Blogue
/
Segmentation Zero Trust

Guide de l'architecte pour le déploiement de la microsegmentation : gestion de la relation fournisseur et intégration opérationnelle

Éditorial Illumio
,
September 3, 2020
23 min. de lecture

Transition par rapport à la tradition segmentation du réseau (tels que des pare-feux) pour microsegmentation nécessite un effort orchestré dirigé par des architectes ou des chefs de projet. En comprenant et en explorant à l'avance les véritables avantages et la voie la plus claire vers l'optimisation, il est possible de réussir tout au long du processus de déploiement.

Cette série a dévoilé les nombreuses considérations. Dans cette cinquième et dernière partie, j'aborderai la meilleure façon de gérer votre relation avec les fournisseurs et de maintenir l'intégration opérationnelle.

Gestion de la relation avec les fournisseurs

Le fournisseur que vous avez choisi souhaite voir votre projet de microsegmentation réussir tout autant que vous. Du côté des fournisseurs, nous communiquons régulièrement en interne à propos de chaque déploiement afin de nous assurer que les fonctionnalités, les ressources et le code sont tous disponibles au moment où ils sont nécessaires.

Traitez votre fournisseur comme un partenaire stratégique, afin d'obtenir nos meilleures performances. Lorsque nous savons non seulement « ce dont vous avez besoin », mais aussi « pourquoi vous en avez besoin » et « pourquoi vous en avez besoin et quand », il est beaucoup plus facile de déplacer notre équipe élargie. Si vous tenez votre fournisseur à distance et que nous ne pouvons envisager que la toute prochaine étape du plan de projet, nous ne sommes souvent pas en mesure d'avoir une vue d'ensemble et d'apporter notre expertise et les leçons apprises avant qu'il ne soit trop tard. Tout projet peut être retardé, devoir se terminer plus tôt que prévu ou avoir d'autres résultats. Communiquez rapidement les changements importants, et votre fournisseur sera le mieux placé pour absorber les changements et vous aider à ajuster le plan et l'exécution.

Check list

Plusieurs partenariats clés doivent être mis en place au cours des premières semaines du projet :

  1. Architecte de solutions, ingénieur des services professionnels, chef de projet, responsable technique. Il s'agit de l'équipe de travail technique de base. Ensemble, ils effectueront la plupart des travaux techniques nécessaires à la réussite du projet. Il est important qu'il y ait un dialogue libre, ouvert et respectueux.
  2. Architecte de la réussite client, directeur, architecte de projet. Il s'agit de l'équipe de travail stratégique. Ils doivent savoir ce qui se passe sur le plan technique et anticiper l'équipe du projet pour éliminer ou minimiser les obstacles. Cette relation doit être suffisamment confortable pour que les deux parties puissent parler de manière transparente des problèmes et des défis. Il s'agit du premier point d' « escalade » pour les deux parties si quelque chose ne va pas bien.
  3. Directeur de compte, vice-présidents des fournisseurs et sponsor exécutif. Il s'agit de l'équipe de travail au niveau de l'entreprise qui est responsable des résultats. Cette équipe gère toutes les escalades qui peuvent survenir entre les entreprises. Chaque partie aura un risque d'exécution qui doit être compris et exprimé à ce niveau. Cette équipe devrait discuter davantage que du projet en cours pour inclure une feuille de route, des opportunités supplémentaires et des points de levier pour la microsegmentation.

Le sponsor exécutif qui veille au bon fonctionnement de chacune de ces équipes sera rarement surpris par les inconvénients et constatera que la plupart des problèmes inévitables sont traités sans attirer l'attention de la direction, sauf sous forme de rapports de situation. Aucun projet n'est « autogéré », mais lorsque ces trois niveaux de relation sont bien entretenus, les projets ont tendance à se dérouler sans heurts.

Gestion de l'intégration opérationnelle

Maintenant, passons à la vitesse supérieure. La plupart des solutions de microsegmentation comportent quelques composants : au minimum un moteur de politique central et un agent basé sur l'hôte. La complexité associée au déploiement d'un système de microsegmentation provient du fait que ces deux composants concernent de nombreux autres aspects de l'environnement de l'entreprise. Il existe plusieurs « meilleures pratiques » qui faciliteront l'intégration opérationnelle avec les systèmes existants.

Créez un environnement de test d'assurance qualité ou de pré-production

Bien que les équipes internes et fournisseurs se concentrent naturellement sur les instances PROD de la solution, veillez à ce que l'équipe mette en place une petite version d'assurance qualité de la solution de microsegmentation dans un environnement hors production. Cette plateforme aura plusieurs objectifs. Très tôt, ce sera un endroit où les développeurs internes et les équipes chargées des outils d'automatisation pourront tester et développer du code. Les équipes opérationnelles peuvent tester les intégrations de journalisation et la gestion des événements. Les cours de formation internes peuvent utiliser le système pour une formation de familiarisation.

