.png)
連邦政府機関がゼロトラストパイロットプロジェクトを作成する方法
先週、民間機関の連邦保安局長と話をしました。ゼロトラストは、特にエンドポイントで引き続き彼の注目を集めています。彼はゼロトラストの原則に没頭したいと考えている。CIO の職務から避けられない日が来たら、ゼロトラストの原則に没頭したいと考えている。 ゼロトラストアーキテクチャ。また、CIOが政府機関のHVA(高価値資産)にコンプライアンス上の圧力をかけていることも伝えました。この支店長でさえ、自分だけの HVA のサブセットを持っています。スコアカードの一部にHVAが明記されているので、このプレッシャーは彼らの全体的なFISMAスコアを向上させたいという気持ちと関係があると確信しています。
このエージェンシーではゼロトラストについて「話題」が広まっていますが、プロジェクトを開始するための明確に定義されたイベントやユースケースを選択するという点では、本題に入るのは大変な作業です。これは、小説を書きたいと思っていて、どこからどのように始めたらいいのかわからない人を思い出させます。執筆の原則を学ぶことは常に良いことですが、それだけでは十分ではありません。ゼロトラストの原則を知っているだけでは決して十分ではないのと同じです。人が書く習慣や一貫性を身につけ始めるのは、文章そのものの中にあります。小説を書きたいなら、一貫性を保つために日記をつけて、記事や短編小説を書く機会を探して、執筆スキルを伸ばしましょう。
組織にゼロトラストを導入したい場合は、まず重要なセキュリティ優先事項と現在のゼロトラスト機能を把握することから始めてください。希望するゼロトラストの最終状態はどのようなものかを定義してください。ゼロトラストの問題、目標、望ましい結果の範囲が狭い場合は、主要な利害関係者に支援を求めるのが簡単になります。
NIST 800-207は、ゼロトラストは旅であり、目標はゼロトラストを段階的に実装することであるべきだと言っているときにも同じように述べています。後で短編小説を1つか2つ読まずに、その小説を書こうとして圧倒されたくはないでしょう。侵害、マルウェア、ゼロデイ攻撃のような外部イベントを待つ必要はありません。ゼロトラストのパイロットプロジェクトを今すぐ始めましょう。
政府機関の支部長のゼロトラストパイロットプロジェクトを始めるのに良い場所をお勧めするために、私は彼のHVAについて、そしてHVAに対する可視性を高めることの重要性、つまりその構成要素と正当な接続についてもっと知りたいと思いました。主な質問は以下のとおりです。
- どのアプリケーションが HVA と見なされますか?
- これらの HVA のアプリケーションコンポーネントにはどのようなものがありますか?
- アプリケーション層、ネットワーク、コンピューティングインフラストラクチャはどのようなものですか?
- コンテナ化されたアプリケーションを使用していますか?
- HVAへの正当なアプリケーション/ワークロード接続はどのようなものですか?
- HVA への正当なエンドユーザー接続とエンドポイント接続とは?
コンポーネントと HVA への接続に関する可視性と正確なデータが不可欠です。これらの質問への回答は、「どこから始めればよいか」という問題に答えるのに役立ちます。
HVA アプリケーションを絞り込んだら、次のステップは既存のゼロトラスト機能を評価することです。
政府機関のHVA保護に対する現在のアプローチは、その盲点を明らかにし、ゼロトラストを実現する機会を示している。
リモートワークへの急速な移行に伴い、同社の HVA セキュリティ体制がどのように進化したかを理解することも重要でした。
支部長にエンドポイントについて詳しく教えてもらいました。支部では現在、脅威検出用にカーボンブラック EDR を実装しています。ご存知かもしれませんが、Carbon Black は次のような目的でエンドポイントデータを継続的に記録および保存しています。 セキュリティオペレーション 専門家は脅威をリアルタイムで視覚化して「攻撃キルチェーン」を構築できます。ほとんどの場合、攻撃が既に発生すると手遅れになることがあります。ミッションが危険にさらされたり、データがすでに漏洩したりする可能性があります。
ゼロトラストをエンドポイントに真に実装するには、マルウェアが実行される前に阻止する必要があります。そして最も重要なのは、マルウェアが横方向に広がるのを防ぐことです。政府機関は、正当な接続の「許可リスト」を使用してエンドポイントへのインバウンドピアツーピア接続を積極的に制御し、それ以外はすべて拒否することで、エンドポイントとEDRへの投資を増やすことができます。これがエンドポイントにおけるゼロトラストの中心です。彼には、支店のエンドポイントでゼロトラストのパイロットプロジェクトを開始する機会が確かにあります。
