ブログ
/
ゼロトラストセグメンテーション

マイクロセグメンテーションの導入に関するアーキテクト向けガイド:「力を入れる」べき5つのポイント

イルミオエディトリアル
August 27, 2020
23 最小読取り

イルミオでは、最も成功しているもののいくつかを見てきました マイクロセグメンテーション 導入は、設計上の考慮事項、プロセス、および必要なチームを事前に明確に把握しておくことから生まれます。情報が多いほど導入がスムーズになります。だからこそ、マイクロセグメンテーションの取り組みに役立つように、何百もの顧客導入の経験から得た教訓と実証済みのベストプラクティスを文書化しました。

簡単に振り返ってみると、次の場所にあります。

  • パート 1では、セキュリティモデルの変更(つまり、従来の東西ファイアウォールを継続するのではなく、マイクロセグメンテーションを導入すること)による影響について説明しています。
  • パート 2では、最適なマイクロセグメンテーション導入のための推奨チーム構造について説明します。
  • パート 3ここでは、起こり得る障害を回避するために、導入プロセス中に注意すべき特定のチェックポイントを調べます。

私たちは長い道のりを歩んできました。ここでは、この議論をさらに一歩進めます。

どの組織にも、新しいテクノロジーを導入したり、組織のセキュリティを確保するための新しいアプローチを採用したりする際には、非公式なガードレールと公式なガードレールの両方があります。責任あるチームの各メンバーは、自分が許容できることと、何らかの承認、つまり「エアカバー」、つまり行動を起こすための許可が必要なときを内面化しています。チームがそれを持っていなければ、進捗は停滞し、出張のスケジュールで問題解決に必要な社内会議が遅れると、1 週間以上も無駄になりがちです。

私の経験では、エグゼクティブスポンサーまたは信頼できる代理人(このシリーズのパート2で説明したように)が「頼りになり」、意思決定によってプロジェクトを加速できる場所が5つあります。これについて以下に概説します。

これらはそれぞれ、何かがうまくいかず、実際の結果を招く可能性があるポイントでもあります。このような瞬間には、チームは当然リスクを嫌います。準備や予防策を提示した後に、計画どおりに進むように言われたら、感謝するでしょう。また、管理チームがプロジェクトチームから電話、電子メール、訪問を受け、助けや承認、ガイダンスを求める傾向が導入計画におけるポイントでもあるため、後で明らかな遅延が発生しないように、事前に理解しておくことが重要です。

「身を乗り出す」ことができる5つの場所

1。マイクロセグメンテーションエージェントの一括インストール権限

サーバー/運用チームは、完全なテストと検証を行った後でも、この時点で細心の注意を払います。このような事態が発生し、適切な通知やプロセスがすべて守られていることを確認するために、「プッシュ」や経営陣からの問い合わせがあると役立つことがよくあります。

2。モニター専用モードからの移行の承認 (および要求) と破損への対処

エージェントがポリシー構築モードに移行すると、エージェントはオペレーティングシステムのファイアウォールを完全に制御するか、独自のファイアウォールをインストールします。これから行われるテストと検証を考えるときわめてありそうもないことですが、ワークロードに影響が出る可能性はまだほとんどありません。いつか、チームが前に進み、問題が発生した場合は修正するよう呼びかけるリーダーシップが必要になり、分析を無期限に行う必要がなくなります。これをできるだけ簡単にする方法について、ベンダーがガイダンスを提供してくれることを期待してください。

3。当初のポリシー・ガイドラインと作成された規則の承認

上で説明したように、最初のポリシー定義はチームにとって重要な目標です。全員がそれに向かって進めるためには、それが正しく、受け入れられるものであることを知る必要があります。また、プロジェクトのスコープクリープを回避するためのテクニカルリーダーの結束点にもなります。心理的には、ほとんどのセキュリティ管理者は、既存のプロセスによって徹底的に検証されたルールセットでプログラミングすることに慣れています。最初のルールセットを作成するときには、そのプロセスを使用することはほとんどありません。定義され承認された初期ポリシーを用意しておけば、誰もが安心して運用できます。

4。社内のワークフローとプロセスが正しく作成されていることを確認する

PROD 環境に入る前に、チームが適切な人材、プロセス、承認者、および利害関係者と連携していることを確認することが重要です。利害関係が大きい場合、サプライズは非常に悪いものです。プロセスを注意深く調べて、チームが誰か、または知る必要のある経営幹部の同僚を見逃していないことを確認するのは良いことです。

5。ポリシー施行および損害への対処への移行の承認(および要求)

最初のマイクロセグメンテーションポリシーを何週間も注意深く実装してテストすることで、チームはポリシー施行への移行に自信を持てるようになります。実施時には、マイクロセグメンテーションによって明示的に許可されていないすべてのトラフィックがブロックされます。これは「大きな一歩」です。これが、多くの組織がマイクロセグメンテーションを購入し、監査人がその結果を検証することが多い理由です。大規模なプロジェクトでは、何かが見落とされたり、未知だったり、その他の理由で説明されなかったりすることはほぼ確実です。その後数日または数週間で、何かがブロックされ、電話がかけられるようになります。

これはハードウェアファイアウォールにも当てはまり、マイクロセグメンテーションにも当てはまります。エグゼクティブ・スポンサーは、プロジェクトのある時点で、合理的な準備がすべて整っていることを知るでしょう。その時点で、チームは承認を得て進める必要があります。明確なリーダーシップとコミュニケーションがなければ、組織は前に進むリスクを制御するのではなく、横に動くことの安全性に偏る傾向があります。経営陣が適切な判断を下せば、前進する意欲が高まり、前進の優先順位が明確に伝わります。


各インスタンスを事前に計画し、それに応じて準備することで、これらの(およびその他の)落とし穴を回避できます。前述のように、この議論全体の中心は透明性です。

このシリーズの最終回となる第5部では、ベンダーとの関係を管理する最善の方法と、業務の整合性を維持する方法を探ります。詳しくは、Mediumに関する総合ガイドを今すぐお読みください。 https://medium.com/@nathanael.iversen/executive-guide-to-deploying-micro-segmentation-60391e7d1e30

関連トピック

マイクロセグメンテーション

関連記事

ロシア・ウクライナ危機:セグメンテーションでリスクを軽減する方法
ゼロトラストセグメンテーション

ロシア・ウクライナ危機:セグメンテーションでリスクを軽減する方法

ウクライナでの紛争により、世界中の組織が脅威モデリングの見直しとサイバーリスクの再評価を迫られています。

もっと読む
キャセイパシフィック航空がIllumioを利用してセグメンテーションとコンプライアンスの成功を早めた方法
ゼロトラストセグメンテーション

キャセイパシフィック航空がIllumioを利用してセグメンテーションとコンプライアンスの成功を早めた方法

キャセイパシフィック航空が 3 か月足らずでマイクロセグメンテーションを実装した方法について、Kerry Peirse が紹介するこのビデオをご覧ください。横ばいの動きを止めて、コンプライアンス要求に応えましょう。

もっと読む
隠れた接続はクラウドのROIを低下させますか?
ゼロトラストセグメンテーション

隠れた接続はクラウドのROIを低下させますか?

不要なクラウド接続を探す場所と、イルミオゼロトラストセグメンテーションがクラウドのコストとセキュリティの合理化にどのように役立つかをご覧ください。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく