Guide de l'architecte pour le déploiement de la microsegmentation : gestion du processus de déploiement

1re partie et partie 2 de cette série explorent les implications de la modification de votre modèle de sécurité et les ressources nécessaires pour réussir votre déploiement de microsegmentation.

Dans la troisième partie, nous examinerons la meilleure façon de gérer le processus de déploiement avec des points de contrôle spécifiques à ajouter à votre plan.

À bien des égards, le déploiement de la microsegmentation n'est qu'un projet informatique comme les autres. Il y a un travail technique, un travail politique et un travail de coordination comme pour tout projet. Ci-dessous, je soulignerai les considérations spéciales qui rendent un déploiement de microsegmentation aussi fluide que possible. Il s'agit des « meilleures pratiques » que nous avons dégagées à partir de nombreux déploiements d'entreprise à grande échelle et qui peuvent être adaptées à des déploiements de toutes tailles.

Garantir une formation générale à l'ensemble de l'équipe de projet

Faites participer le plus de personnes possible à la classe de formation générale du fournisseur. Cela permet aux participants de se familiariser avec l'architecture, le langage politique et les concepts fondamentaux de la microsegmentation. Lorsque toute l'équipe du projet y participe ensemble, l'ensemble du processus de conception devient plus robuste. Chaque membre de l'équipe interfonctionnelle mentionnée ci-dessus a une vision différente de l'informatique et comprend les contraintes et l'architecture existante d'un point de vue unique.

Lorsque chaque personne en sait suffisamment sur le déploiement de la microsegmentation pour indiquer clairement où des complications peuvent survenir, les tests ou les certifications obtenus, et d'autres détails similaires, il est beaucoup plus facile d'élaborer un plan de déploiement complet. Plus tôt ces points de vue seront pris en compte dans le processus de planification, mieux ce sera. Si les équipes sont recrutées une par une au fur et à mesure de l'avancement du projet, de nombreux éléments du « chemin critique » ne seront découverts que des semaines plus tard. Ce préavis donne à l'ensemble de l'organisation plus de temps pour planifier et réagir.

Attendez-vous à des livrables de conception complets

Un déploiement de microsegmentation comporte plusieurs nouveaux concepts, comme nous l'avons noté ci-dessus. Ces éléments doivent être pris en compte dans le plan et le calendrier du projet. Si le plan de projet ne comporte que des étapes techniques et ne tient pas compte de la coordination, des notifications entre les équipes et d'autres points de contact, le projet échouera plusieurs semaines à la fin du projet. Chaque entreprise organise et suit des projets à saveur locale, mais chaque projet doit comporter :