データセンターとクラウド環境におけるラテラルムーブメント攻撃という観点からHVAについてもう少し詳しく調べたところ、支店長は、損失や汚職は支店の任務遂行能力に深刻な影響を与えるだろうと指摘しました。HVA は長年にわたって蓄積されたデータを組み合わせたものです。関連するアプリケーションは、このデータの分析と視覚化に関係しています。これまで、ゼロトラストへの投資の大半は境界に焦点を当てていました。 ネットワークセグメンテーション そして、ユーザーIDとアクセスガバナンスについて。これらのソリューションは、オープンでフラットな内部ネットワークの弱点に対処するものではありません。
真のゼロトラストアーキテクチャに従っている場合は、すでに侵害が発生していると想定する必要があります。パケットがネットワーク境界内に入ると、悪意のある攻撃者は何も邪魔されずに直接 HVA に向かいます。明らかに、HVA の東西トラフィックを保護することが、ゼロトラストのパイロットプロジェクトを今すぐ開始できる分野の 1 つです。
ゼロトラストパイロットプロジェクトを開始する2つの分野として、彼の支店のエンドポイントとHVAを特定しました。
次のステップは、パイロットプロジェクトに含まれるエンドポイントの数とワークロードとアプリケーションの数を数えることです。小規模なパイロットプロジェクトでは、ワークロードとエンドポイントの数がわずか50個、または数百個になることがあり、パイロットではこれらの項目のセグメンテーションとマイクロセグメンテーションを行います。重要なのは、潜在的な複雑さに圧倒されないことです。
次のステップ:ホストベースのマイクロセグメンテーション
次のステップは、NIST 800-207のセクション3.1.2で「ソフトウェアエージェントを使用したホストベースのマイクロセグメンテーション」と呼ばれるものをロードすることです。イルミオの 解決、ライトウェイトをロードします ソフトウェアエージェント 各ワークロード、アプリケーション、またはサーバーで。エージェントは、ネットワーク上のコンテキストとテレメトリを「中央脳」に報告するだけで、ベースラインのリアルタイムアプリケーション依存関係マップを作成します。このマップは NIST 800-53 と RMF (リスク管理フレームワーク) に対応しているため、モニタリングの観点からは非常に重要です。RMF の 1 番目の「バケット」は 識別します、強制的に適用できるリアルタイムのアプリケーション依存関係マッピングを提供 マイクロセグメンテーション 政策。ゼロトラストポリシーを改善または実施する前に、アプリケーションとワークロードの観点からネットワークで何が起こっているかを確認する必要があります。
ホストベースのマイクロセグメンテーションを使用してゼロトラストパイロットプロジェクトを展開するのに5日もかからない場合があります。特に、対象範囲と望ましい成果が明確に定義されており、このパイロットを担当する人に最も効率的な進め方を示すためのトレーニングが行われている場合は特にそうです。
支部長が唯一ためらっていたのは、資源の制約でした。彼にはこの取り組みに専念できる人がいませんでした。ゼロトラストに関する知識を研究から実際に実装するまでの知識を広げるために、執筆習慣を身につけるには、3~5日間投資する価値はありますか?
ゼロトラストのパイロットプロジェクトを社内に売り込むには、スコープを明確に定義することに加えて、明確に定義され測定可能な結果を出すことが重要です。FISMA CIO スコアの特定の領域における改善は、政府機関が検討したいと考えている成果やプロジェクト成功の指標の 1 つに過ぎません。たとえば、政府機関の支店はイルミオを利用することができます。 トラフィックレポート HVAアプリケーションコンポーネントと接続の同一性と範囲を検証し、マイクロセグメンテーションを補正コントロールとして使用して保護スコアを高めます。イルミオのものも使えます 脆弱性マップ 脆弱なシステムをラテラルアタック経路として使用できるかどうかを検証し、FISMAスコアをさらに高めます。最近の米国政府ネットワークへのハッキングにより、これらの指標と可視性はさらに重要になっています。
ゼロトラストパイロットプロジェクトを実装し、測定可能な望ましい成果を実証したら、それを拡張するのは非常に簡単です。新しいプロジェクト、つまり機関全体のゼロトラストアーキテクチャを書くまで、アプリケーション、ワークロード、エンドポイントを追加します。
イルミオが連邦政府機関による高価値資産の確保とゼロトラストの促進にどのように役立つかについて詳しくは、以下をご覧ください。 連邦政府のソリューションページ。
