Blogue
/
Segmentation Zero Trust

Pourquoi les politiques sont importantes pour Zero Trust

Éditorial Illumio
,
April 30, 2021
23 min. de lecture

L'idée de moindre privilège n'est pas nouvelle, pas plus que l'idée de séparer les appareils sur le réseau au service du moindre privilège. Après tout, chaque pare-feu sort de son conteneur d'expédition avec une règle par défaut, « tout refuser », qui invite à créer une politique de moindre privilège. C'est pourquoi, depuis 15 ou 20 ans, nous introduisons consciencieusement de plus en plus de déclarations de permis et de refus dans les pare-feux périmétriques. La plupart des organisations disposent aujourd'hui d'un si grand nombre de ces déclarations qu'il faut des équipes d'administrateurs hautement qualifiés pour les gérer, et la complexité a explosé ces dernières années.

Le problème (multiplié par 3)

À présent, Confiance zéro prescrit que nous revenions au moindre privilège. Mais cette fois-ci, pas à la périphérie, mais sur chaque charge de travail, chaque utilisateur, chaque terminal. Dans quelle mesure est-ce faisable ? Cisco publie chaque année un étude détaillée des réseaux d'entreprise, et il fournit une approximation simple à prendre en compte. En 2020, 73 % du trafic s'est produit « d'est en ouest », c'est-à-dire entre les systèmes du centre de données, et environ 27 % ont traversé le périmètre. Les règles de pare-feu périmétrique existantes couvrent donc 27 % du trafic.

Cela implique clairement que la création d'une politique similaire pour les 73 % restants du trafic représente environ trois fois plus de travail, trois fois plus de complexité des règles et trois fois plus de personnes. Et c'est là le problème. Personne ne peut dépenser 3 fois, embaucher 3 fois et configurer 3 fois plus de complexité. Ceux qui ont essayé d'adapter une solution SDN à cette tâche ou qui ont essayé de déployer des pare-feux virtuels savent que cela ne fonctionne tout simplement pas.

Tout fournisseur proposant Zero Trust doit résoudre cette énigme. Il n'est pas crédible d'affirmer qu'un résultat Zero Trust est réalisable sans tenir compte de la réalité opérationnelle de l'immense tâche à accomplir. Toute personne souhaitant obtenir un résultat Zero Trust a besoin de preuves crédibles de sa capacité à prendre en charge les aspects liés aux coûts, à la complexité opérationnelle et aux ressources humaines pour une mise en œuvre réussie.

Nous n'avons pas besoin de plus d'endroits pour appliquer la politique

Lorsque les pare-feux sont entrés pour la première fois sur le réseau, ils étaient le seul appareil capable de bloquer et de restreindre le trafic à grande échelle. Mais aujourd'hui, réaliser Microsegmentation Zero Trust n'est pas un problème de point d'exécution. Tous les systèmes d'exploitation modernes du centre de données, de Windows à Linux, y compris AIX, Solaris et System Z (mainframes), disposent d'un pare-feu dynamique bien implémenté dans le chemin de transfert du noyau. Chaque périphérique réseau, qu'il s'agisse de routeurs, de commutateurs, de pare-feux ou d'équilibreurs de charge, peut respecter des règles de pare-feu.

En fait, presque tous les appareils connectés au réseau du centre de données disposent de fonctionnalités de contrôle d'accès. Cela signifie que personne n'a besoin d'acheter des palettes de pare-feux pour mettre en œuvre Zero Trust. Les points d'exécution sont déjà disponibles. Cela signifie que le coût de la mise en œuvre de Zero Trust se répercutera presque entièrement sur le plan de la complexité de la configuration. Après tout, le nombre de personnes nécessaires dépend de la quantité de travail à accomplir.

La gestion des politiques détermine les résultats de Zero Trust

Nous concluons donc que la politique est le facteur le plus important dans un déploiement Zero Trust. La réalisation de tout objectif Zero Trust dépendra de la facilité ou de la difficulté de découvrir, de créer, de diffuser et d'appliquer les politiques.

Les fournisseurs aiment parler de leurs fonctionnalités et proposer de jolies interfaces utilisateur, mais en fin de compte, la seule chose qui compte est de savoir dans quelle mesure ils simplifient, réduisent et automatisent le travail de gestion des politiques inhérent à une initiative de microsegmentation Zero Trust.

Avant que quiconque puisse rédiger une politique Zero Trust, vous devez d'abord connaître tous les flux de communication pertinents et le fonctionnement de l'application en question : comment cela dépend des services principaux, des utilisateurs et des autres appareils auxquels elle se connecte. Il s'agit d'une découverte de politiques, et c'est bien plus qu'une jolie image d'une application dans une bulle. En fin de compte, vous avez besoin de toutes les informations nécessaires pour créer avec succès la politique Zero Trust.

La création d'une politique doit éliminer la charge que représente la traduction des désirs humains en adresses IP. Il doit utiliser des métadonnées pour simplifier, adapter et hériter des politiques afin de réduire la charge de création. Une fois que vous avez rédigé une politique, vous devez trouver un moyen de la distribuer aux points d'application qui existent déjà. Comment maintenez-vous toutes les politiques à jour et faites-vous un suivi automatique grâce à l'automatisation des applications ? Si vous pouvez prendre en compte les déplacements, les ajouts et les modifications, la charge de travail de votre équipe administrative sera réduite.

Enfin, l'application de la politique dépend en fin de compte de la capacité à valider et à développer la confiance dans la politique proposée. Les pare-feux n'ont aucune capacité de modélisation. Mais il ne suffit pas de « permettre et de prier ». Vous devez être en mesure de savoir que la politique est précise, complète et qu'elle n'endommagera pas l'application, et être en mesure de la communiquer à toutes les parties prenantes.

Conclusion

Savoir ce qui est important pour la gestion des politiques Zero Trust revient à savoir ce qu'il faut pour mener à bien un projet Zero Trust ou de microsegmentation. La mise en œuvre d'une segmentation fine se déroulera au rythme déterminé par notre capacité humaine à découvrir, rédiger, diffuser et appliquer la politique. Lorsqu'il existe une gestion des politiques efficace et efficiente, les besoins en personnel diminuent proportionnellement. Il est donc clair que le facteur le plus important pour rendre Zero Trust opérationnel est de gérer efficacement la complexité des politiques requise pour renforcer contrôles de segmentation. Étant donné son importance, nous examinerons la gestion des politiques de manière très détaillée dans les prochains articles de blog.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Simplifiez les déploiements de SDN et de pare-feu grâce à la microsegmentation basée sur l'hôte
Segmentation Zero Trust

Simplifiez les déploiements de SDN et de pare-feu grâce à la microsegmentation basée sur l'hôte

Le réseau défini par logiciel (SDN) et la segmentation sont souvent abordés simultanément, car ils donnent tous deux la priorité à l'automatisation.

En savoir plus
Comment la microsegmentation vous aide à respecter les obligations de sécurité du CCPA
Segmentation Zero Trust

Comment la microsegmentation vous aide à respecter les obligations de sécurité du CCPA

Initial CCPA security discussions focused on honoring requests to access, delete, and opt-out of data collection to help prevent data breach losses.

En savoir plus
Comment mettre en œuvre un modèle de sécurité Zero Trust dans un environnement largement ouvert
Segmentation Zero Trust

Comment mettre en œuvre un modèle de sécurité Zero Trust dans un environnement largement ouvert

A comprehensive overview of how to implement Zero Trust architecture.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus