/
ゼロトラストセグメンテーション

マイクロセグメンテーションプロジェクトを成功させる方法:3 つの戦略的原則

マイクロセグメンテーションは重要です。適切に行動すれば、コンプライアンスを達成し維持しながら、ランサムウェアなどの攻撃に対する脆弱性を大幅に減らすことができます。

このシリーズでは、実践的で詳細なアプローチを紹介します マイクロセグメンテーション これにより、プロジェクトを迅速かつ効率的に確実に成功させることができます。

パート 1、組織が今マイクロセグメンテーションを必要とする理由と、マイクロセグメンテーションプロジェクトが失敗する可能性がある3つの主な理由を調査しました。

この2番目の記事では、マイクロセグメンテーションプロジェクトを成功させるための3つの戦略的原則について説明します。

これらの 3 つの戦略的原則は次のとおりです。

  1. 最初は完璧である必要はありません (もしあれば)
  2. 見えないものはセグメント化できない
  3. ポリシー管理の簡素化に注力

これらの原則に従ってプロジェクトに組み込むと、成功の可能性が大幅に高まります。

それでは、それぞれをさらに詳しく見ていきましょう。それぞれの原則について、一部の組織がマイクロセグメンテーションプロジェクトを実施する際に従う「間違った」原則について説明し、次に検討すべきより効果的な原則の概要を説明します。

原則 1: 一晩で完璧になる必要はない (もしあれば)

多くの場合、マイクロセグメンテーションプロジェクトは次のような場面で検討されます。 「完璧な」用語。これは、組織の内部ネットワークを完全にロックダウンし、すべてのシステム間の不要な接続と通信フローをすべて閉じ、攻撃者が少しも侵入できないような手付かずの環境を作り出すという、大規模な取り組みとしてアプローチされています。

このレベルの完璧さはあり得ません。それを追求することで、組織は次のような複数年にわたるプロジェクト計画を作成することになります。

  • 多くの場合、計画段階を過ぎることはありません。
  • 複雑さと労力が明らかになると、すぐに放棄されます。
  • 立ち上げはするが、何ヶ月も何年も続けても意味のある進歩はない。

対照的に、成功しているマイクロセグメンテーションプロジェクトのほとんどは、完璧を追求していません。その代わり、小さくてシンプルで明確に定義された一連の目標を達成することで、組織のセキュリティを有意義に向上させるいくつかの小さな目標を達成することに重点を置いています。

たとえば、 ランサムウェア防御の構築 マイクロセグメンテーションプロジェクトの優れた目標です。この目標を達成するには、プロジェクトで行う必要があるのは 3 つのことだけです。

  • アプリケーション通信をリアルタイムで可視化します。
  • ランサムウェアがよく使用するリスクの高いポートを閉じることで、ランサムウェアをブロックします。
  • ビルド 「コンテインメントスイッチ」 進行中のインシデントの拡散を阻止するために組織がひっくり返せるようにするためです

適切なツールがあれば、組織はこのようなマイクロセグメンテーションプロジェクトを完了し、プロジェクトを劇的に改善することができます ランサムウェア防御 —約1週間で。そこから、組織は次に達成すべき、小規模で優先度が高く、迅速に達成できるマイクロセグメンテーションの目標(1つの重要資産のコンプライアンス達成など)を選択できます。

マイクロセグメンテーションへのアジャイルかつ段階的なアプローチに従うことで、組織のセキュリティを即座に向上させ、マイクロセグメンテーションは達成できるものであるという確信を組織全体で構築し、より広範なマイクロセグメンテーションの取り組みの基礎を築くことができます。

原則 2: 見えないものはセグメント化できない

多くの場合、組織は、正確でリアルタイムの包括的な全体像を把握せずに環境をマイクロセグメント化しようとします。アプリケーション間の通信方法、アプリケーション間でどのような接続が開かれているか、IT インフラストラクチャ全体のトラフィックフローに関するその他の基本情報を把握できません。

同時に、組織にはメタデータのクリーンで最新のリポジトリ (構成管理データベース、CMDBなど) がないことがよくあります。このメタデータがなければ、どのアプリケーションがどのサーバーで実行されているのか、アプリケーションがどのような役割や機能を果たしているのか、アプリケーションがどこにあるのか、アプリケーションが開発環境と実稼働環境のどちらで使用されているのかわからないことがよくあります。

その結果、組織は、(アプリケーションの可用性やパフォーマンスを損なうことなく)許可されたトラフィックのみへの経路を遮断し、それ以外には何も遮断しない効果的なポリシーを作成するために、可視性を持たずにマイクロセグメンテーションを構築しようとすることがよくあります。

