verbesserungen tragen zur Erstellung flexibler, ausdrucksstarker und effizienter Sicherheitsrichtlinien bei und ermöglichen es Unternehmen, ihre Richtlinien effektiv an individuelle Sicherheitsanforderungen und -szenarien anzupassen.

Verbesserung der Richtlinienintegration durch Verkehrsänderungen

Bestimmte Sicherheitsfunktionen erfordern Änderungen am Datenverkehr, wobei die häufigsten Anwendungsfälle das Hinzufügen, Löschen oder Ändern von HTTP-Anfrage-/Antwort-Headern und ihren Werten, Abfrageparametern und ihren Werten und sogar des Anfrage-/Antworttexts umfassen. Diese Änderungen können je nach Administratorkonfiguration erheblich variieren. Häufig hängen die spezifischen Änderungen von Verkehrswerten ab, z. B. der Zielanwendung/dem Zielstandortdienst, sowie von Kontextinformationen, die während der Verkehrslaufzeit verfügbar sind.

Anstatt eine separate Richtlinientabelle für Verkehrsänderungen zu verwalten, ist es häufig effizienter, diese Änderungsobjekte in die Zugriffsrichtlinien selbst aufzunehmen. Dieser Ansatz rationalisiert die Richtlinienverwaltung und stellt sicher, dass Änderungen direkt mit den Richtlinien zur Regelung des Verkehrsverhaltens in Einklang stehen.

Ein prominentes Szenario, in dem Verkehrsänderungen unerlässlich sind, ist im Zusammenhang mit Cloud-Zugriffssicherheitsbroker (CASB)-Lösungen, insbesondere wenn Organisationen Einschränkungen bei der Mandantenfähigkeit erfordern. Diese Einschränkungen beinhalten häufig das Hinzufügen spezifischer Anforderungsheader und -werte, um kollaborationsspezifische Richtlinien durchzusetzen. Darüber hinaus gibt es andere Fälle, beispielsweise das Hinzufügen benutzerdefinierter Header zur umfassenden Fehlerbehebung und Leistungsanalyse, bei denen Verkehrsänderungen eine entscheidende Rolle spielen.

Folglich erwarten Organisationen SASE Lösungen zur Unterstützung von Richtlinien, die nahtlos funktionierenssly Integration mit Änderungsobjekten. Während der Verkehrsverarbeitung werden Verkehrsänderungen ausgeführt, wenn die übereinstimmende Richtlinie mit den entsprechenden Änderungsobjekten verknüpft ist, was einen einheitlichen und effizienten Ansatz für die Verkehrsverwaltung und Richtliniendurchsetzung bietet.

Verbesserung der Beobachtbarkeit:

Aus Gründen der Beobachtbarkeit ist es üblich, jede Verkehrssitzung am Ende der Sitzung zu protokollieren. Bei umfangreichen Sitzungen oder „Elefantensitzungen“ ist es außerdem üblich, Zugriffsinformationen regelmäßig zu protokollieren. Diese Sitzungsprotokolle enthalten in der Regel wertvolle Daten, darunter Verkehrsmetadaten, während der Sitzung durchgeführte Aktionen und Details zu den zwischen Client und Server übertragenen Paketen und Bytes.

Ein bedeutender Fortschritt, der von SASE angeboten wird, ist die Konsolidierung von Sicherheitsfunktionen und die Einführung von Single-Pass-Architekturen mit Laufzeitabschluss, was zu einem einheitlichen Sitzungsprotokoll führt. Dies steht im Gegensatz zu Nicht-SASE Sicherheitsbereitstellungen, bei denen jede einzelne Sicherheitskomponente ein eigenes Sitzungsprotokoll generiert, das häufig Informationen über die abgeglichene Richtlinie und wichtige Attributwerte enthält, die im Abgleichsprozess verwendet wurden. Wichtig ist, es besteht die Erwartung, während bei SASE ein einzelnes Protokoll erstellt wird, dass bei der Einbeziehung kritischer Informationen keine Kompromisse eingegangen werden.

Wenn eine Datenverkehrssitzung aufgrund mehrerer Richtlinienauswertungen über verschiedene Sicherheitsfunktionen und Richtlinientabellen hinweg zulässig ist, sollte das resultierende Protokoll Informationen zu jeder übereinstimmenden Richtlinie enthalten. Wenn eine Richtlinie aufgrund der Werte bestimmter Verkehrs- oder Kontextattribute übereinstimmt, sollte das Protokoll außerdem genaue Details zu den Attributwerten liefern, die zur Richtlinienübereinstimmung geführt haben.

