/
Cyber-résilience

Mise en œuvre du Zero Trust — Étape 4 : définir les données nécessaires

Cette série de blogs développe les idées présentées dans mon billet de mars, »Zero Trust n'est pas difficile... Si vous êtes pragmatique. »

Dans ce billet, j'ai décrit six étapes pour atteindre Zero Trust, et je voudrais ici développer l'une de ces étapes, à savoir prescrire les données nécessaires. Je vais vous montrer comment cette étape peut favoriser la mise en œuvre d'un cadre solide qui peut être utilisé par tout professionnel de la sécurité pour améliorer la réussite de ses projets, quelle que soit la taille de l'organisation.

Avant de commencer, voici un rappel des six étapes :

operationalizing_zero_trust_flow_chart_04may2020

Étape 4 : Prescrire les données nécessaires

Dans le dernier post de cette série, j'ai examiné « Déterminez sur quel pilier Zero Trust se concentrer » et « Spécifier le contrôle exact ». L'évaluation de ces étapes a permis de recueillir les informations suivantes pour vous aider à progresser dans la mise en œuvre de Zero Trust :

  • Déterminez sur quel pilier Zero Trust vous devez vous concentrer : Sécurité et visibilité des charges de travail car Évaluation de la maturité Zero Trust vous les avez identifiés comme les piliers présentant les lacunes les plus importantes.
  • Spécifiez le contrôle exact : L'évaluation ayant identifié l'accès excessif au réseau comme étant la faille de sécurité la plus importante, le contrôle sur lequel vous allez vous concentrer est la microsegmentation.

Une fois que vous avez défini exactement les raisons pour lesquelles vous souhaitez améliorer la protection et les contrôles que vous souhaitez utiliser, vous pouvez commencer à rassembler les informations nécessaires pour mettre en œuvre ces contrôles efficacement.

Commençons par l'état final souhaité :

  • Vous souhaitez élaborer une politique de microsegmentation pour protéger vos charges de travail.
  • Vous souhaitez que cette politique suive les principes de Zero Trust.
  • Par conséquent, les règles que vous élaborez doivent autoriser uniquement l'accès à vos charges de travail et à leur sortie qui sont nécessaires à l'exécution de leur fonction commerciale.

Alors, de quoi avez-vous besoin pour cela ? Selon que vous avez des connaissances préexistantes sur les flux nécessaires ou que vous partez vraiment de zéro sur une friche industrielle, qui fonctionne déjà depuis de nombreuses années, vous pouvez avoir deux réponses légèrement différentes à cette question.

  • Si vous avez des connaissances préexistantes : Spécifiez une règle de segmentation en fonction de l'adresse IP source, de l'adresse IP de destination, du port et du protocole
  • Si vous vous trouvez dans une friche industrielle : Obtenez des journaux de trafic pour vous aider à identifier les flux susceptibles d'être pertinents

Avez-vous déjà passé des heures et des jours à consulter les journaux de trafic des pare-feux pour essayer de comprendre ce que fait une connexion en particulier ? Et avez-vous été obligé de rechercher des informations ou des personnes susceptibles de fournir un contexte précieux à un flux afin que son objectif puisse être correctement compris ? Avez-vous répété cela pour la ligne suivante dans les journaux, et la suivante, et la suivante... ? Imaginez maintenant devoir le faire pour toutes les applications susceptibles d'être segmentées, ce n'est pas mon idée du fun. Cela ressemble à jouer à « Trouve l'aiguille dans la botte de foin » à plusieurs reprises.

Maintenant, imaginez un univers alternatif où toutes ces excellentes données de trafic fournissent soudainement plus que les 5 tuples d'informations standard. Et si, au contraire, vous pouviez recueillir le contexte d'une connexion immédiatement, sans avoir à effectuer cette recherche, afin de comprendre le contexte des événements de trafic simplement en le regardant ? C'est comme passer d'un film en noir et blanc sans audio à un film en 4K avec son Dolby Atmos.

