Blogue
/
Cyber-résilience

Mise en œuvre du Zero Trust — Étape 4 : définir les données nécessaires

Raghu Nandakumara
,
Directeur principal du marketing des solutions industrielles
July 15, 2020
23 min. de lecture

Cette série de blogs développe les idées présentées dans mon billet de mars, »Zero Trust n'est pas difficile... Si vous êtes pragmatique. »

Dans ce billet, j'ai décrit six étapes pour atteindre Zero Trust, et je voudrais ici développer l'une de ces étapes, à savoir prescrire les données nécessaires. Je vais vous montrer comment cette étape peut favoriser la mise en œuvre d'un cadre solide qui peut être utilisé par tout professionnel de la sécurité pour améliorer la réussite de ses projets, quelle que soit la taille de l'organisation.

Avant de commencer, voici un rappel des six étapes :

operationalizing_zero_trust_flow_chart_04may2020

Étape 4 : Prescrire les données nécessaires

Dans le dernier post de cette série, j'ai examiné « Déterminez sur quel pilier Zero Trust se concentrer » et « Spécifier le contrôle exact ». L'évaluation de ces étapes a permis de recueillir les informations suivantes pour vous aider à progresser dans la mise en œuvre de Zero Trust :

  • Déterminez sur quel pilier Zero Trust vous devez vous concentrer : Sécurité et visibilité des charges de travail car Évaluation de la maturité Zero Trust vous les avez identifiés comme les piliers présentant les lacunes les plus importantes.
  • Spécifiez le contrôle exact : L'évaluation ayant identifié l'accès excessif au réseau comme étant la faille de sécurité la plus importante, le contrôle sur lequel vous allez vous concentrer est la microsegmentation.

Une fois que vous avez défini exactement les raisons pour lesquelles vous souhaitez améliorer la protection et les contrôles que vous souhaitez utiliser, vous pouvez commencer à rassembler les informations nécessaires pour mettre en œuvre ces contrôles efficacement.

Commençons par l'état final souhaité :

  • Vous souhaitez élaborer une politique de microsegmentation pour protéger vos charges de travail.
  • Vous souhaitez que cette politique suive les principes de Zero Trust.
  • Par conséquent, les règles que vous élaborez doivent autoriser uniquement l'accès à vos charges de travail et à leur sortie qui sont nécessaires à l'exécution de leur fonction commerciale.

Alors, de quoi avez-vous besoin pour cela ? Selon que vous avez des connaissances préexistantes sur les flux nécessaires ou que vous partez vraiment de zéro sur une friche industrielle, qui fonctionne déjà depuis de nombreuses années, vous pouvez avoir deux réponses légèrement différentes à cette question.

  • Si vous avez des connaissances préexistantes : Spécifiez une règle de segmentation en fonction de l'adresse IP source, de l'adresse IP de destination, du port et du protocole
  • Si vous vous trouvez dans une friche industrielle : Obtenez des journaux de trafic pour vous aider à identifier les flux susceptibles d'être pertinents

Avez-vous déjà passé des heures et des jours à consulter les journaux de trafic des pare-feux pour essayer de comprendre ce que fait une connexion en particulier ? Et avez-vous été obligé de rechercher des informations ou des personnes susceptibles de fournir un contexte précieux à un flux afin que son objectif puisse être correctement compris ? Avez-vous répété cela pour la ligne suivante dans les journaux, et la suivante, et la suivante... ? Imaginez maintenant devoir le faire pour toutes les applications susceptibles d'être segmentées, ce n'est pas mon idée du fun. Cela ressemble à jouer à « Trouve l'aiguille dans la botte de foin » à plusieurs reprises.

Maintenant, imaginez un univers alternatif où toutes ces excellentes données de trafic fournissent soudainement plus que les 5 tuples d'informations standard. Et si, au contraire, vous pouviez recueillir le contexte d'une connexion immédiatement, sans avoir à effectuer cette recherche, afin de comprendre le contexte des événements de trafic simplement en le regardant ? C'est comme passer d'un film en noir et blanc sans audio à un film en 4K avec son Dolby Atmos.

