.png)
Ce dont vous avez besoin pour appliquer la politique Zero Trust rapidement et en toute sécurité
Dans cette série, nous avons examiné les caractéristiques indispensables pour réussir découvrant, être l'auteur de, et distribution une politique de segmentation Zero Trust. Cette semaine, nous concluons en examinant de près ce qui est nécessaire pour appliquer une politique de segmentation Zero Trust. Une politique Zero Trust qui n'est pas pleinement appliquée n'est tout simplement pas capable de stopper les malwares, les rançongiciels ou les acteurs malveillants. Certains facteurs clés doivent être pris en compte pour garantir que chaque politique Zero Trust puisse être appliquée rapidement sur l'ensemble de l'infrastructure, et ce, sans interrompre le fonctionnement de l'application.
Prends soin de toi, ne t'excuse pas
Lorsque vous travaillez dans des environnements cloud et de centres de données existants, la première exigence est de prêter le serment d'Hippocrate : ne pas nuire ! Toutes les solutions de microsegmentation utilisent des agents. Vous avez besoin d'un agent sûr, et aucun agent en ligne n'est en sécurité. Tout agent qui implémente un pare-feu intégré, un filtrage ou d'autres fonctions de sécurité ne peut pas être considéré comme sûr. Si la fermeture de l'agent échoue, l'application est interrompue, ce qui n'est pas sûr du point de vue opérationnel. Si l'agent en ligne ne s'ouvre pas, le mécanisme de sécurité disparaît, ce qui correspond à la définition d'une informatique non sécurisée. La seule technologie d'agent sûre pour l'application de la loi est un agent situé en dehors du chemin de données. Vous devriez avoir besoin d'une solution qui maintienne les règles en place, même en cas de défaillance ou de suppression de l'agent fournisseur. Demande un agent qui s'installe et se met à niveau sans redémarrage. Les agents doivent s'exécuter dans l'espace utilisateur. Rejetez tout ce qui modifie le noyau, installe des adaptateurs réseau personnalisés ou reste en ligne. Il n'est pas nécessaire de réinventer quelque chose d'aussi basique qu'un pare-feu dynamique alors que tout ce qui se trouve dans le centre de données ou le cloud en inclut une.
Faire respecter tout
Une fois que vous avez une politique Zero Trust à appliquer, le meilleur endroit pour la mettre en place est : partout ! Tous les systèmes d'exploitation des douze dernières années sont dotés d'un pare-feu dynamique parfaitement performant : IPTables/NetFilter et Windows Filtering Platform. Des technologies similaires existent pour AIX, Solaris et même les mainframes. Les commutateurs réseau, les équilibreurs de charge et les pare-feux matériels sont tous soumis à des règles de pare-feu. Pourquoi ne pas tout utiliser ? Mettez Zero Trust partout et automatisez l'application des politiques pour tout ce que vous possédez déjà. L'application de la loi doit inclure votre Environnement de conteneurs Kubernetes, Amazon, Azure et Google Cloud des instances, des services SaaS et même la protection de vos appareils OT hors de l'environnement informatique. Cela ne vaut même pas la peine de faire appel à des agents fournisseurs propriétaires pour appliquer les politiques Zero Trust alors que chaque appareil prend déjà en charge tout ce dont vous avez besoin.
Améliorez la vitesse de confiance
Les déploiements Zero Trust se déroulent au rythme de confiance dans la sécurité de la politique. Après tout, une politique Zero Trust nécessite de spécifier tout ce qui est souhaité, tout le reste étant refusé. Cela implique que les politiques Zero Trust doivent être parfaites. Combien de flux se trouvent dans un centre de données ? Il semble difficile d'avoir confiance en la perfection dans tous ces flux. Détendez-vous. La segmentation Zero Trust ne doit pas être difficile. Assurez-vous de pouvoir appliquer ne serait-ce qu'un seul service à l'extrémité de l'échelle. Après tout, certains des flux les plus vulnérables sont les services de base et les systèmes de gestion qui concernent toutes les machines de l'environnement. La plupart utilisent un seul port ou une petite plage. Toute bonne solution devrait pouvoir appliquer de manière sélective uniquement ces quelques ports. Ils sont faciles à définir, faciles à accepter et essentiels à sécuriser. À l'autre extrémité du spectre, il s'agit simplement de faire appliquer des souhaits politiques tels que « Empêcher tous mes systèmes DEV de communiquer avec PROD, à l'exception de la liste suivante de services partagés, mais limitez cela autant que possible ». Personne n'aura une connaissance parfaite de tous les systèmes DEV et de tous les systèmes PROD. C'est trop dynamique et complexe. Mais les meilleures solutions de segmentation Zero Trust peuvent facilement définir des limites d'application qui fournissent cette fonctionnalité exacte tout en préservant l'absence de problèmes liés à l'organisation des règles ou à la violation de l'héritage des politiques. À quelle vitesse tous les membres de l'équipe peuvent-ils être sûrs que la politique est correcte et sûre ? Recherchez une solution qui puisse s'appliquer au niveau d'une déclaration de politique unique tout en garantissant des objectifs de séparation généraux. Lorsque les deux sont tout aussi simples, il est facile de faire passer des politiques Zero Trust à leur application en passant par le contrôle des modifications.
En résumé
Isoler les systèmes du cloud, des terminaux et des centres de données à l'aide de règles appliquées est tout l'intérêt de Confiance zéro. Les solutions de visibilité uniquement ou de surveillance ne peuvent jamais être considérées comme une segmentation Zero Trust. Une bonne solution de segmentation doit d'abord être sûre et ne pas reposer sur des technologies en ligne qui échouent à l'ouverture ou à la fermeture, mettant ainsi en danger l'ensemble de l'environnement. L'application doit être généralisée et tirer parti de tous les pare-feux pour lesquels vous avez déjà payé, qu'il s'agisse des pare-feux basés sur le système d'exploitation ou du matériel et du matériel réseau rangés dans des racks. La mise en œuvre de politiques de segmentation Zero Trust pour les conteneurs, le cloud et l'ensemble de l'environnement informatique signifie que de nombreuses solutions différentes sont nécessaires, alors pourquoi ne pas utiliser ce qui se trouve déjà dans chacune d'elles ? Enfin, il est important de pouvoir renforcer l'application à partir d'une seule déclaration de politique jusqu'à des moyens simples de segmenter des environnements entiers. La microsegmentation fine progresse au rythme de la confiance partagée dans le fait que les systèmes ne seront pas interrompus. Ainsi, une solution dont l'application est hautement flexible et nuancée produira toujours les résultats Zero Trust les plus rapides.
ICYMI, lisez la suite de cette série :