Pour situer cela dans son contexte, prenons un exemple.

Journal de trafic habituel :

  • Source : 10.0.0.1
  • Destination : 192.168.0.1
  • Hafen : 53
  • Protocole : UDP
  • Action : Autoriser

Journal de trafic avec contexte :

  • Source : 10.0.0.1
  • Contexte source : serveur Web, application de paiement, production, Royaume-Uni
  • Destination : 192.168.0.1
  • Destination : Contexte : répondeur DNS, infrastructure DNS, production, Royaume-Uni
  • Processus de destination : nommé
  • Hafen : 53
  • Protocole : UDP
  • Action : Autoriser

En tant que propriétaire de l'application ou opérations de sécurité membre de l'équipe, une version de l'événement est clairement supérieure. La version contextuelle fournit une image complète du flux : vous pouvez voir que le serveur Web Production Payments dépend du répondeur DNS de production, dont le processus nommé reçoit les connexions sur 53/udp. En tant que réviseur, vous pouvez rapidement décider s'il s'agit d'un flux qui vous intéresse, s'il s'agit d'un trafic normal ou s'il mérite une enquête plus approfondie. Vous pouvez le classer facilement (ou même créer des outils pour le classer automatiquement), et vous ne pouvez le faire qu'en raison du contexte supplémentaire dont vous disposez.

L'un des aspects les plus importants de Zero Trust, qui n'est pas aussi couvert qu'il le devrait, est que la mise en œuvre efficace de Zero Trust repose sur l'accès aux informations contextuelles, ou métadonnées, pour aider à formuler des politiques. Ainsi, lorsqu'il est question de microsegmentation dans le contexte de la protection des charges de travail, les métadonnées minimales en dehors d'un rapport de trafic standard dont vous avez besoin décrivent les charges de travail dans le contexte des applications et des environnements de votre centre de données.

Noyau Illumio utilise ces métadonnées collectées à partir de la CMDB d'une organisation ou d'une autre source dorée (ou faisant autorité), pour renseigner les étiquettes associées à une charge de travail. Ces étiquettes associent un rôle, une application, un environnement et un lieu à chaque charge de travail et nous aident à créer un carte des dépendances des applications qui identifie clairement les dépendances en amont et en aval pour chaque application. Cela nous place dans une position idéale pour revoir les flux et concevoir des politiques.

Dans mon prochain article, j'expliquerai comment concevoir une politique Zero Trust.

Êtes-vous prêt à passer à l'étape suivante de votre parcours Zero Trust ? Visitez notre page sur la manière de mettre en œuvre votre stratégie Zero Trust grâce à la micro-segmentation.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Une infrastructure critique résiliente commence par Zero Trust
Cyber-résilience

Une infrastructure critique résiliente commence par Zero Trust

Qu'il s'agisse de la brèche de Colonial Pipeline ou de l'attaque du rançongiciel JBS, l'année dernière nous a montré que les cyberattaques contre les infrastructures critiques des États-Unis sont plus incessantes, sophistiquées et impactantes que jamais, et menacent trop souvent la stabilité économique et le bien-être des citoyens américains.

Comment se préparer au NIS2 : ce que vous devez savoir
Cyber-résilience

Comment se préparer au NIS2 : ce que vous devez savoir

Obtenez les informations dont vous avez besoin pour commencer à vous préparer à vous conformer aux mandats du NIS2 en matière de cyberrésilience.

Un guide sur la cybersécurité en 2023 par les experts d'Illumio
Cyber-résilience

Un guide sur la cybersécurité en 2023 par les experts d'Illumio

Découvrez les conseils des experts et des chefs d'entreprise d'Illumio sur ce à quoi s'attendre du secteur de la cybersécurité en 2023.

Aucun article n'a été trouvé.

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Ready to learn more about Zero Trust Segmentation?