Une fois le déploiement terminé, cette capacité doit être conservée. Assurez-vous que ce système de pré-production gère l'une des images principales de votre système d'exploitation. De cette manière, le nouveau code fournisseur peut être testé dans un environnement hors production par rapport à l'ensemble complet des images du système d'exploitation PROD avant de lancer les nouvelles versions en production. Idéalement, l'équipe de déploiement de votre fournisseur peut présenter ce système comme une seule machine virtuelle légère.

Configuration et test de la journalisation et des alertes d'événements avant le déploiement en production

Il n'est donc pas surprenant que les équipes OPS soient les plus confiantes lorsqu'une intégration opérationnelle complète est terminée avant de coupler les charges de travail de production. Diffuser les journaux, les analyser, émettre des alertes et créer des tableaux de bord demandent du temps et des efforts.

Ce travail fournit toutefois une visibilité complète sur l'état du moteur de politique, des agents et des systèmes sous-jacents. Il est beaucoup plus facile pour tout le monde de travailler dans des environnements de production sensibles en sachant que toute l'instrumentation nécessaire est en place. Attendez-vous à ce que les ingénieurs de maintenance professionnels de votre fournisseur fournissent des recommandations sur les messages clés du journal et recommandent des alertes qui ont été appréciées par d'autres clients.

Trois points de vue différents doivent être pris en compte dans le mécanisme d'analyse des journaux et de gestion des événements :

  1. Sécurité. L'équipe de sécurité se concentrera principalement sur les journaux du pare-feu et les mécanismes anti-falsification de l'agent. Ils sont toujours intéressés par les politiques et les violations des politiques.
  2. OPS. L'équipe OPS se concentrera principalement sur la charge de travail et l'état du moteur de politiques, et souhaitera savoir comment corréler les événements du système avec d'autres événements du centre de données.
  3. Tableau de bord. Les administrateurs de la direction ou du NOC ont souvent besoin d'une vue consolidée du déploiement de la microsegmentation, qui contient les points forts et la possibilité d'effectuer des recherches approfondies.

Lorsque chacune de ces préoccupations est reflétée dans le mécanisme de gestion des journaux, des événements et des alertes, la confiance se renforce au sein de l'organisation, car de nombreuses équipes diversifiées se rendent compte que le projet fournit une intégration complète qui suit les pratiques existantes.

Investissez dans des flux de travail automatisés

Un déploiement de microsegmentation offrira de nombreuses opportunités pour automatiser des processus de sécurité qui ont longtemps été un effort purement manuel. En outre, l'étiquetage par microsegmentation permettra de revoir et d'améliorer l'analyse des sources de métadonnées existantes, et de les combiner de manière innovante. Les métadonnées qui en résultent sont elles-mêmes précieuses et peuvent être préservées pour être utilisées par d'autres systèmes et tâches d'automatisation. Il est courant que les entreprises disposent de meilleures métadonnées après un déploiement réussi de microsegmentation, si un effort modeste est fait. Cet effort porte ses fruits en termes de fonctionnement continu et d'extension du déploiement initial de la microsegmentation.

Installation de l'agent

Le déploiement d'un agent de microsegmentation sur des centaines ou des milliers de systèmes nécessitera une certaine forme d'automatisation. Dans certains cas, il s'agira d'un outillage existant, dans d'autres, il sera construit à partir de zéro. Mais dans de nombreux cas, le souhait sera d'intégrer l'installation de l'agent aux processus de génération automatisés. Qu'il s'agisse de Chef, Puppet, Ansible, Salt ou d'autres frameworks, il est possible d'intégrer la sécurité au cycle de vie automatisé standard de l'entreprise.

La plupart des centres de données d'entreprise combinent une automatisation complète à l'aide de cadres d'orchestration et des environnements existants dépourvus de ces outils. Prendre le temps de travailler à l'intégration avec l'équipe d'orchestration dans la mesure du possible permet de garantir la meilleure réussite du projet. Les environnements plus anciens qui ne bénéficieront pas de la structure d'orchestration peuvent être gérés séparément à l'aide de scripts personnalisés.

Installation du moteur de politiques

Certains de nos clients intègrent également la création du moteur de politiques dans leur package d'orchestration. Si l'instanciation des politiques a été automatisée, la restauration après une panne de serveur peut se faire presque aussi rapidement que l'automatisation peut créer un nouveau moteur de politiques. Les organisations ayant une forte tendance DEV-OPS voudront en tenir compte.

Sauvegarde de base de données Policy Engine

Tous les moteurs de politiques de microsegmentation sont dotés d'une sorte de base de données. Si cette base de données est corrompue ou indisponible, il est probable que la solution ne fonctionne pas du tout ou donne des résultats indésirables. Assurez-vous que l'équipe OPS dispose des sauvegardes nécessaires automatisées et qu'elle est compétente en matière de restauration et de restauration conformément aux procédures de votre fournisseur.

