Mise en œuvre du Zero Trust — Étapes 2 et 3 : Déterminez sur quel pilier Zero Trust se concentrer et spécifiez le contrôle exact

Cette série de blogs développe les idées présentées dans mon billet de mars, »Zero Trust n'est pas difficile... Si vous êtes pragmatique».

Dans ce billet, j'ai décrit six étapes pour atteindre Zero Trust. Ici, je vais approfondir deux des six étapes décrites afin de fournir un cadre solide qui peut être utilisé par les praticiens de la microsegmentation dans les organisations, grandes et petites, pour améliorer la réussite de leurs projets. Avant de commencer, voici une représentation visuelle de chaque étape :

Étape 2 : Déterminez sur quel pilier Zero Trust vous devez vous concentrer

Dans partie 1 de cette série, j'ai examiné la question « Identifier les éléments à protéger » et je vous ai recommandé, pour atteindre votre objectif à long terme, à savoir l'adoption de Zero Trust à l'échelle de l'entreprise, de commencer modestement et de rechercher des candidatures répondant idéalement à au moins 2 des 3 critères énumérés ci-dessous :

• Disposer d'un moteur solide pour adopter les principes de sécurité Zero Trust, c'est-à-dire une exigence de conformité ou réglementaire, un résultat d'audit qui doit être traité ou une réponse à une violation.
• Sont considérées comme des applications critiques.
• Ayez la volonté d'être des cobayes.

Imaginez que j'ai fait le tour de mon organisation et que j'ai trouvé une application qui gère les données PCI et qui doit donc être conforme à Exigences PCI-DSS. Il se trouve également qu'un audit a révélé un « accès excessif au réseau », qu'il s'agit d'un élément essentiel du système de paiement de mes clients et, après avoir été très convaincante, l'équipe chargée de l'application a accepté de travailler avec moi pour adopter un cadre Zero Trust afin de sécuriser correctement son application. Si je consulte rapidement ma liste de critères de sélection, je peux voir que l'application que j'ai choisie répond aux 3 exigences.

Je vais maintenant déterminer sur quel pilier Zero Trust me concentrer dans cette itération. Voici quels sont les piliers :

De la même manière que vous devez adopter une approche très ciblée pour identifier les applications à protéger à ce stade, vous devez adopter une attitude similaire lorsque vous déterminez comment aborder Zero Trust lui-même. Tenter d'aborder chaque pilier en un seul cycle serait ambitieux et irréaliste, car vous auriez probablement besoin de mettre en œuvre un ensemble diversifié de contrôles et de technologies, ce qui entraverait l'objectif recommandé de réaliser des progrès relativement rapides et mesurables.

Forrester fournit en fait un Outil d'évaluation du modèle de maturité Zero Trust pour aider les praticiens à identifier les lacunes dans l'adoption du Zero Trust par leur organisation et ces résultats peuvent être utilisés pour identifier le ou les piliers Zero Trust spécifiques sur lesquels se concentrer. Supposons que vous ayez effectué cette évaluation par rapport à l'application que j'ai choisie et qu'elle identifie des lacunes importantes dans protection des charges de travail exécuter l'application — et plus particulièrement, cela montre qu'elle est facilement accessible depuis l'ensemble de mon réseau. Cela vous amènerait à concentrer cette itération particulière sur la protection des charges de travail qui hébergent votre application, en veillant à ce que vous obteniez excellente visibilité dans ce domaine.

Étape 3 : Spécifiez le contrôle exact

La protection de la charge de travail englobe de nombreuses fonctionnalités de sécurité, notamment la sécurisation et l'application de correctifs efficaces du système d'exploitation et de toutes les applications installées, des contrôles de protection contre les menaces basés sur l'hôte tels que l'antivirus, l'EDR, la surveillance de l'intégrité des fichiers, le pare-feu basé sur l'hôte, etc.

L'étape 2 de l'évaluation de la maturité Zero Trust a identifié un accès réseau excessif au charges de travail des applications comme la lacune la plus importante de Zero Trust, je vous recommande donc de vous concentrer sur le pare-feu basé sur l'hôte, ou plus généralement la microsegmentation, en tant que contrôle de sécurité à appliquer afin de faire avancer votre application un peu plus loin dans son parcours Zero Trust.

D'après mon expérience personnelle en tant que praticien avant de rejoindre Illumio, je sais que pour mettre en œuvre efficacement la micro-segmentation, vous avez besoin d'une excellente visibilité sur les dépendances en amont et en aval de votre application, afin de disposer des bonnes informations pour créer et valider le moindre privilège, basé sur une liste blanche, Politiques Zero Trust qui protégera vos charges de travail.

Ainsi, lorsque vous vous concentrez sur la protection de la charge de travail, la visibilité et les analyses qui y sont associées, et que vous avez précisé que vous prévoyez de ne créer que des microscontrôles de segmentation à ce stade, vous êtes maintenant prêt à identifier les données d'entrée nécessaires pour faire de cette vision une réalité. Et c'est exactement ce sur quoi je vais me concentrer dans la prochaine édition de cette série.

Vous avez hâte de lire mon prochain article pour en savoir plus ? Visitez notre page sur la façon de mettre en œuvre votre stratégie Zero Trust grâce à la microsegmentation pour en savoir plus.