Guide de l'architecte pour le déploiement de la microsegmentation : Cinq endroits pour se pencher sur la question

Chez Illumio, nous avons constaté que certains des déploiements de microsegmentation les plus réussis résultent d'une vision claire des considérations de conception, du processus et de l'équipe requise à l'avance. C'est pourquoi j'ai documenté les leçons apprises et les meilleures pratiques éprouvées lors de centaines de déploiements chez des clients afin de vous aider dans votre démarche de microsegmentation.

Pour un bref retour en arrière, voici ce que vous pouvez trouver :

• Partie 1, qui examine les implications de la modification de votre modèle de sécurité (c'est-à-dire le déploiement de la microsegmentation par opposition à la poursuite des pare-feu traditionnels est-ouest).
• Partie 2, qui explore la structure d'équipe recommandée pour des déploiements optimaux de la microsegmentation.
• Partie 3, où nous examinons les points de contrôle spécifiques à surveiller pendant le processus de déploiement afin d'éviter d'éventuels blocages.

Nous avons parcouru un long chemin, et nous allons ici pousser la discussion un peu plus loin.

Chaque organisation dispose de garde-fous officiels et officieux lorsqu'elle déploie une nouvelle technologie ou adopte une nouvelle approche pour sécuriser son organisation. Chaque membre de l'équipe responsable a intériorisé ce qu'il est acceptable de faire, et quand il a besoin d'une approbation, d'une "couverture aérienne" ou d'une permission pour agir. Si l'équipe ne l'a pas, les progrès seront bloqués, et il n'est que trop facile de perdre une semaine ou plus si les horaires de voyage retardent les réunions internes nécessaires pour résoudre les problèmes.

D'après mon expérience, le sponsor exécutif ou le délégué de confiance (comme indiqué dans la deuxième partie de cette série) peut intervenir à cinq niveaux et accélérer le projet en prenant une décision, que j'ai décrite ci-dessous.

Chacun de ces points est aussi celui où quelque chose peut mal tourner avec des conséquences réelles. L'équipe sera naturellement peu encline à prendre des risques dans ces moments-là, et elle sera reconnaissante lorsque, après avoir présenté ses préparatifs et ses précautions, on lui dira d'aller de l'avant et de faire ce qu'elle a prévu de faire. Il s'agit également de moments du plan de déploiement où l'équipe de gestion est susceptible de recevoir des appels téléphoniques, des courriels ou des visites de l'équipe de projet pour demander de l'aide, une approbation ou des conseils, il est donc important de comprendre à l'avance pour éviter des retards évidents plus tard.

Cinq endroits pour se pencher sur la question

1. Permission d'installer des agents de microsegmentation en masse

L'équipe serveur/OPS sera sensible à ce stade, même après des tests et une validation complets. Il est souvent utile d'avoir un "coup de pouce" ou une enquête exécutive pour s'assurer que cela se produit et que toutes les notifications et procédures adéquates ont été suivies.

2. Approuver (et exiger) la sortie des modes "moniteur seul" et gérer les ruptures.

Lorsque les agents passent en mode d'élaboration de politiques, ils prennent le contrôle total du pare-feu du système d'exploitation ou installent leur propre pare-feu. Bien qu'extrêmement improbable compte tenu des tests et de la validation qui auront été effectués, il existe toujours une faible possibilité d'affecter une charge de travail. À un moment donné, l'équipe devra prendre la décision d'aller de l'avant et de corriger ce qui ne va pas plutôt que d'analyser indéfiniment. Attendez-vous à ce que votre vendeur vous donne des conseils sur la manière de rendre cette opération aussi facile que possible.

3. Approuver les orientations politiques initiales et les règles qui en découlent

Comme nous l'avons vu plus haut, la définition initiale de la politique est un objectif important pour l'équipe. Ils doivent savoir que c'est correct et acceptable pour que tout le monde puisse s'y rallier. Il servira également de point de ralliement pour le responsable technique afin d'éviter que le projet ne prenne de l'ampleur. Psychologiquement, la plupart des administrateurs de sécurité sont habitués à programmer des ensembles de règles qui ont été minutieusement vérifiés par un processus existant. La rédaction de la première série de règles n'utilisera probablement pas ce processus, et le fait de disposer d'une politique initiale définie et approuvée permet à chacun de fonctionner en toute sérénité.

4. Veiller à ce que le flux de travail et les processus internes soient créés correctement.

Avant d'entrer dans l'environnement PROD, il est important de s'assurer que l'équipe s'est coordonnée avec toutes les personnes, les processus, les approbateurs et les parties prenantes appropriés. La surprise est très mauvaise lorsque les enjeux sont importants. Il est bon d'inspecter soigneusement le processus et de s'assurer que l'équipe n'a oublié personne, ni aucun pair exécutif qui a besoin d'être informé.

5. Approuver (et exiger) le passage à l'application de la politique et gérer les ruptures

Après des semaines de mise en œuvre et de tests minutieux de la politique initiale de microsegmentation, l'équipe se sentira confiante quant au passage à l'application de la politique. En application, la microsegmentation bloque tout le trafic qui n'est pas expressément autorisé. Il s'agit d'un "grand pas". C'est la raison pour laquelle de nombreuses organisations ont acheté la microsegmentation, et souvent les auditeurs vont inspecter les résultats. Dans un projet de grande envergure, il est presque certain que quelque chose sera oublié, inconnu ou non pris en compte. Dans les jours ou les semaines qui suivent, quelque chose sera bloqué et des appels téléphoniques seront passés.

C'est vrai pour les pare-feu matériels et pour la microsegmentation. À un moment donné du projet, le parrain exécutif saura que toutes les préparations raisonnables ont été faites. À ce moment-là, l'équipe devra et voudra obtenir l'autorisation de poursuivre. En l'absence d'un leadership et d'une communication clairs, l'organisation aura tendance à privilégier la sécurité d'une évolution latérale plutôt que le risque contrôlé d'une évolution vers l'avant. La bonne décision exécutive motivera le progrès et communiquera clairement la priorité d'aller de l'avant.

Vous pouvez éviter ces pièges (et d'autres) en prévoyant chaque cas à l'avance et en vous préparant en conséquence. Comme nous l'avons mentionné plus haut, la transparence est au cœur de toute cette discussion.

Dans la cinquième et dernière partie de cette série, j'examinerai comment gérer au mieux vos relations avec les fournisseurs et comment maintenir l'intégrité opérationnelle. Pour en savoir plus, lisez mon guide complet sur Medium aujourd'hui : https://medium.com/@nathanael.iversen/executive-guide-to-deploying-micro-segmentation-60391e7d1e30