Illumio Insights のご紹介 — AIを活用し、可視化・検知・封じ込めを革新する新たなソリューション
詳細はこちら

セキュリティに関して課題がありますか?

|
お問い合わせ
|
+1 855 426 3983
ブログ
/
ゼロトラストセグメンテーション

マイクロセグメンテーションを展開するためのアーキテクトガイド:「リーンイン」するための5つの場所

Illumio Editorial
Illumio Editorial
2020年8月27日
23分読む

イルミオでは、最も成功した マイクロセグメンテーション の展開のいくつかは、設計上の考慮事項、プロセス、および必要なチームを事前に明確に把握していることから生じることがわかりました。情報が多ければ多いほどデプロイがスムーズになるため、何百もの顧客デプロイメントに取り組んで得た教訓と実証済みのベストプラクティスを文書化して、マイクロセグメンテーションの取り組みを支援しています。

簡単に振り返るために、次の場所を見つけることができます。

  • パート1では、セキュリティモデルを変更した場合の影響について説明します(つまり、従来の東西ファイアウォールを継続するのではなく、マイクロセグメンテーションを展開します)。
  • パート 2 では、最適なマイクロセグメンテーション展開のために推奨されるチーム構造について説明します。
  • パート 3 では、起こり得る障害を回避するために、デプロイ プロセス中に注意すべき特定のチェックポイントを検討します。

私たちは長い道のりを歩んできましたが、ここではこの議論をさらに一歩進めていきます。

すべての組織には、新しいテクノロジーを導入したり、組織を保護するための新しいアプローチを採用したりする際に、非公式と公式の両方のガードレールがあります。責任チームの各メンバーは、自分が何をしてもよいか、いつ何らかの承認が必要な場合、「エアカバー」、または行動を起こす許可を内面化しています。チームにそれがなければ、進捗は停滞し、出張スケジュールによって問題解決に必要な社内会議が遅れると、1週間以上失われやすいです。

私の経験では、エグゼクティブスポンサーまたは信頼できる代表者(このシリーズのパート2で説明したように)が「身を乗り出し」、以下に概説する決定でプロジェクトを加速できる場所は5つあります。

これらはそれぞれ、何かがうまくいかず、実際の結果をもたらす可能性があるポイントでもあります。このような瞬間、チームは当然リスクを嫌うようになりますが、準備と予防策を提示した後、計画どおりに実行するように言われると感謝するでしょう。また、展開計画において、運営陣がプロジェクトチームから電話やメール、訪問を受けて助けや承認、指導を求める可能性が高いポイントでもあるため、後日明らかな遅延を避けるためにも、事前に理解しておくことが大切です。

「寄りかかる」5つの場所

1. マイクロセグメンテーションエージェントを一括インストールする権限

サーバー/OPS チームは、完全なテストと検証の後でも、この時点で感度を持ちます。多くの場合、「プッシュ」またはエグゼクティブの問い合わせを行うことで、これが実現し、すべての適切な通知とプロセスが守られていることを確認することが役立ちます。

2. モニターのみのモードからの移行を承認 (および要求) し、破損に対処する

エージェントがポリシー構築モードに移行すると、オペレーティングシステムのファイアウォールを完全に制御するか、独自のファイアウォールをインストールします。テストと検証が行われることを考えると、その可能性は非常に低いですが、ワークロードに影響を与える可能性はまだ低いです。ある時点で、チームは、無期限に分析するのではなく、前進し、問題があれば修正するよう呼びかけるリーダーシップが必要になるでしょう。ベンダーは、これをできるだけ簡単にする方法についてガイダンスを持っていることを期待してください。

3. 最初のポリシーガイドラインとその結果のルールの承認

上で説明したように、最初のポリシー定義はチームにとって重要な目標です。誰もがそれに向かって走れるように、それが正しく、受け入れられることを知る必要があります。また、技術リーダーがプロジェクトにおけるスコープクリープを回避するための結集点にもなります。心理的には、ほとんどのセキュリティ管理者は、既存のプロセスによって徹底的に精査されたルールセットでプログラミングすることに慣れています。最初の一連のルールを作成すると、そのプロセスは使用されない可能性が高く、定義され承認された初期ポリシーを持つことで、誰もが操作できる空気カバーと快適さが得られます。

4. 社内のワークフローとプロセスが正しく作成されていることを確認する

PROD 環境に入る前に、チームが適切な人、プロセス、承認者、利害関係者全員と調整していることを確認することが重要です。賭け金が高いとき、サプライズは非常に悪いものです。プロセスを注意深く検査し、チームが誰も、または知る必要のあるエグゼクティブの同僚を見逃していないことを確認するのは良いことです。

5. ポリシーの施行への移行を承認(および要求)し、破損に対処する

最初のマイクロセグメンテーションポリシーを数週間にわたって慎重に実装し、テストすることで、チームはポリシーの適用への移行に自信を持つことができます。適用では、マイクロセグメンテーションは明示的に許可されていないすべてのトラフィックをブロックします。これは「大きな一歩」です。そのため、多くの組織がマイクロセグメンテーションを購入し、多くの場合、監査人が結果を検査します。大規模なプロジェクトでは、何かが見落とされたり、不明になったり、説明されていないことがほぼ確実です。その後の数日または数週間で、何かがブロックされ、電話がかけられます。

これはハードウェアファイアウォールにも当てはまり、マイクロセグメンテーションにも当てはまります。プロジェクトのある時点で、エグゼクティブスポンサーは、すべての合理的な準備が行われたことを知ることができます。その時点で、チームは続行するために承認を必要とし、希望します。明確なリーダーシップとコミュニケーションがなければ、組織は前進するための制御されたリスクではなく、横道に進むことの安全性に偏る傾向があります。経営陣の正しい決定は、前進の動機付けとなり、前進の優先順位を明確に伝えます。


これらの (およびその他の) 落とし穴は、事前に各インスタンスを計画し、それに応じて準備することで回避できます。前述したように、透明性はこの議論全体の中心です。

このシリーズの第 5 部と最終部では、ベンダーとの関係を管理する最善の方法と、運用の整合性を維持する方法について説明します。詳細については、今すぐMediumに関する私の包括的なガイドをお読みください: https://medium.com/@nathanael.iversen/executive-guide-to-deploying-micro-segmentation-60391e7d1e30

関連トピック

マイクロセグメンテーション

関連記事

サイバーセキュリティのROI、重要インフラのゼロトラスト、米国の新しい実施計画
ゼロトラストセグメンテーション

サイバーセキュリティのROI、重要インフラのゼロトラスト、米国の新しい実施計画

2023年7月のイルミオのニュース報道の概要をご覧ください。

詳細はこちら
構造化されたポリシー制御でセグメンテーションを正しく行う
ゼロトラストセグメンテーション

構造化されたポリシー制御でセグメンテーションを正しく行う

最終的に、ゼロトラストセグメンテーション制御は、システムや環境全体に侵害が広がるのを防ぐためのセキュリティルールを作成および適用することです。

詳細はこちら
ネットワークセキュリティはワークロードセキュリティではありません
ゼロトラストセグメンテーション

ネットワークセキュリティはワークロードセキュリティではありません

ネットワークセキュリティとネットワークベースのソリューション、およびワークロードセキュリティとマイクロセグメンテーションなどのソリューションの間には、明確な違いがあります。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る