.png)
Ce dont vous avez besoin pour découvrir les politiques Zero Trust
La vérité fondamentale sur microsegmentation est qu'il ne sera jamais plus précis que notre compréhension du trafic à protéger. Nous ne pouvons vraiment pas segmenter ce que nous ne pouvons pas voir.
La plupart des fournisseurs de segmentation proposent désormais une forme de carte d'application qui place une application dans une sorte de « bulle » pour montrer son éventuelle isolation. Bien qu'il s'agisse d'une amélioration considérable par rapport à l'alternative (sans aucune visualisation), cela ne suffit pas en réalité pour rédiger une politique Zero Trust solide. Nécessaire, mais insuffisant. De quoi d'autre avons-nous besoin ?
Comme indiqué dans introduction à cette série, le succès de la microsegmentation Zero Trust est déterminé par l'efficacité du processus de gestion des politiques. La rédaction de règles de segmentation n'est pas une tâche, mais une variété d'étapes analytiques et décisionnelles. L'amélioration de la segmentation nécessite donc une compréhension approfondie et doit se refléter dans la visibilité et le flux de travail appropriés pour chaque étape ; il est impossible qu'une seule visualisation simple fonctionne pour toutes les tâches et tous les points de décision.
La découverte de politiques est l'ensemble des tâches qu'une organisation doit effectuer pour comprendre suffisamment bien une application et son contexte pour rédiger une politique Zero Trust. Il inclut des informations au niveau du service, de l'hôte et de l'application, mais également de nombreuses autres informations.
Contexte complet de l'application
Le contexte complet d'une application va au-delà de son fonctionnement interne. Il peut communiquer avec d'autres applications, se connecter probablement à 20 à 30 services de base communs, avoir des utilisateurs provenant de sites d'entreprise et de VPN, et peut interagir avec des services SaaS ou d'autres espaces d'adressage distants. Le simple fait de déposer tout cela sur une carte sans organisation risque de semer la confusion et de ralentir la progression !
Il est important de résumer la connectivité externe dans les plages d'adresses nommées normales qui peuvent se trouver dans le système de gestion IP. De cette façon, il est facile de repérer les sous-réseaux des utilisateurs, le trafic DMZ, etc. En particulier au début d'un déploiement de microsegmentation, il existe plus de systèmes « non protégés » que de systèmes « protégés ». Comment ces systèmes sont-ils affichés, organisés et classés ? Lorsque ces systèmes sont des objets du modèle de politique et sont affichés tels quels sur la carte, la complexité et la rédaction des règles sont simplifiées. Enfin, la plupart des applications existent pour les utilisateurs. Comment ce contexte utilisateur est-il compris, affiché et disponible pour une action ?
En fin de compte, la découverte des politiques nécessite un contexte applicatif complet, ce qui implique bien plus que de simples dessins d'applications comportant une centaine de lignes ou plus vers des adresses IP externes ou des noms d'hôtes.
Flux de travail micro et macro
Les centres de données ou les environnements cloud sont des environnements complexes, qui ne se limitent pas aux applications. Les cartes de dépendance des applications sont essentielles pour comprendre les applications, mais qu'en est-il de la possibilité de voir des constructions plus grandes ? Comment est-il possible de savoir quel trafic passe entre Dev et Prod? Comment peut-on voir tout le trafic de base de données sur le port 3306 dans l'ensemble de l'environnement pour s'assurer qu'aucun trafic n'est oublié ? Pourquoi ne pas étudier la « portée » d'un service de base tel que LDAP ou RDP pour comprendre l'activité en cours ?
L'expérience d'Illumio en matière de sécurisation de plusieurs environnements sur plus de 100 000 nœuds se reflète dans la mise à disposition de visualisations et d'outils d'exploration pour l'environnement macro en plus du contexte de l'application. La rédaction de politiques abstraites efficaces basées sur des étiquettes nécessite également la capacité de visualiser et d'inspecter les communications à tous les niveaux d'abstraction offerts par le modèle de politique. Il est intéressant de noter que les bulles d'application si utiles pour les vues d'applications sont peu utiles dans ce contexte. Les meilleures solutions de découverte de politiques proposeront des moyens clairs d'afficher les communications à tous les niveaux d'abstraction, et pas simplement des vidages de bases de données contenant les données de flux collectées.
Vous avez besoin d'une solution de microsegmentation fournissant les vues macroéconomiques essentielles pour traiter rapidement de larges segments de trafic par le biais de la rédaction de politiques en masse ou agrégées.
Des points de vue différents pour les différentes parties prenantes
L'équipe chargée du pare-feu ne sera pas la seule à inspecter les flux et les politiques lors des activités de découverte des politiques. Au fur et à mesure que la limite de segmentation se déplace vers le serveur d'applications ou l'hôte du conteneur, les équipes chargées des opérations et des applications s'attacheront à s'assurer que chaque service dont elles ont besoin a été correctement provisionné. Pour ces collaborateurs, la meilleure réponse à leurs questions est d'utiliser des vues spécialement conçues pour répondre à la nécessité d'inspecter rapidement une politique et de valider ses fonctionnalités. De nombreux détails relatifs à l'élaboration des politiques ne sont pas nécessaires et détournent même l'attention des préoccupations fondamentales des équipes chargées des applications et des opérations.
Recherchez un produit de microsegmentation doté de visualisations et de flux de travail soigneusement conçus pour les équipes chargées des applications et des opérations. Ils font partie du flux de travail des politiques et devraient disposer d'outils répondant à leurs besoins. Un RBAC une vue filtrée est essentielle, bien sûr, mais attendez-vous à plus : obtenez visualisations spécifiques au propriétaire de l'application pour accélérer le processus de découverte des politiques.
En résumé
Personne ne peut rédiger une politique plus vite qu'il n'en comprend les exigences ! La découverte des politiques constitue la première partie de tout flux de travail de gestion des politiques. Les exigences politiques d'une application moderne ou d'un ensemble conteneurisé de microservices nécessitent un contexte applicatif complet, bien au-delà d'une simple bulle applicative. La représentation des plages d'adresses IP, des systèmes non gérés, des services principaux, etc. est essentielle pour comprendre un service d'application dans son contexte.
Tout bon modèle de politique permettra de résumer les communications à plusieurs niveaux ou « étiquettes ». Il est donc également important de disposer de visualisations qui soutiennent ces objectifs politiques d'ordre supérieur. Après tout, une politique globale est une politique rapide, donc le fait de disposer des bonnes capacités accélérera radicalement l'élaboration des politiques.
Enfin, la microsegmentation implique de multiples organisations. La découverte des politiques est un sport d'équipe : assurez-vous que chacun dispose de vues de découverte personnalisées afin que chaque équipe travaille le plus efficacement possible.
La découverte rapide et efficace des politiques conduit à la création rapide et efficace des politiques. Rejoignez-nous la semaine prochaine pour discuter de ce qui est nécessaire pour accélérer la création de politiques.