• Un plan de déploiement détaillé. Un fournisseur doit fournir un modèle du « travail à effectuer » contenant toutes les « leçons apprises » et les « meilleures pratiques ». Cela devrait être intégré dans un plan de déploiement réalisable, avec des noms et des dates attribués le cas échéant. Le plan doit être approuvé par les équipes qui l'exécutent et le sponsor exécutif doit s'attendre à une cadence de rapports sur les progrès.
• Un plan d'étiquetage et de métadonnées. La politique de microsegmentation étant basée sur des noms et des étiquettes plutôt que sur des adresses IP, l'équipe devra évaluer les sources de données actuelles et identifier les lacunes. Pour les opérations en cours, il peut être nécessaire de créer ou d'améliorer des politiques et des flux de travail concernant la manière dont les métadonnées sont créées et gérées au fur et à mesure des applications.
• Une politique de sécurité initiale détaillée. Nos déploiements les plus rapides ont eu lieu lorsque l'équipe de déploiement avait un objectif politique clair dès le début du projet. La microsegmentation est capable d'offrir une plus grande granularité que les entreprises n'en avaient par le passé. Pour la plupart de nos clients, la microsegmentation offre bien plus que ce qui était initialement requis. L'équipe de projet avisée atteindra d'abord les objectifs du projet et ne se laissera pas entraîner dans tout ce qui sera finalement possible avec la plateforme. Il est préférable de détailler la politique initiale et de faire en sorte que l'équipe travaille d'arrache-pied pour atteindre cet objectif. Une fois que toutes les charges de travail sont sécurisées conformément à la politique de sécurité initiale, le resserrement peut être effectué en fonction des besoins de l'entreprise sur une base ajustée au risque. Évitez « d'essayer de faire bouillir l'océan ».
• Une liste et une description de toutes les automatisations requises et de la personne qui va les rédiger. Le déploiement en masse d'agents, l'importation d'étiquettes et de métadonnées, et bien d'autres choses encore, seront probablement réalisés par le biais de l'automatisation. Selon l'équipe qui occupe le poste de responsable technique, ce travail peut être effectué par d'autres équipes. Cela nécessitera une planification et une coordination supplémentaires. Le fait de savoir très tôt exactement ce dont elle a besoin et dans quels délais aidera chaque équipe à éviter les surprises et à rester sur la bonne voie.
• Une liste et une description de tous les points d'intégration requis et des personnes qui s'en chargeront. Au minimum, les journaux de sécurité et opérationnels seront probablement envoyés à un SIEM ou à une plateforme d'analyse de données volumineuses. Des personnalisations supplémentaires, des tableaux de bord et d'autres outils peuvent être nécessaires. Il s'agit souvent d'un domaine qui implique d'autres équipes que l'équipe responsable du projet. Votre fournisseur disposera d'ingénieurs de maintenance professionnels possédant une expertise spécifique et devra mobiliser les bonnes ressources pour votre projet. Il est important de déterminer qui fait quoi au début du projet afin d'aligner les échéanciers.
• Liste des processus et flux de travail internes qui seront affectés par le déploiement de la microsegmentation. La microsegmentation modifie la façon dont votre organisation définit sa politique de sécurité. Si quelqu'un modifie les étiquettes ou les métadonnées, cela modifiera la politique de sécurité appliquée à une charge de travail. En théorie, cela revient à demander un changement de règle de pare-feu. Cependant, la plupart des organisations constatent que certains flux de travail clés doivent être appliqués ou étendus afin que les garanties existantes s'appliquent. Attendez-vous à ce que l'équipe les identifie et les élève aux niveaux appropriés pour la coordination et l'approbation. Cela est essentiel pour faciliter l'appropriation à long terme d'une solution de microsegmentation, et un travail impossible sans l'approbation et la coordination au niveau de la direction.

Cadence des rapports

Les déploiements de microsegmentation se déroulent sans heurts lorsqu'il existe trois niveaux de reporting, chacun ayant sa propre cadence :

1. État technique du projet : Le chef d'équipe, les ingénieurs de service professionnels du fournisseur et les autres personnes profondément impliquées dans le travail doivent communiquer régulièrement. C'est ce que nous constatons souvent sur des horaires aussi courts que des appels de statut quotidiens ou hebdomadaires à long terme. Ces appels sont normalement dirigés par les PM et le responsable technique et se concentrent directement sur le travail. Un large éventail de personnes sont invitées à participer à cet appel selon leurs besoins.
2. État du projet : Il s'agit d'un appel auquel ont participé les PM, le chef d'équipe et les gestionnaires et directeurs intéressés des deux côtés. Normalement, c'est toutes les deux semaines ou une fois par mois. Il est conçu pour communiquer le statut général rouge-vert, identifier les lacunes, demander des escalades ou des ressources supplémentaires, etc. Il ne s'agit pas d'un appel technique, mais d'un appel de gestion de projet conçu pour tenir le fournisseur et l'entreprise informés de la situation.
3. Statut exécutif : Les entreprises déploient la microsegmentation pour obtenir des avantages commerciaux spécifiques. Une cadence mensuelle ou trimestrielle avec le sponsor exécutif, les responsables des fournisseurs et le responsable des comptes garantit que le projet est toujours aligné sur les objectifs et priorités généraux de l'entreprise. Il fournit un forum permanent permettant aux deux équipes d'interagir et de hiérarchiser les priorités de manière appropriée pour la réussite du projet. Il s'agit généralement d'une réunion de 30 minutes, mais elle peut s'étendre plus longtemps avant des étapes clés, telles que l'entrée en vigueur pour la première fois.

Et c'est tout. La communication est au cœur de tout déploiement réussi de microsegmentation. Lorsque tous les membres de l'équipe sont correctement formés, que les livrables sont définis et respectés, et que la cadence de reporting est convenue et maintenue, un déploiement efficace de la microsegmentation est non seulement réalisable, mais plus facile que vous ne le pensez.

Consultez la quatrième partie de cette série, où nous aborderons cinq points sur lesquels vous pouvez vous appuyer pour accélérer le succès de votre déploiement de microsegmentation.