Identitätsbasierte Mikrosegmentierung

Isolieren Sie cloudnative Anwendungen und verhindern Sie die Ausbreitung von Bedrohungen in Public- und Private-Cloud-Umgebungen.
Identity-Based Microsegmentation Front
Identity-Based Microsegmentation Back

Ihr Cloud-Netzwerk bietet zuverlässige Kommunikationswege für cloudnative Anwendungen. Gibt es allerdings zu viele offene Pfade, steigt das Risiko und Angreifer können sich schneller im Netzwerk ausbreiten.

Lesen Sie den Bericht: Cloud Threat Report von Unit 42

Einfache Mikrosegmentierung und Risikominimierung für cloudnative Apps

Die identitätsbasierte Mikrosegmentierung ist eine Netzwerksicherheitslösung für die Cloud, mit der Sie die Anwendungskommunikation nachvollziehen, identitätsbasierte Abwehrmaßnahmen für Hosts und Container durchsetzen und die Ausbreitung von Bedrohungen im Netzwerk verhindern können. Sicherheitsteams können so die Risiken minimieren, ohne das Netzwerk zu modifizieren, und DevOps- und Cloud-Infrastrukturteams können die Vorteile der Cloud nutzen, ohne Sorgen zu haben, dass Sicherheitsvorgaben die Veröffentlichung verzögern.
  • Schutz von Hosts und Containern
  • Vermeidung komplexer Netzwerksstrukturen
  • Auf der Workload-Identität basierende Sicherheitsmaßnahmen
  • Workload-Identität
    Workload-Identität
  • Transparenz- und Erkennungsfunktionen
    Transparenz- und Erkennungsfunktionen
  • Effektive Richtlinienverwaltung
    Effektive Richtlinienverwaltung

PRISMA CLOUD

Unser Ansatz für die identitätsbasierte Mikrosegmentierung

Workload-Identität

Für cloudnative Anwendungen ist ein neuer Sicherheitsansatz notwendig, der für den Schutz der Workload-Kommunikation nicht auf die Netzwerkadressen angewiesen ist. Prisma Cloud löst die Mikrosegmentierung vom Netzwerk und verknüpft die Sicherheitsmaßnahmen mit der Workload-Identität. Damit basieren alle Maßnahmen der Prisma Cloud-Mikrosegmentierung auf der Identität.

  • Zuweisung einer Workload-Identität

    Workload-Identitäten sind ein wichtiges Element für eine Zero-Trust-Strategie mit identitätsbasierter Mikrosegmentierung. Prisma Cloud weist jedem geschützten Host und Container eine kryptografisch signierte Workload-Identität zu.

  • Tags der Workload-Identitäten

    Jede Identität enthält kontextbezogene Attribute, darunter Metadaten aus cloudnativen Quellen in Amazon Web Services (AWS®), Microsoft Azure®, Google Cloud und Kubernetes®.

  • Größere Netzwerktransparenz durch Identitäten

    Geschützte Workloads senden und empfangen mit jeder Kommunikationsanfrage eine Identität. Da die Identitäten fest in den Netzwerkprozessen verankert sind, müssen Sie sich nicht auf IP-Adressen ohne jeglichen Kontext verlassen.

  • Besserer Workload-Schutz durch Identitäten

    Prisma Cloud verifiziert die Identität der kommunizierenden Workloads, nicht der IP-Adressen. Wenn der Workload nicht verifiziert oder autorisiert ist, wird die Netzwerkzugriffsanfrage abgelehnt.

Screenshot zur Workload-Identität

Transparenz- und Erkennungsfunktionen

Für den Schutz cloudnativer Anwendungen müssen Sie einen umfassenden Überblick über alle Hosts und Container haben. In Prisma Cloud können Sie aktuelle und bisherige Informationen zu Netzwerkprozessen in allen Cloud-Umgebungen abrufen.

  • Erkennung von Ressourcen und Workload-Identitäten

    Sie können die Identitätstags für jeden Workload abrufen, zum Beispiel Attribute, die von cloudnativen Services wie AWS, Azure, Google Cloud und Kubernetes automatisch generiert wurden.

  • Überblick über die Anwendungskommunikation

    Auf der Karte zu den App-Abhängigkeiten können Sie nachvollziehen, wie die Workloads untereinander und mit externen Services innerhalb und außerhalb der Cloud-Umgebungen kommunizieren. Dank einfacher Anzeigefunktionen lassen sich Richtlinienentscheidungen für die einzelnen Anwendungsprozesse nachvollziehen.

  • Verwaltung der Flowdatensätze zu Compliancezwecken

    Sie können sich ältere Flowdatensätze genauer ansehen und detaillierte Abfragen erstellen, um die gewünschten Daten herauszufiltern. Außerdem haben Sie die Möglichkeit, Berichte für den Compliancenachweis zu erstellen.

  • Export der Flowdaten in Ihre eigenen Systeme

    Sie können die Flowprotokolle an gängige externe SIEM-Tools senden.

Screenshot zu Transparenz- und Erkennungsfunktionen

Effektive Richtlinienverwaltung

Für den Schutz cloudnativer Anwendungen benötigen Sie ein spezielles Richtlinienmodell, das einfach und flexibel ist. In Prisma Cloud können Sie aktuelle und bisherige Informationen zu den Netzwerkprozessen der Workloads abrufen.

  • Einfache Richtliniensprache

    In Mikrosegmentierungsrichtlinien von Prisma Cloud werden kontextbezogene anwendungsgestützte Tags (zum Beispiel service=frontend can talk to service=backend) statt einer netzwerkbasierten Sprache (zum Beispiel allow 192.168.10.20 to 10.0.0.31) verwendet.

  • Zentrale oder dezentrale Verwaltung

    Ihr Sicherheitsteam kann die Richtlinien für alle Workloads in der Umgebung zentral verwalten oder Sie können den DevOps-Teams und App-Entwicklern die Verantwortung übertragen, damit sie die Richtlinien für ihre eigenen Anwendungen verwalten.

  • Automatische Richtlinienempfehlungen für eine einfachere Verwaltung

    Sie können in Prisma Cloud das erlernte Anwendungsverhalten mit den Identitätsattributen verknüpfen, um automatisch und mit minimalem Benutzeraufwand Mikrosegmentierungsrichtlinien zu empfehlen.

  • Policy-as-Code für die Mikrosegmentierung

    Dank der automatisierten Sicherheitsfunktionen bleiben Sie über die Entwicklerprozesse informiert. Mit Prisma Cloud können Entwicklerteams Mikrosegmentierungsrichtlinien in Code integrieren, ohne die Netzwerksprachen zu kennen.

Effektive Richtlinienverwaltung

Prisma Cloud
Prisma Cloud
Prisma Cloud ist eine umfassende cloudnative Sicherheitsplattform, die mit branchenführenden Sicherheits- und Compliancefunktionen Anwendungen, Daten und cloudnative Technologien in Multi- und Hybrid-Cloud-Umgebungen während des gesamten Entwicklungslebenszyklus schützt.

Module zur Netzwerksicherheit in der Cloud

VM-Series

Schutz des ein- und ausgehenden Cloud-Datenverkehrs vor Bedrohungen und Datendiebstahl

CN-Series

Schutz des Kubernetes-Datenverkehrs mit einer Next-Generation Firewall in einem Container