.png)
マイクロセグメンテーションに関する質問 あなたが尋ねるべきことがわからない: アプリケーションチームに参加させるには何が必要ですか?
アプリケーション所有者は、セキュリティチームやネットワークチームとの遠い関係に慣れています。ネットワークは「ただ機能する」はずであり、ファイアウォールはめったに耐えられない苦痛です。結局のところ、インフラストラクチャは平均的なアプリケーション所有者に「近い」とは感じられません。しかし、セキュリティチームとインフラストラクチャチームが、適用境界をオペレーティングシステムに移動したり、アプリケーションをリングフェンスしたりしたいと発表すると、抽象的な概念が突然新しい現実を帯びます。
主な懸念は、コントロールの実装が不完全で停止を引き起こしたり、パフォーマンスが低下したり、以前は存在しなかった頭痛の種を引き起こしたりすることです。また、アプリケーション・サーバー・インスタンスでは、アプリケーション・チームがかなりの制御を行使し、懸念事項が対処されない場合、実装を遅らせることが多いことも一般的に事実です。では、アプリケーション所有者、DevOps、クラウドチームと永続的で信頼に基づく関係を築くにはどうすればよいでしょうか?
ヒポクラテスの誓いを立てる
アプリケーション所有者にとって、サービスの可用性はリストの最優先事項であり、多くの場合、MBO またはパフォーマンス ボーナスの一部で構成されます。アプリケーションの稼働時間を脅かすものはすべて、すぐに抵抗に遭遇します。このため、アプリケーションチームと自動化チームにとって、あなたが効果的にヒポクラテスの誓いをしたことを知ることは重要です - マイクロセグメンテーションポリシーの開発において彼らのアプリケーションが損なわれることを許さないようにします。ファイアウォールのカットオーバーと再構成によって条件付けられており、マイクロセグメンテーションルールが調整されるたびに破損が予想されることに注意してください。しかし、そうである必要はありません。強力な「構築、テスト、適用」手法を備えたソリューションを選択することで、すべてのマイクロセグメンテーションポリシーは、正確性を確保するのに必要な限り徹底的にテストされます。
初期デプロイ中は、ホストベースのエージェントをテストまたは認定するための要求をスプリントしないでください。品質エージェントはテストを通過します。トラフィックにインラインではなく、仮想ネットワーク アダプターではなく、カーネルを変更しないエージェントを選択すると、アプリケーション所有者の受け入れ率が急上昇します。オープン (ファイアウォール ポリシーなし) またはクローズ (アプリが壊れる) のいずれかで失敗するインライン エージェントは避けてください。Oracle Exadataなどのミッション・クリティカルな環境で実行することが認定されたエージェントを選択すると、エージェントが安全でないことに疑問の余地はありません。安全なエージェントと適用への安全なパスを組み合わせると、アプリケーションの所有者と運用チームは、アプリケーションの安全性と稼働時間に対する懸念を共有していることを理解できます。
参加力を与える
しかし、質の高いゼロトラストセグメンテーションソリューションは、安全性の保証をはるかに超えており、アプリケーション所有者が有意義に参加できる機能を提供します。少なくとも、アプリケーション所有者に、ロールベースのアクセス制御 (RBAC) を使用してアプリケーションの視覚化へのアクセス権を付与します。アプリケーションの依存関係マップを確認するとすぐに、アプリの所有者は、観察されたフローが予期され、許可される必要があることを確認できます。ポリシーが開発されると、アプリの所有者は、必要なコア サービス、データベース接続、およびユーザー アクセス方法が許可されていることを確認できます。彼らは承認チェーンの一部となり、ポリシーが保護され、有効になることを保証します。一部の組織では、さらに進んで、内部アプリケーション ポリシーを作成するための制御をアプリケーション所有者に付与します。厳密な RBAC 制御の下で提供されている場合、各アプリ所有者は自分のアプリのみを表示でき、必要に応じてポリシー制御を委任および制限できます。セキュリティチームとインフラストラクチャチームに最終承認が留保されるため、運用チームに真の所有権が与えられ、信頼性と結果へのつながりが高まります。
自動化機能を提供する
過去数年間に構築されたほとんどすべてのアプリは、かなり自動化されています。彼らはベンダーから提供されたスクリプトを使用して立ち上がります。これらはAPIを提供し、多くの場合、SaaS、クラウドインスタンス、コンテナ、またはその他の高度なアプリケーションホスティングテクノロジーと統合されます。DevOps チームにとって、API が欠けているものは存在しないのと同じかもしれません。
これまで、アプリケーションチームは、手動で入力されたマイクロセグメンテーションルールとそれを取り巻くプロセスのペースの遅さに不満を抱いてきました。したがって、セグメンテーションをサービスとして提供してください。ゼロトラストセグメンテーションソリューションへのAPIキーを提供します。メタデータをラベル/タグ/ポリシーの抽象化のソースとして使用するように依頼します。メタデータが視覚化とポリシーの出発点になる場合、マイクロセグメンテーションはAPIからリクエストするだけで、初日から自動化できます。アプリケーションチームにサービスとしてのセグメンテーションへのアクセス方法を示し、それをランブックとゴールデンイメージに組み込むように促し、そうすれば母国語を話すことになります。マイクロセグメンテーションポリシーがアプリケーションのライフサイクル全体を通じて継続的に更新されると、誰もが利益を得ることができます。
ビジネスはアプリケーションに依存しており、アプリケーションを提供およびサポートするチームは、ファイアウォールチームが従来必要とする詳細な技術的な質問に慣れていません。しかし、ゼロトラストセグメンテーションは、それらを行き詰まらせたり、障害を設けたりする必要はありません。適切に伝達され、リソースが供給されれば、マイクロセグメンテーションのデプロイにより、アプリケーション所有者は安全にプロジェクトと対話できるようになります。さらに、最高のプロジェクトチームは、マイクロセグメンテーションを、定期的に利用する他のSaaSサービスと同様に、利用可能なAPI駆動型サービスとして検討するよう勧めています。高度なマイクロセグメンテーションが使いやすく、安全に操作でき、制御と影響を与える能力が下にある場合、アプリケーションチームは、誰もシステムに影響を与えたくない脅威からシステムを保護するのを喜んで支援してくれるでしょう。
アプリケーションセグメンテーションの詳細については、今すぐご覧ください。
