.png)
Guide de l'architecte pour le déploiement de la microsegmentation : cinq points sur lesquels « s'appuyer »
Chez Illumio, nous avons constaté que certaines des entreprises les plus réussies microsegmentation les déploiements résultent d'une vision claire des considérations de conception, du processus et de l'équipe requise à l'avance. Plus d'informations permettent de faciliter les déploiements. C'est pourquoi j'ai documenté les leçons apprises et les meilleures pratiques éprouvées en travaillant sur des centaines de déploiements de clients afin de vous aider dans votre parcours de microsegmentation.
Pour un rapide retour en arrière, voici où vous pouvez trouver :
- 1re partie, qui décrit les implications de la modification de votre modèle de sécurité (par exemple, le déploiement de la microsegmentation au lieu de continuer à utiliser des pare-feux est-ouest traditionnels).
- Deuxième partie, qui explore la structure d'équipe recommandée pour des déploiements de microsegmentation optimaux.
- Troisième partie, où nous examinons les points de contrôle spécifiques à surveiller pendant le processus de déploiement afin d'éviter d'éventuels barrages routiers.
Nous avons parcouru un long chemin et nous allons poursuivre cette discussion un peu plus loin.
Chaque organisation dispose de dispositifs de protection officiels et non officiels lors du déploiement d'une nouvelle technologie ou de l'adoption d'une nouvelle approche pour sécuriser son organisation. Chaque membre de l'équipe responsable a intériorisé ce qu'il est acceptable de faire et les moments où il a besoin d'une approbation, d'une « couverture aérienne » ou d'une autorisation pour agir. Si l'équipe n'en a pas, les progrès seront ralentis et il est trop facile de perdre une semaine ou plus si les horaires de voyage retardent les réunions internes nécessaires pour résoudre les problèmes.
D'après mon expérience, il existe cinq domaines dans lesquels le sponsor exécutif ou le délégué de confiance (comme indiqué dans la deuxième partie de cette série) peut « s'appuyer » et accélérer le projet en prenant une décision, comme je l'ai décrit ci-dessous.
Chacun de ces points est également le moment où quelque chose peut mal tourner avec de réelles conséquences. L'équipe sera naturellement réticente à prendre des risques à ces moments-là, et elle sera reconnaissante lorsque, après avoir présenté ses préparatifs et ses précautions, on lui demandera de poursuivre et de faire ce qui est prévu. Ce sont également des points du plan de déploiement que l'équipe de direction est susceptible de recevoir des appels téléphoniques, des e-mails ou des visites de l'équipe de projet pour demander de l'aide, une approbation ou des conseils. Il est donc important de les comprendre à l'avance pour éviter des retards évidents par la suite.
Cinq endroits où « se détendre »
1. Autorisation d'installer des agents de microsegmentation en masse
L'équipe Serveur/OPS fera preuve de sensibilité à ce stade, même après des tests et une validation complets. Il est souvent utile de mener une enquête « push » ou exécutive pour s'assurer que cela se produit et que toutes les notifications et processus appropriés ont été suivis.
2. Approuver (et exiger) la sortie des modes de surveillance uniquement et la prise en charge des ruptures
Lorsque les agents passent en mode élaboration de politiques, ils prennent le contrôle total du pare-feu du système d'exploitation ou installent le leur. Bien que cela soit extrêmement improbable compte tenu des tests et de la validation qui auront eu lieu, il est encore très peu probable que cela ait une incidence sur la charge de travail. À un moment donné, l'équipe aura besoin de leadership pour prendre la décision d'aller de l'avant et de corriger tout ce qui ne va pas au lieu d'analyser indéfiniment. Attendez-vous à ce que votre fournisseur vous indique comment rendre cela aussi simple que possible.
3. Approuver les directives politiques initiales et les règles qui en découlent
Comme indiqué ci-dessus, la définition initiale de la politique est un objectif important pour l'équipe. Ils ont besoin de savoir que c'est correct et acceptable pour que tout le monde puisse y accéder. Ce sera également un point de ralliement pour le responsable technique afin d'éviter des écarts de portée dans le projet. Psychologiquement, la plupart des administrateurs de sécurité ont l'habitude de programmer dans des ensembles de règles qui ont été minutieusement vérifiés par un processus existant. La rédaction de la première série de règles ne fera probablement pas appel à ce processus, et le fait d'avoir une politique initiale définie et approuvée assure la couverture aérienne et le confort nécessaires à tout le monde.
4. S'assurer que le flux de travail et les processus internes sont créés correctement
Avant d'entrer dans l'environnement PROD, il est important de s'assurer que l'équipe s'est coordonnée avec toutes les personnes, processus, approbateurs et parties prenantes appropriés. La surprise est très mauvaise quand les enjeux sont élevés. Il est bon d'inspecter le processus avec soin et de s'assurer que l'équipe n'a oublié personne, ni aucun pair de la direction qui a besoin de le savoir.
5. Approuver (et exiger) le passage à l'application des politiques et à la prise en charge des ruptures
Après des semaines de mise en œuvre minutieuse et de tests de la politique initiale de microsegmentation, l'équipe se sentira confiante quant à la mise en œuvre de la politique. En cas d'application, la microsegmentation bloquera tout le trafic qui n'est pas expressément autorisé. Il s'agit d'un « grand pas ». C'est pourquoi de nombreuses organisations ont acheté la microsegmentation, et souvent les auditeurs vont inspecter les résultats. Dans un projet de grande envergure, il est presque certain que quelque chose sera oublié, inconnu ou oublié. Dans les jours ou les semaines qui suivent, quelque chose sera bloqué et des appels téléphoniques seront effectués.
C'est vrai pour les pare-feux matériels et c'est vrai pour la microsegmentation. À un moment donné du projet, le sponsor exécutif saura que tous les préparatifs raisonnables ont été faits. À ce stade, l'équipe aura besoin et souhaitera obtenir une approbation pour poursuivre. Sans un leadership et une communication clairs, l'organisation aura tendance à privilégier la sécurité des mouvements latéraux au lieu de privilégier le risque contrôlé d'une avancée. La bonne décision exécutive motivera les progrès et communiquera clairement la priorité d'aller de l'avant.
Vous pouvez éviter ces pièges (et d'autres) en planifiant chaque instance à l'avance et en vous préparant en conséquence. Comme mentionné ci-dessus, la transparence est au cœur de toute cette discussion.
Dans la cinquième et dernière partie de cette série, j'explorerai la meilleure façon de gérer votre relation avec les fournisseurs et de préserver l'intégrité opérationnelle. Pour en savoir plus, lisez mon guide complet sur Medium dès aujourd'hui : https://medium.com/@nathanael.iversen/executive-guide-to-deploying-micro-segmentation-60391e7d1e30