Attribution d'étiquettes

L'attribution initiale d'étiquettes aux charges de travail est généralement effectuée par le biais d'une sorte de téléchargement groupé dans le moteur de politiques. Cela produira des étiquettes correctes pour les systèmes initiaux, dans un état initial. Au fil du temps, les étiquettes changeront. De nouveaux systèmes seront ajoutés, certains disparaîtront. Plus ce flux de travail sera automatisé, plus il sera facile pour toutes les personnes impliquées. Cela impliquera de codifier l'attribution des étiquettes dans la documentation de conception interne et de décider comment la stocker, la mettre à jour et la récupérer.

Votre solution de microsegmentation utilisera toujours des étiquettes, mais il est préférable de gérer ces étiquettes grâce à une gestion centralisée des métadonnées. Votre équipe DEV OPS aura probablement une opinion bien arrêtée sur la gestion des métadonnées, et il est sage de faire entendre sa voix.

Gestion des métadonnées

Un déploiement de microsegmentation permet d'établir une politique de sécurité en fonction des attributions de métadonnées. Cela signifie qu'au fil du temps, votre solution de microsegmentation disposera d'un ensemble d'étiquettes et d'autres métadonnées décrivant la manière dont les éléments doivent interagir. Ces étiquettes ne sont généralement pas fabriquées sur mesure par votre fournisseur ; elles sont réutilisées à partir d'une source fiable existante.

Cela offre une opportunité d'automatisation. Une bonne solution de microsegmentation recalculera toujours la politique lorsque les étiquettes changent. Ainsi, si les métadonnées sont conservées en dehors de votre solution de microsegmentation, cette séparation des tâches peut être exploitée pour l'automatisation. Lorsque la solution de microsegmentation fait référence à une « source de vérité » externe, toute modification des métadonnées peut en informer votre moteur de politiques par programmation, et les règles sont automatiquement mises à jour.

Grâce à la microsegmentation, améliorer la gestion des métadonnées revient à devenir plus intelligent en matière de gestion des politiques et des politiques. Le temps passé à réfléchir à l'endroit où sont stockées les métadonnées utilisées pour créer des étiquettes et à la manière dont elles sont mises à jour, récupérées et transmises à un moteur de politiques est toujours un exercice fructueux. Dans d'autres cas, les informations provenant du moteur de politiques peuvent être utiles pour mettre à jour les systèmes CMDB existants. Le déploiement de la microsegmentation constituera une excellente raison de réfléchir à la manière dont les métadonnées sont utilisées et exploitées dans l'organisation et pourrait donner une impulsion à l'automatisation de ces améliorations.

Tout ramener à la maison

Un déploiement réussi de la microsegmentation améliorera le modèle de segmentation interne, le dialogue politique et le niveau d'automatisation de la sécurité. Diriger l'équipe vers cette destination impliquera de nouveaux apprentissages et de nouvelles opportunités. La microsegmentation modifiera certaines parties du modèle opérationnel existant et sera mieux servie par une équipe de déploiement interfonctionnelle.

En tant que leader, votre contribution sera nécessaire à plusieurs moments clés. En insistant pour avoir les bonnes conversations sur les métadonnées et l'élaboration de politiques, vous avez la possibilité de faire une différence durable en termes de rapidité et d'agilité de l'entreprise. Vous pouvez vraiment bénéficier d'un contrôle précis et d'une automatisation rapide en même temps. J'espère avoir des nouvelles de votre réussite en matière de déploiement, d'opérationnalisation et de gestion de votre propre déploiement de microsegmentation.

Pour une lecture plus approfondie de tout ce que vous devez savoir pour mettre en œuvre une stratégie de microsegmentation du début à la fin, n'oubliez pas de consulter le livre électronique, Secure Beyond Breach : guide pratique pour élaborer une stratégie de cybersécurité axée sur la défense en profondeur grâce à la microsegmentation.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

5 raisons pour lesquelles les CNApps limitent la sécurité de votre cloud
Segmentation Zero Trust

5 raisons pour lesquelles les CNApps limitent la sécurité de votre cloud

Découvrez pourquoi CNApps ne peut pas aller plus loin en matière de sécurité et comment Zero Trust Segmentation peut vous aider.

En savoir plus
Améliorer le retour sur investissement en matière de sécurité, le ZTS pour les terminaux et les défis de sécurité fédéraux
Segmentation Zero Trust

Améliorer le retour sur investissement en matière de sécurité, le ZTS pour les terminaux et les défis de sécurité fédéraux

Alors que les rançongiciels et autres cyberattaques gagnent en sophistication, le renforcement de la cyberrésilience grâce au confinement se traduit par un meilleur retour sur investissement en matière de sécurité.

En savoir plus
Qu'est-ce qui est important dans un modèle politique de microsegmentation ?
Segmentation Zero Trust

Qu'est-ce qui est important dans un modèle politique de microsegmentation ?

Parmi toutes les fonctionnalités à aborder dans une solution de microsegmentation, la plupart des fournisseurs ne commenceraient pas par le modèle de politique.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus