Ce dont vous avez besoin pour diffuser une politique Zero Trust

Dans cette série, nous avons discuté Découverte des politiques et Rédaction de politiques jusqu'à présent. Une fois que vous avez une politique à mettre en œuvre, vous devez la calculer, la transformer en règles et la distribuer aux points d'application. Après tout, le Confiance zéro la politique ne peut fonctionner que là où elle touche ! Faisons en sorte de pouvoir mettre en œuvre cette politique dans le plus grand nombre d'endroits et de la manière la plus efficace possible.

Automatisez les politiques en règles

La première étape pour transformer une politique lisible par l'homme (basée sur des étiquettes ou des métadonnées) en une politique de segmentation Zero Trust appliquée consiste à la traduire en règles compréhensibles par l'infrastructure. Nous avons expliqué à quel point il est important pour les humains de spécifier une politique sans utiliser d'adresses IP, mais tous les points d'application l'exigent ! La fonction de calcul des politiques a un rôle essentiel à jouer.

Le fait de baser la politique de segmentation Zero Trust sur les étiquettes signifie que la même automatisation qui pilote les instances d'application peut piloter la politique de segmentation. Sans avoir besoin de connaître les adresses IP, ni même le nombre de services applicatifs similaires, l'automatisation des applications peut obtenir la bonne politique simplement en « indiquant son nom ». Lorsque la politique lisible par l'homme peut être automatiquement transformée en règles applicables, la segmentation devient un service, tout comme les composants de l'application eux-mêmes.

Rendez-le dynamique et continu

Le calcul de la politique doit être dynamique et continu. Dans un centre de données moderne ou un déploiement dans le cloud, l'automatisation ajuste constamment les applications. Cela signifie que les adresses IP changent, que les instances apparaissent, font leur travail et sont supprimées. Les contrôleurs de service SaaS transfèrent facilement la charge vers une nouvelle adresse IP dans un cluster de taille inconnue. Cela signifie que les adresses IP utilisées dans tout ensemble de règles doivent être mises à jour au fur et à mesure de l'évolution de l'infrastructure. Le calcul et la distribution des politiques doivent être continus et quasi instantanés pour que la politique définie reste précise à tous les points d'application.

Utiliser les points d'application existants

La qualité d'une politique de segmentation Zero Trust dépend du nombre de sites qu'elle exploite. Heureusement, vous possédez déjà tous les points d'exécution dont vous aurez besoin ! Chaque système d'exploitation moderne est doté d'un pare-feu dynamique parfaitement utile intégré. Il s'agit d'IP-Tables ou de NetFilter s'il s'agit d'une machine basée sur Linux ou de la plate-forme de filtrage Windows s'il s'agit d'une instance basée sur Windows. Des pare-feux similaires basés sur le système d'exploitation existent pour AIX, Solaris et même un mainframe IBM System Z ! Les commutateurs réseau de Cisco et Arista utilisent des ACL, tout comme les équilibreurs de charge de F5 Networks. Il n'est pas exagéré de dire que presque tous les périphériques connectés au réseau ont la capacité de prendre des instructions de segmentation.

Toute bonne solution de microsegmentation doit donc utiliser autant de ces points d'application que possible. Après tout, pourquoi faire appel à un agent fournisseur pour faire appliquer la loi alors que le pare-feu du noyau est l'un des codes les plus stables et les plus performants disponibles ? Recherchez une solution capable de programmer des instances réseau et cloud existantes et de pare-feu. Les systèmes embarqués et les appareils OT ne disposent pas de pare-feu intégré et ne nécessitent pas l'intervention d'un agent fournisseur. Vous aurez donc besoin d'une solution qui utilise tous les points d'application disponibles.

Considérations relatives aux performances et à l'échelle

Les performances et l'échelle doivent être prises en compte lors de l'évaluation Segmentation Zero Trust solutions. Les choix architecturaux sont importants, tout comme pour tout périphérique de transfert matériel tel qu'un commutateur ou un routeur. Le calcul d'une police unique lors d'une validation de principe n'est pas difficile.

Mais que se passe-t-il si vous disposez d'un centre de données entièrement automatisé dans lequel 40 000 instances de calcul sont supprimées et remplacées sur un intervalle de 15 minutes lors d'une vague qui déferle sur un complexe mondial de centres de données ? Tout d'un coup, le temps de calcul compte.

La seule façon de maintenir une politique correcte dans un environnement d'application automatisé est de suivre le rythme de l'automatisation. Mais même une fois le calcul terminé, la politique doit être distribuée puis appliquée. Cet événement de convergence n'est pas sans rappeler les routeurs matériels qui font converger leurs tables de routage.

Dans quelle mesure l'architecture de distribution des politiques des solutions que vous envisagez d'envisager est-elle efficace ? Si la moitié d'un centre de données tombe en panne, entraînant une importante redirection du trafic après sinistre, la distribution en temps voulu des mises à jour des politiques deviendra soudainement d'une importance cruciale pour maintenir la disponibilité des applications.

Les principaux fournisseurs ont l'expérience de la convergence de politiques Zero Trust complètes sur pas moins de 500 000 objets. Assurez-vous que les fournisseurs que vous envisagez peuvent justifier les allégations de basculement sur plusieurs sites et de convergence simultanée des politiques.

L'obtention d'une politique définie, calculée puis distribuée, impose la plus grande charge en termes de performances à la solution de microsegmentation. Toutes les solutions peuvent fonctionner dans un environnement d'évaluation simple. Mais seules les solutions à l'échelle de l'entreprise sont capables de résister aux événements de partition réseau, aux scénarios de basculement et de reprise après sinistre, sans parler des reconfigurations exigeantes de l'automatisation des applications.

Pour disposer d'une capacité de distribution de politiques efficace, vous devez bien comprendre comment une solution fournisseur automatise les politiques lisibles par l'homme en règles. La politique doit être distribuée à autant de points d'application existants que possible, en privilégiant les pare-feux à noyau stables et matures à toute solution propriétaire. Lorsque le calcul et la distribution de politiques sont déployés de manière continue et dynamique, Zero Trust Segmentation devient un service d'application disponible et peut être entièrement automatisé par l'automatisation des applications existantes.

Rejoignez-nous la semaine prochaine pour notre dernier épisode alors que nous examinerons ce qui est nécessaire pour appliquer une politique de segmentation Zero Trust.