.png)
Ce dont vous avez besoin pour créer une politique de segmentation Zero Trust
La semaine dernière, nous discuté les fonctionnalités nécessaires pour découvrir l'application et le contexte environnemental plus large nécessaires à la rédaction d'une politique de segmentation Zero Trust. Une fois que nous savons ce qui est obligatoire, nous devons l'exprimer dans des déclarations politiques. Toute bonne solution de microsegmentation passera facilement de la découverte à la création et prendra pleinement en charge tous les flux de travail nécessaires à la rédaction efficace d'une politique de segmentation précise. Discutons de ce qui accélère et soutient la politique de segmentation Zero Trust.
Dites ce que vous voulez, pas comment vous y prendre
Historiquement, la rédaction de listes de contrôle d'accès (ACL) nous obligeait à savoir ce que nous voulons et comment le faire. Il en résulte des tableaux de règles volumineux et complexes. Zero Trust Segmentation fonctionne sur une base déclarative modèle de politique, en revanche, et crée une séparation entre « politique » et « règles ». La politique est le résultat que nous souhaitons, par exemple en séparant les environnements DEV et PROD. Les règles ou ACL requises pour que cette politique soit vraie sont le résultat du moteur de politiques, et non d'un effort humain. Cela simplifie radicalement la création de politiques.
Si j'écris une règle permettant à un appareil de communiquer avec trois autres, je n'ai pas besoin d'écrire quatre règles. J'ai juste besoin d'écrire une politique stipulant qu'un serveur peut communiquer avec les trois autres. Le moteur de politiques crée toutes les règles pour que cette politique soit vraie. Lorsqu'elle est prise à l'échelle de l'ensemble d'un centre de données ou d'un déploiement dans le cloud, cette simplification accélère le développement d'une politique de segmentation Zero Trust.
Noms familiers et adresses IP
Rédaction règles de pare-feu traditionnelles seront toujours lents en raison du besoin constant de traduire entre les adresses IP que l'infrastructure comprend et les noms que nous donnons aux serveurs lors d'une conversation. L'élimination de cette traduction réduit radicalement le temps nécessaire à la rédaction d'une politique de segmentation Zero Trust.
La meilleure situation est lorsque l'organisation peut réutiliser les noms qui existent déjà dans les CMDB, les SIEM, les systèmes de gestion des adresses IP, les conventions relatives aux noms d'hôtes, les noms de serveurs, etc. Lorsque des noms familiers étiquettent chaque système de la visualisation et fournissent une abstraction pour la rédaction des politiques, tout le monde peut soudainement comprendre et écrire une politique Zero Trust. Aucune traduction n'est requise et toute l'équipe peut rapidement parvenir à un consensus sur le fait que la politique écrite correspond au besoin découvert grâce à la visualisation.
Utilisez l'héritage pour réduire la charge des politiques
Une fois que nous avons résumé la politique de segmentation Zero Trust en noms (ou étiquettes), nous pouvons tirer parti de l'un des meilleurs aspects d'une liste d'autorisations Zero Trust : l'héritage des politiques. Une liste d'autorisation pure ne nécessite aucune attention à l'ordre des règles, contrairement à un pare-feu traditionnel.
Dans un pare-feu, la combinaison de liste d'autorisation et liste de refus règles signifie que les règles doivent être dans un ordre strict pour fonctionner comme prévu. Dans une liste d'autorisations, étant donné que les choses sont uniquement autorisées, l'ordre dans lequel elles sont autorisées ou le fait qu'elles soient autorisées plus d'une fois ne fait aucune différence.
Cela signifie que la politique de segmentation Zero Trust peut être héritée librement. Je peux rédiger une politique une seule fois et la réutiliser autant de fois que nécessaire. Une charge de travail peut tirer une partie de sa politique de la politique environnementale de PROD, de la politique au niveau du centre de données et de la politique que nous avons rédigée pour toutes les bases de données. Nous pouvons définir une politique pour les services de base une seule fois, puis faire en sorte que chaque charge de travail de l'environnement assume cette politique. L'héritage facilite grandement la création de politiques Zero Trust par rapport aux méthodes traditionnelles.
Distribuez la rédaction de règles pour gagner en évolutivité
La rédaction des règles de pare-feu est depuis longtemps centralisée et gérée par une équipe de sécurité réseau, car les appareils font effectivement partie de l'architecture réseau. Cela a donné lieu à des conversations délicates où l'équipe chargée du pare-feu a besoin que l'équipe chargée de l'application décrive en adresses IP le fonctionnement de ses systèmes. Ce n'est qu'alors que l'équipe chargée du pare-feu pourra traduire cela en règles. Mais pourquoi s'embêter avec toutes ces communications et ces traductions ?
Grâce à la segmentation Zero Trust et à une fonctionnalité robuste de contrôle d'accès basé sur les rôles (RBAC), l'écriture de règles peut être distribuée. Lorsque la solution Zero Trust Segmentation a été conçue pour fournir des vues et des fonctionnalités spécifiques à l'application, il est possible d'avoir les propriétaires d'applications rédigent ou valident la politique pour le fonctionnement interne de leur application, puis pour que l'équipe centralisée approuve leur travail et ajoute les politiques relatives aux services de base, au centre de données et à l'accès à Internet.
Une solide solution de segmentation Zero Trust permet aux équipes chargées de l'application et de DevOps d'agir tout au long du processus de rédaction des politiques. Plus votre organisation souhaite automatiser, plus cette délégation prend de l'importance. Lorsque toute l'équipe peut travailler pour atteindre des objectifs communs, cela renforce la confiance, la cohésion organisationnelle et accélère la mise en œuvre d'une politique de segmentation Zero Trust.
En résumé
Les centres de données et les environnements cloud sont complexes, et il serait naturel de supposer que la rédaction d'une politique de segmentation présenterait la même complexité. Mais les meilleures solutions de segmentation Zero Trust remplacent le processus traditionnel de développement de règles de pare-feu par des flux de travail simples, évolutifs et efficaces. Un modèle de politique déclarative signifie que vous pouvez dire ce que vous voulez, pas comment le faire.
Les humains sont doués pour dire ce qu'ils veulent, et un moteur de politique intelligent peut transformer cela en règles pour l'infrastructure. Lorsque la politique est basée sur des noms familiers et peut être réutilisée plusieurs fois, cela réduit la charge de travail de l'ensemble de l'équipe.
Mieux encore, lorsque l'ensemble de l'équipe peut collaborer, les barrières inefficaces entre les équipes s'effondrent et l'ensemble de l'organisation peut travailler ensemble pour sécuriser les actifs critiques. La segmentation Zero Trust améliore tous les aspects de la politique de segmentation, tout en resserrant la segmentation tout en allégeant la charge de travail de l'organisation.
