ファイアウォールチームがマイクロセグメンテーションを気に入る5つの理由

お客様の歴史の早い段階で起こった事件は決して忘れません。ある大口のお客様とのトレーニングを終えたところです。 ファイアウォール アーキテクチャチームと実装チームファイアウォールの主任管理者の 1 人が手を挙げて、「このことを正しく理解していれば、二度とファイアウォールルールを書く必要はないだろう」と言いました。私は微笑んで、「そうだね」と言いました。

6か月後、私たちは一緒にエレベーターの中に立っていたところ、彼はマイクロセグメンテーションがどれほど好きかを興奮して話してくれました。理由を尋ねると、彼はこう答えました。「あなたの言うとおりでした。私はもうACLを書かないし、ポリシーはずっと厳しくなっています。」

それは素晴らしい瞬間でしたが、単純な事実は、マイクロセグメンテーションがファイアウォール運用チームにとって素晴らしいということです。その主な理由を 5 つご紹介します。

1. 手動 ACL はもう必要ありません。 概念的には、ファイアウォールルールの作成は「簡単」です。許可したいルールを入力するだけで、それ以外はすべて拒否されます。大まかな抽象化ではそのとおりですが、作業に近いとかなり単純化しすぎです。従来のファイアウォールでは、アプリ所有者がシステムについて話す方法から、すべてのポリシー要件を IP アドレス、サブネット、ゾーンの言葉に変換する必要があります。マイクロセグメンテーションでは、適用ポイントはアプリケーションインスタンス自体に移ります。つまり、セグメンテーションは適用をネットワーク構造に依存しないということです。強力なものと組み合わせると ポリシーコンピュートエンジン、管理者は次のように書くことができます ポリシー 簡単に言うと、「Webサーバーはアプリケーションサーバーと通信し、アプリケーションサーバーはデータベースと通信します。Web サーバー同士が通信したり、データベースと直接通信したりすることはありません。人間がIPアドレス、サブネット、またはゾーンを知らなくても、単純なポリシーを強制力のあるルールベースに変えることができます。マイクロセグメンテーションにより、ファイアウォール管理者は ACL を記述する必要がなくなります。
   
2. スケーラブルなポリシーモデルを手に入れましょう。 ファイアウォールは、ルールテーブルの一番下にデフォルト拒否と記載された状態でそのまま使用できますが、許可ステートメントと拒否ステートメントが複雑に混在するまでに急速に拡大しています。これらは混在しています。 拒否リストと許可リスト 継承が限られているため、ポリシーの拡張性が低くなります。ルールに許可ステートメントと拒否ステートメントが混在している限り、ルールの順序が重要であり、それによって継承が制限されます。統合ポリシーではどのような順序に従うべきでしょうか。マイクロセグメンテーションは純粋なもので機能します ゼロトラスト モデル。許可ステートメントしかないため、ポリシーの継承は簡単です。起こり得ることは、何かが複数回許可されることだけです。これにより、任意の抽象化レベルでポリシーを簡単に指定できます。特定のサーバーは、データセンター全体のポリシーと、本番環境およびデータベース全般のポリシーの両方からポリシーを継承できます。ポリシーの大部分がテンプレートから作成される場合、ポリシーを作成する作業は単純化され、拡張性もはるかに向上します。
   
3. ポリシーが正しいことを知ってください。 ファイアウォールポリシーの策定は容易ではありません。すべてのアプリケーショントラフィックは、ポートとプロトコルまで細かく分類する必要があります。この情報は、多くの場合、インフラストラクチャチームやセキュリティチームの手に負えないところにあります。さらに悪いことに、もはや関与していないベンダーや請負業者がアプリケーションをインストールした可能性があるため、アプリチームでさえ気付かないことがよくあります。マイクロセグメンテーションは豊富な機能を提供します。 アプリケーション依存関係マップ チーム全体が理解できることです。マップにはアプリケーションデータのみが表示され、ネットワークデバイスは表示されないため、アプリケーションチームと DevOps チームは、アプリケーションが生成するフローと保護する必要があるものを簡単に理解できます。マイクロセグメンテーションにより、重要なアプリケーションの保護に関するコンセンサスを容易に得ることができ、正確な情報をポリシーチームに提供できます。
   
4. ポリシーが安全であることを知っておいてください。 ファイアウォールルールをどのようにテストしますか?いいえ、ファイアウォールはそのようには機能しません。ルールを入力し、問題が発生すると電話が鳴ります。2021 年には、もはやそれだけでは十分ではありません。まったく新しいアプリケーションでは、本番環境に移行するためにアプリチームとやり取りする余地があります。しかし、既存のアプリケーションでは、セグメンテーションポリシーに誤りがあると、機能停止が発生します。マイクロセグメンテーションはより良い方法です。ポリシーは、個別のものも含めてライフサイクル全体にわたって適用されます。 ビルド、テスト、および強制ステージ。これにより、アプリ所有者からセキュリティチームやインフラストラクチャチームまで、全員が、ポリシーが「設計どおり」であり、必要なすべてのコミュニケーションがポリシーに含まれていることを検証できます。シンプルなアプリケーション依存関係マップを見れば、ポリシーが安全で、適用できることが簡単にわかります。
   
5. アプリケーション所有者から支援を受けてください。 どの組織でも、セキュリティチームよりもアプリケーションチームの方がはるかに多くなっています。また、アプリケーションの数とセグメンテーションポリシーの作成者の数を比較すると、その対比はさらに大きくなります。この格差を考えると、各チームがファイアウォールチームが必要としているものを理解し、それをタイムリーに実現できるように支援することは常に困難です。 マイクロセグメンテーションは、アプリケーション所有者向けに設計された視覚化とワークフローを提供します その過程の一部になるんだアプリチームがマイクロセグメンテーションプロジェクトに参加すると、セキュリティチームとインフラストラクチャチームのアプリ目標をサポートするのがはるかに簡単になります。アプリケーションの仕組みや、セグメンテーションポリシーとそれらのフローとの相互作用を全員が把握できれば、自信がつき、非難の余地がなくなります。 アプリ所有者は簡単に検証できます ポリシーのフローと適用部分の両方により、施行に向けた進展が加速します。

マイクロセグメンテーションはファイアウォール管理者に最適です。手動のファイアウォールルールを、ネットワークの知識を必要としないシンプルな自然言語ポリシーに交換できます。完全継承によって簡単に拡張できる、真のゼロトラストポリシーモデルを手に入れましょう。すべてのセグメンテーションポリシーは、正確かつ完全である必要があります。マイクロセグメンテーションにより、アプリケーション所有者が関与できるシンプルなグラフィカルなプロセスになります。彼らがあなたの味方になれば、セグメンテーションプロジェクトはより速く、より簡単に、そしてより楽しくなります。マイクロセグメンテーションは、ファイアウォール管理者が待ち望んでいたアップグレードです。