Pour situer cela dans son contexte, prenons un exemple.

Journal de trafic habituel :

  • Source : 10.0.0.1
  • Destination : 192.168.0.1
  • Hafen : 53
  • Protocole : UDP
  • Action : Autoriser

Journal de trafic avec contexte :

  • Source : 10.0.0.1
  • Contexte source : serveur Web, application de paiement, production, Royaume-Uni
  • Destination : 192.168.0.1
  • Destination : Contexte : répondeur DNS, infrastructure DNS, production, Royaume-Uni
  • Processus de destination : nommé
  • Hafen : 53
  • Protocole : UDP
  • Action : Autoriser

En tant que propriétaire de l'application ou opérations de sécurité membre de l'équipe, une version de l'événement est clairement supérieure. La version contextuelle fournit une image complète du flux : vous pouvez voir que le serveur Web Production Payments dépend du répondeur DNS de production, dont le processus nommé reçoit les connexions sur 53/udp. En tant que réviseur, vous pouvez rapidement décider s'il s'agit d'un flux qui vous intéresse, s'il s'agit d'un trafic normal ou s'il mérite une enquête plus approfondie. Vous pouvez le classer facilement (ou même créer des outils pour le classer automatiquement), et vous ne pouvez le faire qu'en raison du contexte supplémentaire dont vous disposez.

L'un des aspects les plus importants de Zero Trust, qui n'est pas aussi couvert qu'il le devrait, est que la mise en œuvre efficace de Zero Trust repose sur l'accès aux informations contextuelles, ou métadonnées, pour aider à formuler des politiques. Ainsi, lorsqu'il est question de microsegmentation dans le contexte de la protection des charges de travail, les métadonnées minimales en dehors d'un rapport de trafic standard dont vous avez besoin décrivent les charges de travail dans le contexte des applications et des environnements de votre centre de données.

Noyau Illumio utilise ces métadonnées collectées à partir de la CMDB d'une organisation ou d'une autre source dorée (ou faisant autorité), pour renseigner les étiquettes associées à une charge de travail. Ces étiquettes associent un rôle, une application, un environnement et un lieu à chaque charge de travail et nous aident à créer un carte des dépendances des applications qui identifie clairement les dépendances en amont et en aval pour chaque application. Cela nous place dans une position idéale pour revoir les flux et concevoir des politiques.

Dans mon prochain article, j'expliquerai comment concevoir une politique Zero Trust.

Êtes-vous prêt à passer à l'étape suivante de votre parcours Zero Trust ? Visitez notre page sur la manière de mettre en œuvre votre stratégie Zero Trust grâce à la micro-segmentation.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

4 éléments essentiels de cybersécurité que chaque agence fédérale devrait mettre en œuvre
Cyber-résilience

4 éléments essentiels de cybersécurité que chaque agence fédérale devrait mettre en œuvre

Découvrez pourquoi les responsables de la cybersécurité insistent sur la nécessité de passer à un état d'esprit Zero Trust pour s'adapter aux nouvelles menaces.

En savoir plus
Refocus on Cyber Resilience: 3 Best Practices for Improving Your Cyber Resilience
Cyber-résilience

Refocus on Cyber Resilience: 3 Best Practices for Improving Your Cyber Resilience

Learn how cyber resilience can help in the unfortunate situation that an active breach is detected on your network.

En savoir plus
Appel à la cyberrésilience et à la confiance zéro : bilan du mois Illumio
Cyber-résilience

Appel à la cyberrésilience et à la confiance zéro : bilan du mois Illumio

Le début de l'année 2022 a mis en évidence la priorité accrue de la sécurité Zero Trust dans le paysage cybernétique actuel. De nombreuses organisations sont confrontées à une complexité accrue de leurs réseaux en raison de l'évolution des options de travail flexibles et de l'instabilité du paysage géopolitique qui a entraîné une augmentation exponentielle des attaques et des violations de rançongiciels à l'échelle internationale.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus