マイクロセグメンテーションを導入するためのアーキテクト向けガイド:導入プロセスの管理

パート 1 そして パート 2 このシリーズでは、セキュリティモデルを変更することの意味と、マイクロセグメンテーションの導入を成功させるために必要なリソースについて説明します。

パート3では、計画に追加する特定のチェックポイントを使用して、導入プロセスを管理する最善の方法を検討します。

多くの点で、マイクロセグメンテーションの導入は単なるITプロジェクトです。他のプロジェクトと同じように、技術的な仕事、政治的な仕事、調整の仕事があります。以下では、マイクロセグメンテーションの導入を可能な限りスムーズに行うための特別な考慮事項に焦点を当てます。これらは、多くの大規模な企業導入から導き出された「ベストプラクティス」であり、どのような規模の導入にも適用できます。

プロジェクトチーム全体に幅広い概要トレーニングを確実に行う

ベンダーの概要トレーニングクラスを受講して、できるだけ多くの人を集めましょう。これにより、参加者はマイクロセグメンテーションのアーキテクチャ、ポリシー言語、コアコンセプトを理解できます。プロジェクトチーム全体がこれに参加すると、設計プロセス全体がより堅牢になります。上記のクロスファンクショナルチームのメンバーはそれぞれ IT に対する見方が異なり、制約や既存のアーキテクチャを独自の視点から理解しています。

各自がマイクロセグメンテーションの導入について十分に理解していれば、どこで問題が発生するか、テストや認証を取得したかなどを言葉で表現できれば、完全な導入計画を立てるのがはるかに簡単になります。計画プロセスでこうした視点を聞くのが早ければ早いほど、良い結果が得られます。プロジェクトの進行に合わせてチームを 1 人ずつ参加させると、多くの「クリティカルパス」項目は、数週間後になって初めて明らかになります。この早期通知により、組織全体が計画を立て、対応するための時間を増やすことができます。

完全な設計成果物を期待してください

前述のように、マイクロセグメンテーションの導入にはいくつかの新しい概念があります。これらはプロジェクト計画とタイムラインに反映される必要があります。プロジェクト計画に技術的なマイルストーンしかなく、調整、チーム間の通知、その他のタッチポイントが欠けていると、プロジェクトが終了するまでに数週間遅れてしまいます。どの企業も地域特有のプロジェクトを組織し、追跡していますが、各プロジェクトには次のものが必要です。

