5 raisons pour lesquelles votre équipe de pare-feu adorera la microsegmentation

Je n'oublierai jamais un incident survenu au début de l'histoire de nos clients. Nous venions de terminer une formation auprès d'un gros client pare-feu équipes d'architecture et de mise en œuvre. L'un des principaux administrateurs du pare-feu a levé la main et a déclaré : « Donc, si je comprends bien, je n'aurai plus jamais à écrire de règle de pare-feu. » J'ai souri et j'ai dit : « C'est vrai. »

Six mois plus tard, nous étions ensemble dans l'ascenseur et il m'a dit avec enthousiasme à quel point il aimait la microsegmentation. Je lui ai demandé pourquoi, et il a répondu : « Tu avais raison. Je n'écris plus d'ACL et notre politique est beaucoup plus stricte. »

C'était un moment formidable, mais le fait est que la microsegmentation est idéale pour les équipes chargées des opérations de pare-feu. Voici cinq raisons principales pour lesquelles.

1. Finies les ACL manuelles. D'un point de vue conceptuel, la rédaction de règles de pare-feu est « facile » : il vous suffit de taper les règles correspondant à ce que vous souhaitez autoriser et tout le reste vous sera refusé. C'est vrai à un haut niveau d'abstraction, mais si l'on se rapproche de l'œuvre, c'est une simplification excessive. Dans un pare-feu traditionnel, chaque souhait de politique doit être traduit de la manière dont les propriétaires d'applications parlent de leurs systèmes à la langue des adresses IP, des sous-réseaux et des zones. Avec la microsegmentation, le point d'application se déplace vers l'instance d'application elle-même, ce qui signifie que la segmentation ne repose sur aucune construction de réseau pour l'application. Lorsqu'il est associé à un puissant Moteur de calcul des politiques, l'administrateur peut écrire politiques en langage clair, « Le serveur Web communique avec le serveur d'applications, qui à son tour communique avec la base de données. Les serveurs Web ne communiquent jamais entre eux ni directement avec la base de données ». Une politique simple peut être transformée en une base de règles applicables sans qu'aucun humain n'ait besoin de connaître une adresse IP, un sous-réseau ou une zone. La microsegmentation libère les administrateurs de pare-feu de la nécessité d'écrire des ACL.
   
2. Obtenez un modèle de politique évolutif. Alors que les pare-feux sont prêts à l'emploi avec un refus par défaut en bas du tableau des règles, ils se développent rapidement pour proposer une combinaison complexe d'instructions d'autorisation et de refus. Ces mélanges liste de refus et liste d'autorisation les politiques sont mal adaptées en raison de l'héritage limité. Tant que les règles sont mixtes : autoriser et refuser les instructions, l'ordre des règles est important et cela limite l'héritage, quel ordre une politique fusionnée doit-elle respecter ? La microsegmentation fonctionne à l'état pur Confiance zéro modèle. Comme il n'y a que des instructions d'autorisation, l'héritage des politiques est facile : tout ce qui peut arriver, c'est qu'une chose soit autorisée plusieurs fois. Cela permet de spécifier facilement une politique à n'importe quel niveau d'abstraction arbitraire. Un serveur particulier peut hériter d'une politique à la fois d'une politique à l'échelle du centre de données et d'une politique pour l'environnement de production et les bases de données en général. Lorsqu'une grande partie de la politique provient de modèles, la rédaction de la politique se simplifie et s'adapte bien mieux.
   
3. Sachez que la politique est correcte. L'élaboration d'une politique de pare-feu n'est pas chose aisée. Tout le trafic des applications doit être caractérisé jusqu'au port et au protocole. Ces informations ne sont souvent pas entre les mains des équipes chargées de l'infrastructure et de la sécurité. Pire encore, même l'équipe responsable de l'application n'en est souvent pas consciente, car l'application a peut-être été installée par un fournisseur ou un sous-traitant qui n'est plus impliqué. La microsegmentation fournit une riche carte des dépendances des applications que toute l'équipe peut comprendre. Étant donné que la carte affiche uniquement les données des applications et non les périphériques réseau, les équipes chargées des applications et de DevOps peuvent facilement comprendre les flux générés par leur application et ce qui doit être protégé. La microsegmentation permet de parvenir facilement à un consensus sur la protection des applications critiques et fournit des informations précises à l'équipe chargée des politiques.
   
4. Sachez que la politique est sûre. Comment tester une règle de pare-feu ? Non. Les pare-feux ne fonctionnent pas de cette façon. Nous saisissons les règles et en cas de problème, le téléphone sonne. En 2021, cela ne suffit plus. Dans le cas d'une toute nouvelle application, il est possible de faire des allers-retours avec l'équipe chargée de l'application pour la mettre en production. Mais avec les applications existantes, toute erreur dans la politique de segmentation entraîne une panne. La microsegmentation offre une meilleure solution. Les politiques suivent un cycle de vie qui inclut des étapes de création, de test et d'application. Ainsi, tout le monde, du propriétaire de l'application aux équipes chargées de la sécurité et de l'infrastructure, peut valider que la politique est « telle que conçue » et qu'elle couvre toutes les communications nécessaires. La carte simple des dépendances des applications permet de savoir facilement si la politique est sûre et peut être appliquée.
   
5. Obtenez de l'aide auprès des propriétaires de l'application. Dans chaque organisation, l'équipe chargée des applications compte bien plus de personnes que l'équipe de sécurité. Et si nous considérions le nombre d'applications par rapport au nombre d'auteurs de politiques de segmentation, le contraste serait encore plus important. Compte tenu de cette disparité, il est toujours difficile d'essayer d'aider chaque équipe à comprendre les besoins de l'équipe en matière de pare-feu et à les obtenir en temps opportun. La microsegmentation fournit des visualisations et des flux de travail conçus pour les propriétaires d'applications pour participer au processus. Lorsque l'équipe de l'application est impliquée dans le projet de microsegmentation, il lui est beaucoup plus facile de soutenir les objectifs des équipes chargées de la sécurité et de l'infrastructure pour l'application. Cela renforce la confiance et élimine le jeu des responsabilités lorsque tout le monde peut voir comment fonctionne l'application et l'interaction de la politique de segmentation avec ces flux. Les propriétaires d'applications peuvent facilement valider à la fois les flux et la partie application de la politique, accélérant ainsi les progrès vers la mise en œuvre.

La microsegmentation est idéale pour les administrateurs de pare-feu. Échangez des règles de pare-feu manuelles pour une politique de langage naturel simple ne nécessitant aucune connaissance du réseau. Bénéficiez d'un véritable modèle de politique Zero Trust qui évolue facilement grâce à un héritage complet. Toutes les politiques de segmentation doivent être correctes et complètes. La microsegmentation en fait un processus graphique simple auquel les propriétaires de l'application peuvent participer. Avec eux à vos côtés, le projet de segmentation devient plus rapide, plus facile et plus agréable. La microsegmentation est la mise à niveau que les administrateurs du pare-feu attendaient.