Çoğu mikrosegmentasyon projesi yerden çıkmadan önce başarısız olurlar – çok karmaşık, çok yavaş, çok yıkıcı. Ancak Andelyn Biosciences, bunun böyle olması gerekmediğini kanıtladı.
Microsegmentasyon: Sıfır Güven Güvenliğinde Eksik Parça
Günümüzde güvenlik ekipleri, giderek artan siber tehditlere karşı savunmak için sürekli baskı altında. Sadece çevre tabanlı savunmalar, saldırganların odağını kurumsal ağlardaki yanal harekete kaydırdığı için artık yeterli koruma sağlayamaz. Saldırganların yanal olarak hareket etmesini içeren başarılı ihlallerin% 70’inden fazlası ile kuruluşlar, iç trafiği nasıl güvence altına aldıklarını yeniden düşünmektedir.
Mikrosegmentasyon, ağ konumu yerine kimliğe dayalı olarak kritik varlıklara erişimi kısıtlayarak sıfır güven güvenliğine ulaşmada temel bir strateji olarak ortaya çıkmıştır. Bununla birlikte, genellikle VLAN yeniden yapılandırmalarını, ajan dağıtımlarını veya karmaşık güvenlik duvarı kurallarını içeren geleneksel mikrosegemasyon yaklaşımları yavaş, operasyonel olarak yıkıcı ve ölçeklendirilmesi zordur.
Gen terapilerinde uzmanlaşmış bir Sözleşme Geliştirme ve Üretim Organizasyonu (CDMO) olan Andelyn Biosciences için, ilaç araştırması ve üretim ortamlarını güvence altına almak en önemli öncelikti. Ancak binlerce BT, IoT ve birbirine bağlı ağlar arasında çalışan OT cihazları ile geleneksel bir segmentasyon yaklaşımı kabul edilemez karmaşıklık ve kesinti süresi getirecektir.
Başlangıçta, Andelyn bu zorlukları ele almak için bir ağ erişim kontrolü (NAC) çözümü seçti. Bununla birlikte, neredeyse iki yıl sonra yüksek operasyonel genel masrafları ve segmentasyonu etkili bir şekilde ölçeklendirememeden sonra, güvenlik ekibi ilerleme eksikliğinden hayal kırıklığına uğradı. Ajan temelli icra ve manuel politika yönetiminin karmaşıklığı, çözümü Andelyn’in hızla gelişen ortamına uyarlamayı zorlaştırdı.
Nihayetinde, Elisity’nin kimlik tabanlı mikrogmentasyon çözümüne dönmeye karar verdiler ve donanım değişiklikleri veya ağ yeniden tasarlanmasına gerek kalmadan en azından en fazla erişim politikalarını hızla zorlamalarını sağladılar.
Sanal vaka çalışması tekrarını izleyin
Angelyn Biosciences’daki bilgi teknolojisi başkan yardımcısı Bryan Holmes ve Müşteri Başkanı Baş Müşteri Görevlisi Pete Doolittle, Mikrosegmentasyon için modern bir yaklaşımın yıllardan haftalara sıfır güven benimsemesini nasıl hızlandırdığını keşfetmek için elisity.
Bryan, ilk dağıtımdan 2.700 aktif güvenlik politikasının yönetilmesine kadar yolculuklarını paylaşıyor – hepsi operasyonları bozmadan veya yeni donanım veya ağ yapılandırmaları gerektiriyor.
Şimdi öğrenmek için izleyin:
- Kritik farmasötik üretim ve araştırma operasyonlarını bozmadan BT ve OT ortamlarında mikrosegmentasyon uygulamak için pratik stratejiler.
- Fikri mülkiyeti koruyan, düzenleyici uyumluluk sağlayan ve klinik araştırma verilerini güvence altına alan kimlik tabanlı güvenlik politikalarından yararlanarak sıfır güven girişimlerinin nasıl hızlandırılacağı.
- Otomatik Keşif, Elisity IdentityGraph ™ ve dinamik politika uygulamalarını kullanarak ilk kavram kanıtıdan işletme çapında dağıtıma kadar gerçek dünyadaki bilgiler nasıl alınır.
Tüm vaka çalışmasını buradan izleyin
Zorluk: karmaşık, yüksek bahisli bir ortamın güvenliği
İlaç endüstrisi benzersiz güvenlik zorluklarıyla karşı karşıyadır. Araştırma ve üretim tesisleri kritik fikri mülkiyeti barındırıyor ve NIST 800-207 ve IEC 62443 dahil olmak üzere katı düzenleyici gereksinimlere uymalıdır. Güvenlik liderleri, kullanıcıların, cihazların ve iş yüklerinin aynı altyapıyı paylaştığı düz bir ağ mimarisinin ortaya koyduğu risklerden daha fazla endişe duyuyorlardı.
Geleneksel çevre savunmalarına rağmen, bu yapı yetkisiz erişim ve yanal harekete karşı savunmasız kaldı. Güvenlik ekibi birkaç temel zorlukla karşılaştı:
- Yönetilmeyen IoT ve OT varlıkları da dahil olmak üzere tüm bağlı cihazlara tam görünürlük eksikliği.
- Son derece hassas araştırma ortamlarında operasyonları bozmadan segmentasyon ihtiyacı.
- İdari yükü artırmadan ince taneli erişim kontrolleri gerektiren uyumluluk basınçları.
Angelyn Biosciences’da başkan yardımcısı Bryan Holmes, geleneksel segmentasyon modellerinin işe yaramayacağını biliyordu. Ağ Erişim Kontrolü (NAC) çözümlerinin dağıtılması veya VLAN’ların yeniden yapılandırılması, kritik araştırma ve üretim zaman çizelgelerini etkileyerek önemli bir kesinti süresi gerektirecektir.
Holmes, “Anında görünürlük sağlayabilecek, ayrıntılı güvenlik politikalarını uygulayabilecek ve büyük bir ağ revizyonu gerektirmeden yapabilecek bir mikrosegmentasyon çözümüne ihtiyacımız vardı.”
Elisity yaklaşımı: karmaşıklık olmadan kimliğe dayalı segmentasyon
Eski segmentasyon çözümlerinden farklı olarak, Elisity’nin yaklaşımı VLAN’lara, güvenlik duvarı kurallarına veya ajan tabanlı icralara dayanmaz. Bunun yerine, en az müstehcen erişimi zorlamak için mevcut ağ anahtarlama altyapısını kullanarak kimlik tabanlı güvenlik politikalarını dinamik olarak uygular.
Elisity’nin platformunun merkezinde, gerçek zamanlı kullanıcı, iş yükleri ve cihaz haritası oluşturmak için Active Directory’den meta verileri, Crowdstrike gibi uç nokta algılama ve yanıt (EDR) çözümleri ve CMDB sistemleri gibi çözümleri ilişkilendiren elisity IdentityGraph ™ bulunur. Bu görünürlük, kuruluşların statik ağ yapılarından ziyade kimlik, davranış ve riske dayalı politikaları uygulamalarını sağlar.
Andelyn için bu, operasyonel bozulma olmadan tam ağ görünürlüğü elde edebilecekleri ve aylar veya yıllar yerine haftalar içinde segmentasyon uygulayabilecekleri anlamına geliyordu.
Dağıtım: Görünürlükten Haftalar İçinde Politika Uygulamasına
Andelyn’in segmentasyon yolculuğu kapsamlı ağ keşfi ile başladı. Elisity’nin platformu, daha önce yönetilmeyen varlıklar da dahil olmak üzere BT ve OT ortamlarında tüm kullanıcıları, iş yüklerini ve cihazları pasif olarak tanımladı. Günler içinde, güvenlik ekipleri, hangi varlıkların güvenilir, bilinmeyen veya potansiyel olarak haydut olduğunu belirlemek için meta verilerle zenginleştirilmiş tam bir envantere sahipti.
Ardından, Andelyn, Elisity’nin “korkusuz” dinamik politika oluşturma motorunu kullanarak politika modelleme ve simülasyona geçti. Güvenlik ekipleri derhal politikaları uygulamak yerine, kritik iş akışlarını bozmayacaklarından emin olmak için segmentasyon kurallarını simüle etti.
Doğrulandıktan sonra, politikalar yavaş yavaş etkinleştirildi-ilk önce düşük riskli ortamlarda ve daha sonra üretim sistemlerinde. Elisity’nin platformu ağ altyapısını yeniden yapılandırmayı gerektirmediğinden, uygulama sorunsuzdu.
Holmes, “İzleme modundan beklediğimiz zamanın bir kısmında tam politika aktivasyonuna geçebildik.” Dedi. “Ve bunu araştırma veya üretim operasyonlarını bozmadan yaptık.”
Sonuçlar: karmaşıklık eklenmeden daha güçlü güvenlik
Şu anda 2.700 aktif güvenlik politikası mevcutken, Andelyn endüstri düzenlemelerine uyumu sağlarken sıfır güven olgunluğunu önemli ölçüde geliştirdi.
Kimlik tabanlı mikrogmentasyon uygulayarak, şirket:
- Yetkisiz yanal hareketin önlenmesi, bir ihlalin potansiyel patlama yarıçapını azalttı.
- İçeriden tehditlerden ve dış saldırılardan korunan farmasötik araştırma verileri ve fikri mülkiyet.
- Segmentasyon politikaları, sabit manuel güncellemelere ihtiyaç duyulmadan dinamik olarak uygulandığından, operasyonel yükün azalması.
- NIST 800-207 ve IEC 62443 ile hizalanan aerodinamik uyum raporlaması.
Statik erişim listelerine dayanan veya özel segmentasyon donanımı gerektiren geleneksel yaklaşımların aksine, Elisity’nin platformu sürekli olarak kullanıcılar, iş yükleri ve cihazlar ağ boyunca hareket ettikçe uyum sağlar. Politikalar bulut tarafından yönetilir ve elisity IdentityGraph ™ ‘dan gerçek zamanlı bilgilere dayanarak dinamik olarak güncellenir, bu da tehditler gelişirken bile güvenliğin etkili olmasını sağlar.
Gelecek: Mikrosegmentasyonun işletme boyunca ölçeklendirilmesi
İlk dağıtımının başarısını takiben, Andelyn şimdi mikrosegmentasyon politikalarını ek sitelere ve kullanım durumlarına genişletiyor. Büyük ağ değişiklikleri gerektirmeden en az müstehcen erişimi dinamik olarak uygulama yeteneği, elisliği şirketin güvenlik stratejisinin önemli bir parçası haline getirmiştir.
Benzer zorluklarla karşılaşan diğer kuruluşlar için Holmes net bir öneri sunuyor:
“Görünürlükle başlayın. Görmediğinizi koruyamazsınız. Oradan, uygulama öncesinde politikaları modellemeye odaklanın. İlk olarak politikaları simüle etme yeteneği bizim için bir oyun değiştiriciydi.”
Mikromagmentasyon genellikle önemli yatırım ve operasyonel bozulma gerektiren karmaşık, çok yıllı bir girişim olarak görülür. Andelyn Biosciences’ın davası aksini kanıtlıyor – doğru yaklaşımla, kuruluşlar yıllar içinde haftalar içinde sıfır güven segmentasyonu elde edebilirler.
Segmentasyon projeniz durmuşsa – ya da daha da kötüsü, asla gerçekten başlamışsa – daha iyi bir yol var. Kimlik tabanlı mikrogmentasyonun kuruluşunuza sıfır güveni nasıl hızlandırabileceğini görün. [Request a Demo Here]