• 詳細な導入計画。 ベンダーは、すべての「教訓」と「ベストプラクティス」を含む「やるべき作業」のテンプレートを提供する必要があります。それを実行可能な導入計画に統合し、必要に応じて名前と日付を割り当てる必要があります。計画は実行チームによって承認され、経営陣は進捗状況を定期的に報告する必要があります。
• ラベリングとメタデータの計画。 マイクロセグメンテーションのポリシーは IP アドレスではなく名前とラベルに基づいているため、チームは現在のデータソースを評価し、ギャップを特定する必要があります。継続的な運用のためには、アプリケーションの登場や廃止に伴ってメタデータをどのように作成および管理するかに関するポリシーとワークフローを作成または強化する必要がある場合があります。
• 詳細な初期セキュリティポリシー。 導入が最速だったのは、導入チームがプロジェクトの開始時に明確なポリシー目標を掲げていた場合です。マイクロセグメンテーションは、企業がこれまで行っていたものよりもきめ細かくできるようになりました。ほとんどのお客様にとって、マイクロセグメンテーションは当初必要だった以上の機能を提供します。賢明なプロジェクトチームは、まずプロジェクトの目標を達成し、最終的にプラットフォームで可能になるであろうすべてのことに夢中になることはありません。最初の方針を詳しく説明し、その目標に向かってチームに懸命に取り組んでもらうのが一番です。すべてのワークロードが当初のセキュリティポリシーで保護されたら、リスク調整ベースでビジネスニーズに応じて強化を行うことができます。「海を沸かそうとする」ことは避けてください。
• 必要なすべての自動化のリストと説明と、誰が作成するのかを記載したもの。 エージェントの一括デプロイ、ラベルとメタデータのインポート、その他多くのことが自動化によって行われる可能性があります。どのチームがテクニカルリーダーになるかによって、この作業は他のチームによって行われることがあります。これには、追加のスケジュールと調整が必要になります。何が必要で、いつまでに何が必要かを早い段階で正確に把握しておくと、各チームが予期せぬ事態を避け、順調に進むのに役立ちます。
• 必要なすべての統合ポイントのリストと説明、およびそれを行う担当者。 少なくとも、セキュリティログと運用ログはおそらくSIEMまたはビッグデータ分析プラットフォームに送信されます。カスタマイズ、ダッシュボード、その他のツールがさらに必要になる場合があります。多くの場合、この領域にはプロジェクトリーダーチーム以外のチームが関与します。ベンダーには特定の専門知識を持つ専門のサービスエンジニアがおり、プロジェクトに適したリソースを引き出す必要があります。スケジュールを調整するには、プロジェクトの早い段階で誰がどの仕事をしているのかを把握することが重要です。
• マイクロセグメンテーションの導入によって影響を受ける内部プロセスとワークフローのリスト。 マイクロセグメンテーションは、組織がセキュリティポリシーを作成する方法を変えます。誰かがラベルやメタデータを変更すると、ワークロードに適用されるセキュリティポリシーも変更されます。理論的には、これはファイアウォールルールの変更を要求することと変わりません。しかし、ほとんどの組織は、既存の保護手段を適用するために適用または拡張する必要のある主要なワークフローがあることに気づいています。チームがこれらを特定し、適切なレベルに引き上げて調整と承認を行うことを期待してください。これは、マイクロセグメンテーションソリューションを長期的に所有し、経営陣レベルの承認と調整なしには実行できない作業を円滑に進めるための鍵です。

報告頻度

マイクロセグメンテーションの導入は、それぞれ間隔が異なる 3 つのレベルのレポートを作成するとスムーズに行われます。

1. 技術プロジェクトのステータス: チームリーダー、ベンダー、専門サービスエンジニア、および業務レベルに深く関わっている他のメンバーは、定期的にコミュニケーションをとる必要があります。このような状況は、日単位という短いスケジュールから、長期的には週単位のステータスコールまでという短いスケジュールでよく見られます。こうした面談は通常、PM とテクニカルリードが主導し、直接業務に集中します。この電話会議には幅広い人々が招待され、必要に応じて参加します。
2. プロジェクトステータス: これは、PM、チームリーダー、および関心のあるマネージャーとディレクターの双方が出席する電話会議です。通常は、隔週または月に 1 回行われます。全体的な赤緑状態の伝達、ギャップの特定、エスカレーションや追加リソースの要求などを目的としており、テクニカルコールではなく、ベンダーと企業の両方に状況を常に把握してもらうためのプロジェクト管理コールです。
3. 経営状況: 企業は、特定のビジネス上のメリットを得るためにマイクロセグメンテーションを導入しています。エグゼクティブスポンサー、ベンダー幹部、およびアカウントマネージャーと月次または四半期ごとに話し合い、プロジェクトが全体的なビジネス目標や優先事項に沿っていることを確認できます。両チームが交流し、プロジェクトの成功に向けて適切な優先順位を決めるための常設フォーラムとなります。通常 30 分の会議ですが、初めて執行に入るなどの重要なマイルストーンの前にさらに時間がかかる場合があります。

それでおしまいです。マイクロセグメンテーションの導入を成功させるうえで中心となるのはコミュニケーションです。チームメンバー全員が適切なトレーニングを受け、成果物の概要が示され、順守され、報告サイクルが合意され維持されれば、効果的なマイクロセグメンテーションの導入は実現可能であるだけでなく、想像以上に簡単です。

このシリーズのパート4では、マイクロセグメンテーションの導入を成功させるために「力を入れる」べき5つのポイントについて説明します。