マイクロセグメンテーションの導入に関するアーキテクト向けガイド:セキュリティモデルの変更による影響

マイクロセグメンテーション導入のアーキテクトやプロジェクトマネージャーは、望ましい成果と、その導入が実際に組織にどのような影響を与えるかを明確に把握できるというメリットがあります。同時に、こうしたインサイトを提供するには他のチームメンバーのサポートが必要になることが多く、中にはIT部門にすら入っていないメンバーもいます。 新しいプロジェクトを立ち上げ、順調に進め、最適な結果を達成するために、アーキテクトやプロジェクトマネージャーがマイクロセグメンテーションの導入について知っておくべきことは何ですか？

このシリーズでは、何百回ものマイクロセグメンテーションの導入に携わった経験を生かして、ビジネスに期待し、必要な結果をもたらすためにチームを最適な位置に配置するための重要な洞察を探ります。

で パート 1、セキュリティモデルを変更することによる影響について説明します。マイクロセグメンテーションソリューションに移行すると、以下に説明するように、既存のネットワーク/境界モデルがいくつかの重要な点で変更されます。これらの変更のそれぞれが、そもそもマイクロセグメンテーションを魅力的にしていたいくつかの利点を実現し、これらの変更のそれぞれが企業にも影響を与えます。

エンフォースメントポイントはネットワークからホストに移動します

従来、セキュリティはVLANのエッジ、PROD環境、インターネットの境界など、境界のチョークポイントに配置されていました。このモデルでは、アプリケーション、サーバー運用、または自動化チームと直接やり取りすることはほとんどありません。ホストベースのエンフォースメントへの変更は、以下のことを意味します。

• オペレーティングシステムの組み合わせとエージェントサポートの問題
• 自動化ツールと管理ツールの可用性と一貫性は、エージェントの導入方法と導入速度に影響します
• アプリケーションオーナー、システム管理者、および自動化開発者は、彼らにとってもセキュリティチームにとっても新しい方法でやり取りします
• 「オペレーティングシステムの内部」にセキュリティを設けることは、アプリケーション/管理チームにとって初めてのことであり、それが自分たちにとって何を意味するのかを理解する必要があります。

セキュリティポリシーは、ブラックリスト/ホワイトリストの混合モデルから純粋なホワイトリストモデルに移行

ハードウェアファイアウォールは、許可ステートメントと拒否ステートメントを組み合わせて使用します。つまり、各デバイスのルールの順序は非常に重要です。最適なマイクロセグメンテーションポリシーには、許可ステートメントしかありません。当然、これが実践的な実装です。 ゼロトラスト セグメンテーションの原則ただし、ルール順序に関する懸念がなくなり、柔軟で多面的なポリシーが可能になります。政策立案者が自分の希望を表現する新しい方法を学ぶにつれ、移行期間が短い政策でも、別の働き方や政策の指定の仕方になります。これにより、「読みやすい」はるかにシンプルなポリシーが作成され、監査とコンプライアンス検証がはるかに簡単になります。これらのチームと時間を割いて、新しいポリシーモデルについての教育を行うことを期待してください。

セキュリティポリシーステートメントは、ネットワーク/IPに依存するステートメントからメタデータ主導のステートメントに移行

ハードウェアファイアウォールは、IPアドレス、ポート、およびプロトコルに依存してルールを作成します。すべてのマイクロセグメンテーションベンダーは、ネットワーク構成に一切触れずに、ポリシーステートメントを表現するための何らかのラベルまたはメタデータを提供しています。つまり、セキュリティポリシーは、ネットワークチームやネットワークセキュリティチーム以外にも理解できるということです。グラフィカルな「ポイント・アンド・クリック」方式によるルール作成の仕組みも、セキュリティ・ポリシーをほとんど技術的に作成する方法ではありません。強力なロールベースのアクセス制御と組み合わせると (RBAC）、ルール作成を組織内でより広く配布することを検討することが可能になります。これが望ましいかどうかは、組織によって異なるだろう。

メタデータはこれまでセキュリティチームにとって重要ではありませんでしたが、自動化に関係する幅広い組織の一部ではメタデータを多用しています。セキュリティチームと自動化チームがメタデータの生成と利用の両方を行き来していることから、メタデータの設計、保存、変更などに特に注意を払うことは、組織全体のアジリティにプラスの影響を与える可能性のある、必要かつ価値のある取り組みであることがわかります。このような幅広い会話は、リーダーがサイロやワークグループを越えて働きかけ、影響を受けたすべての関係者を集めて共通のソリューションを推進するときに最もよく起こります。

API 主導のセキュリティ自動化が利用可能

自動化とオーケストレーションは、ITのアプリケーション側とシステム側では普通の言葉ですが、ネットワークとセキュリティチームではそれほど一般的ではありませんでした。しかし、優れたマイクロセグメンテーションソリューションでは、完全に API 主導型のワークフローを実現できます。プラットフォームのすべての機能に API を通じてアクセスできる必要があります。つまり、セキュリティを自動化できるかどうかは、想像力、時間、注意力によってのみ制限されるということです。組織が可能性を理解し、自動化への要望に優先順位を付け、その結果得られた計画を適切なフェーズで実施するには、やはり部門を超えたチームワークが必要となります。マイクロセグメンテーションポリシーを自動化する場合、メタデータの整理と整理に費やす時間が大きな利益になります。

これらの観察結果に共通しているのは、 導入は社内の組織の境界を越える。今までにない機能が提供され、チームにとって新しいデータを生成して利用できるようになります。最も簡単に言えば、これは「変化」であり、「同じもの」ではありません。組織にはそれぞれ変化に対する独自の姿勢があり、その変化を吸収する組織の能力とを一致させることが最大の管理課題です。

今日は、マイクロセグメンテーションが、組織が「慣れた」と思われる既存のネットワーク/境界モデルをどのように根本的に変えるかを探りました。第 2 部では、チームがマイクロセグメンテーションを導入して最大の成功を収めるために役立つ、次の重要な洞察について説明します。 デプロイメントチームの構築方法。

マイクロセグメンテーションの導入を成功させるために知っておくべきことすべてについて、さらに深く掘り下げて読むには、電子書籍をご覧ください。 侵害を超えたセキュリティ:マイクロセグメンテーションによる多層防御サイバーセキュリティ戦略を構築するための実践ガイド。