Angesichts der Tatsache, dass Organisationen für eine effektive Beobachtbarkeit auf umfassende Protokolle angewiesen sind, wird vonSASE-Lösungen erwartet, dass sie ausführliche Informationen in den Protokollen liefern und so sicherstellen, dass Administratoren Zugriff auf die Daten haben, die sie zur effektiven Überwachung und Analyse des Netzwerkverkehrs benötigen.

SASE-Ansatz für das Richtlinienmanagement:

Es ist wichtig zu erkennen, dass nicht alle SASE-Lösungen identisch sind. Organisationen sollten sorgfältig prüfen, ob eine bestimmte SASE-Lösung sich den spezifischen organisatorischen Anforderungen anpasst, ohne dass die Benutzerfreundlichkeit darunter leidet. Auch wenn Organisationen anfangs möglicherweise nicht alle oben aufgeführten Anforderungen erfüllen, ist es nur eine Frage der Zeit bis diese Anforderungen für ihre Geschäftstätigkeit immer relevanter und wesentlicher werden.

Organisationen, die über alle oben genannten Anforderungen verfügen, profitieren von völliger Flexibilität bei der Anpassung ihrer Anforderungen SASE Richtlinien an ihre spezifischen Bedürfnisse anzupassen. Andererseits streben Organisationen, die derzeit nicht über alle diese Anforderungen verfügen, häufig nach einer einfacheren Benutzererfahrung und behalten gleichzeitig die Einführung zusätzlicher Funktionen im Auge, wenn sich ihre Anforderungen ändern. Dieser Ansatz ermöglicht es Unternehmen, ein Gleichgewicht zwischen ihren aktuellen Bedürfnissen und zukünftigem Wachstum zu finden und sicherzustellen, dass ihre SASE Die Lösung bleibt anpassungsfähig und reagiert auf sich ändernde Umstände.

Wähhrend SASE-Lösungen volle Flexibilität bieten, wird die Anpassung zur Herausforderung. Deshalb glauben wir, SASE-Lösungen sollten die folgenden Kernfunktionen bieten:

1. Modulares Richtlinienmanagement: SASE Lösungen umfassen mehrere Sicherheitsfunktionen mit jeweils eigenen Richtlinienkonfigurationen. Diese Konfigurationen sollten Optionen zum Aktivieren/Deaktivieren, zum Festlegen von Standardaktionen bei fehlender Richtlinienübereinstimmung, zum Verwalten der Sammlung mehrerer Richtlinientabellen, zum Definieren mehrerer Richtlinien innerhalb jeder Richtlinientabelle, zum Erstellen einer geordneten Liste von Richtlinien sowie zum Festlegen von Aktionseinstellungen und Änderungsobjekten, passende Attribute und Werte für jede Richtlinie umfassen.
2. Richtlinienverkettung: Um spezifischere und detailliertere Richtlinien zu ermöglichen, sollten SASE-Lösungen die Verkettung von Richtlinien unterstützen. Dies bedeutet, dass die Anordnung von Richtlinien über mehrere Richtlinientabellen in einer Sammlung hinweg möglich ist. Organisationen können beispielsweise separate Richtlinientabellen für verschiedene Anwendungen haben, wobei die Haupttabellenrichtlinien Anwendungs-/Domänennamen als Übereinstimmungskriterien verwenden, um die geeigneten Richtlinientabellen auszuwählen. Dies wird in der Regel durch die Verwendung von Richtlinien erreicht, die über eine Aktion namens „Springen“ verfügen, die die Richtlinienauswertung auf die referenzierte Richtlinientabelle umleitet. Das Konzept der Richtlinienverkettung gewann mit Linux IPTables an Popularität, und viele Sicherheitslösungen integrierten diese Funktionalität später.

Die Vollständigkeit der darin enthaltenen Sicherheitsfunktionen von SASE kann umfangreich sein und Folgendes umfassen:

• NGFW (Firewall der nächsten Generation): Bereitstellung von L3/L4-Zugriffskontrolle, DDoS-Schutz, IP-Reputation, Domain-Reputation und Intrusion Detection and Prevention System (IDPS)
• SWG (Secure Web Gateway): Bietet TLS-Inspektion, Pre-TLS-Webzugriffskontrolle, Post-TLS-Webzugriffskontrolle, URL Reputation, Dateireputation und Malware-Schutz.
• ZTNA (Zero Trust Network Access): Ähnlich wie SWG, konzentriert sich jedoch auf die Sicherung gehosteter Anwendungen.
• CASB (Cloud Zugriffssicherheitsbroker): Abdeckung von cloud Reputationservice und cloud Service-Zugangskontrolle.
• DLP (Data Loss Prevention): Implementierung einer Zugriffskontrolle auf der Grundlage personenbezogener Daten (PII), standardmäßiger vertraulicher Dokumente und anderer Informationenerpaufstiegsspezifische sensible Dokumente.

Die Flexibilität der Richtlinienverwaltung für jede Sicherheitsfunktion sowie die Möglichkeit, Richtlinien innerhalb jeder Funktion über mehrere Richtlinientabellen mit Richtlinienverkettung zu verwalten, sind eine leistungsstarke Funktion. Von dieser Flexibilität können besonders geografisch verteilte Organisationen mit unterschiedlichen regulatorischen Anforderungen profitieren.

Kleinere Organisationen bevorzugen jedoch möglicherweise eine Art Konsolidierung der Richtlinientabellen. In solchen Fällen sollte es möglich sein, die Konfiguration wie folgt anzupassen:

• Konsolidierung aller Sicherheitsfunktionskonfigurationen vor TLS in einer einzigen Sammlung von Richtlinientabellen über mehrere SWG/ZTNA-Komponenten hinweg.
• Konsolidierung aller Post-TLS-Sicherheitsfunktionskonfigurationen in einer weiteren einzigen Sammlung von Richtlinientabellen über mehrere SWG/ZTNA-Komponenten hinweg.
• Beibehalten CASB, Malware und DLP funktionieren als separate Einheiten, da diese komplexe Richtliniendefinitionen erfordern.
• Entscheiden Sie sich für eine einzige Richtlinientabelle innerhalb der Richtlinientabellensammlung und vermeiden Sie so eine Richtlinienverkettung.

Daher sollten Organisationen SASE-Dienste suchen, die volle Flexibilität bieten und gleichzeitig benutzerdefinierte Kontrollen zur Konsolidierung von Konfigurationen für relevante Sicherheitsfunktionen bieten. Dieser Ansatz stellt sicher, dass SASE-Richtlinien auf die spezifischen Bedürfnisse einer Organisation zugeschnittensind und gleichzeitig für eine einfache Verwaltung und Skalierbarkeit bei sich ändernden Anforderungen sorgen.

Balance zwischen Benutzererfahrung und zukunftssicherer Flexibilität

Die Verwaltung von Sicherheitsrichtlinien war in der Vergangenheit ein komplexes Unterfangen. Viele Produkte sind auf die Richtlinienverwaltung für bestimmte Sicherheitsgeräte spezialisiert, was zu einer fragmentierten Landschaft führt. SASE bewältigt diese Komplexität durch die Konsolidierung mehrerer Sicherheitsgeräte in einer einheitlichen Lösung. Diese Konsolidierung bietet zwar Vorteile, bringt aber auch eigene Komplexitäten mit sich.

Traditionelle Ansätze zur Richtlinienverwaltung, wie beispielsweise eine einzelne Richtlinientabelle, mögen zunächst verlockend erscheinen. Sie stellen jedoch zahlreiche Herausforderungen dar und erfüllen oft nicht die in diesem Artikel dargelegten Anforderungen. Umgekehrt kann eine übermäßige Anzahl an Policy-Engines auch zu Komplexität führen. Das richtige Gleichgewicht zwischen Flexibilität und Einfachheit ist von größter Bedeutung.

Eine große Herausforderung in der Branche ist die Verbreitung von Richtlinien. Eine übermäßige Anzahl von Richtlinien verschlechtert nicht nur das Benutzer- und Fehlerbehebungserlebnis, sondern hat auch Auswirkungen auf die Leistung. Der Multi-Table-Ansatz und die Policy-Ausdruckskraft sind, wie bereits beschrieben, wesentliche Strategien zur Reduzierung des Policies-Volumens in Policy-Tabellen.

SASE Lösungen gehen zunehmend auf diese Komplexität ein, indem sie eine komplexere Richtlinienverwaltung ermöglichen. Es ist unsere Überzeugung, dass SASE-Lösungen sich weiterentwickeln und viele der in diesem Artikel beschriebenen Anforderungen in naher Zukunft umsetzen werden. Diese Entwicklung wird es Unternehmen ermöglichen, die optimale Balance zwischen Benutzererfahrung, Flexibilität und Leistung zu finden und sicherzustellen, dass ihre Sicherheitsrichtlinien in einer sich schnell ändernden Bedrohungslandschaft effektiv und anpassungsfähig bleiben.

• CTO Insights-Blog

  Die Aryaka-CTO-Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE-Themen. Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.