マイクロセグメンテーションについて尋ねてはいけない質問:アプリケーションチームを参加させるには何が必要ですか?

アプリケーション所有者は、セキュリティチームやネットワークチームとは遠い関係にあることに慣れています。ネットワークは「正常に機能する」はずですが、ファイアウォールはまれにしか耐えられないほど苦痛です。結局のところ、インフラストラクチャは平均的なアプリケーション所有者に「近い」とは感じられません。しかし、セキュリティチームとインフラストラクチャチームが、適用範囲をオペレーティングシステムに移したい、またはアプリケーションを制限したいと発表すると、突然、抽象的な概念が新たな現実を迎えます。

主な懸念は、統制の実装が不完全で機能停止が発生したり、パフォーマンスが低下したり、以前にはなかったような問題が発生したりすることです。また、アプリケーション・サーバー・インスタンスでは、アプリケーション・チームがかなりの制御を行い、懸念事項が解決されないと実装を遅らせてしまうこともよくあります。では、アプリケーションオーナー、DevOps、クラウドチームと、信頼に基づいた永続的な関係を築くにはどうすればよいのでしょうか。

ヒポクラテスの誓いを立てろ

アプリケーション所有者にとって、サービスの可用性はリストの一番上にあり、多くの場合、MBOやパフォーマンスボーナスの一部を占めています。アプリケーションのアップタイムを脅かすものはすべて、すぐに抵抗に遭います。このため、アプリケーションチームと自動化チームにとって、あなたがヒポクラテスの誓いを効果的に実行したことを知ることは重要です。マイクロセグメンテーションポリシーを策定しても、アプリケーションが被害を受けることは許されません。ファイアウォールのカットオーバーや再構成によって、マイクロセグメンテーションのルールが調整されるたびに障害が発生することを想定していたことを思い出してください。しかし、そうである必要はありません。強力な「構築、テスト、適用」手法を採用したソリューションを選択することで、すべてのマイクロセグメンテーションポリシーが正確であることを確認できる限り徹底的にテストされます。

最初の導入時には、ホストベースのエージェントをテストまたは認定するために過去のリクエストをスプリントしようとしないでください。品質の高いエージェントであれば、あっという間にテストを通過します。トラフィックに対応しておらず、仮想ネットワークアダプターでもなく、カーネルを変更しないエージェントを選択すると、アプリケーションオーナーの承認が急上昇します。起動に失敗する (ファイアウォールポリシーがない) か、閉じられない (アプリケーションが壊れる) インラインエージェントは避けてください。次のようなミッションクリティカルな環境での実行が認定されているエージェントを選択してください。 オラクル・エクサデータそして、エージェントが安全でないことはほとんど疑問の余地がありません。安全なエージェントと施行までの安全な方法を組み合わせると、アプリケーションの安全性と稼働時間に対する懸念を共有していることを、アプリケーションオーナーと運用チームが理解できるようになります。

参加を促す

しかし、質の高いゼロトラストセグメンテーションソリューションは、安全性の保証をはるかに超え、アプリケーション所有者が有意義に参加できるようにするものです。少なくとも、役割ベースのアクセス制御 (RBAC) を使用して、アプリケーション所有者がアプリケーションの視覚化にアクセスできるようにしてください。彼らが見たらすぐに アプリケーション依存関係マップアプリ所有者は、観測されたフローが想定どおりであり、許可すべきであることを確認できます。ポリシーが策定されるにつれて、アプリ所有者は必要なコアサービス、データベース接続、およびユーザーアクセス方法が許可されていることを確認できます。承認プロセスの一部になって、ポリシーが安全かつ有効であることを保証します。さらに進んで、内部アプリケーションポリシーを作成する権限をアプリケーション所有者に与えている組織もあります。厳密な RBAC 管理のもとでは、各アプリ所有者は自分のアプリしか見ることができず、ポリシー管理は必要に応じて委任したり制限したりできます。最終承認はセキュリティチームとインフラストラクチャチームに委ねられるため、運用チームに真の所有権が与えられ、結果への信頼とつながりが高まります。

自動化機能を提供する

過去数年間に構築されたほとんどすべてのアプリは、大幅に自動化されています。ベンダーが提供するスクリプトを使用して起動します。API を提供し、多くの場合 SaaS、クラウドインスタンス、コンテナ、その他の高度なアプリケーションホスティングテクノロジーと統合されます。DevOps チームにとっては、API がないものは存在しないほうがましです。

これまで、アプリケーションチームは、手動で入力するマイクロセグメンテーションルールとそれを取り巻くプロセスのペースが遅いことに不満を感じていました。そこで、セグメンテーションをサービスとして提供しましょう！ゼロトラストセグメンテーションソリューションの API キーを渡してください。メタデータをラベル/タグ/ポリシー抽象化のソースとして使用するように依頼してください。メタデータが視覚化とポリシーの出発点になれば、マイクロセグメンテーションを API にリクエストするだけで、初日から自動化できます。アプリケーションチームに、サービスとしてのセグメンテーションにアクセスする方法を示し、それをランブックやゴールデンイメージに組み込むように勧めてください。そうすれば、彼らの母国語を話せるようになります。マイクロセグメンテーションポリシーがアプリケーションのライフサイクルを通じて継続的に更新されれば、誰もが恩恵を受けます。

ビジネスはアプリケーションに依存しており、アプリケーションを提供しサポートするチームは、ファイアウォールチームが従来必要としていた詳細な技術的タスクに慣れていません。しかし、ゼロトラストセグメンテーションは、チームをやめさせたり、障害物にしたりする必要はありません。マイクロセグメンテーションを導入すると、適切なコミュニケーションとリソースが提供されれば、アプリケーション所有者は安全にプロジェクトとやり取りできます。優れたプロジェクトチームはさらに、マイクロセグメンテーションを、彼らが定期的に利用している他の SaaS サービスと同様に、利用可能な API 主導のサービスとして検討するよう求めています。高度なマイクロセグメンテーションが利用しやすく、安全に運用でき、制御能力と影響力があれば、誰もシステムに影響を与えたくない脅威からシステムを保護するよう、アプリケーションチームが喜んで支援してくれるでしょう。

についてさらに詳しく アプリケーションセグメンテーション 今日。