対照的に、成功しているマイクロセグメンテーションプロジェクトのほとんどは、確立することから始まります リスクベースのリアルタイムな可視性 環境内のアプリケーション間でメタデータを消去できます。

実際に言えば、成功しているマイクロセグメンテーションプロジェクトのほとんどは、次の要素に依存しています。

  • あの アプリケーション依存関係マップ これにより、環境内のアプリケーション、アプリケーション間の相互作用、内部と外部の依存関係をリアルタイムで把握できます。このマップは企業全体を網羅し、マイクロセグメンテーションプロジェクトに関わる IT 運用、ネットワーク、セキュリティ、リスクの各チームが共有する信頼できる唯一の情報源を提供する必要があります。
  • すべてを保存する単一の高品質リポジトリ メタデータ これにより、どのサーバーがどのアプリケーションに属しているかがわかります。さらに、このメタデータは通常の運用中に定期的に変更されるため、このメタデータを最新の状態に保つには、アプリケーションの所有者または中央管理者またはチームによって実行される継続的なプロセスが必要です。

これらは、マイクロセグメンテーションプロジェクトを成功させるための可視性の鍵です。

illumio-applicatoin-dependency-map
Illumioのリアルタイムアプリケーション依存関係マップは、環境内および環境間の通信フローを示します。

原則 3: ポリシー管理の簡素化に焦点を当てる

セキュリティポリシーは、マイクロセグメンテーションの構成要素です。ポリシーは、システム同士の通信方法を定義します。作成して適用できるポリシーが多ければ多いほど、そしてポリシーをきめ細かくすればするほど、セキュリティは強化されます。

残念ながら、ほとんどの組織は記述、実施、維持に苦労しています 効果的なマイクロセグメンテーションポリシー。マイクロセグメンテーションプロジェクトを推進するためのポリシーを定義する明確なプロセスがなく、ネットワークファイアウォールなどの従来のツールを使用してポリシーを適用および維持するために、手間と時間のかかる手動プロセスに従っています。

このような手作業によるアドホックなプロセスは、大規模でフラットな環境を互いに広範囲に分離して適用し、維持する場合にしか役に立ちません。通常、現代のネットワークをマイクロセグメント化するために必要な無数のポリシーを管理することはできません。

対照的に、成功しているマイクロセグメンテーションプロジェクトのほとんどは、以下をできるだけ合理化、簡素化、自動化することを目指しています ポリシー管理プロセス 可能な限り。通常、ポリシー管理プロセスを以下のステップに分け、それぞれをできる限り管理しやすくします。

  • ポリシーディスカバリー: 関連する各アプリケーションを理解するためのデータ収集
  • ポリシーオーサリング: アプリケーションに適用される実際のポリシーの作成
  • ポリシーの配布と施行: ポリシーをアプリケーションに適用し、環境の変化に応じてポリシーを維持します。

具体的には、成功したマイクロセグメンテーションプロジェクトは、次の点に細心の注意を払っています。 ポリシー作成プロセス。アプリケーションの依存関係を調べ、アプリケーション、システム、ユーザーとのやりとりをどのように許可するかを慎重に定義します。通常、彼らはいくつかの重要なステップに従います。

  • 彼らは、ポリシー管理に戦略的アプローチをとるか戦術的アプローチをとるかを決定します。戦略的なアプローチは、より長期的な視野に立ち、綿密に計画された導入経路に従うものです。戦術的アプローチは、既知の脆弱性を解消したり、規制監査に備えるためのコンプライアンス違反の修正など、緊急の要件を解決するように設計されています。どちらも異なるコンテキストで動作します。
  • システム間の既存の通信フローを見直して、それらのシステムが通常どのように相互に接続されているか、また各システムが正常に動作し続けるために必要な接続を確認します。次に、各システムの所有者に確認してもらい、どのフローを閉じることができるか、どのフローを開いたままにしておく必要があるかを確認してもらいます。
  • 彼らは方針を決めて書きます 自然言語 誰にでも分かるような 「アプリケーション A はアプリケーション B のサービスを利用します。」 また、新しいポリシーが実際のコミュニケーションフローに与える影響をテストして、実施しても安全であることを確認し、最終決定して実施する前に、システム所有者から承認を得ています。
illumio-structured-policy-control
Illumioは、オンプレミスとクラウド環境にわたるポリシー作成を合理化するための構造化されたポリシー制御を提供します。

ポリシーを定義し、ポリシー管理を簡素化、合理化、自動化するための明確なプロセスに従うことで、希望するセキュリティ上のメリットをもたらし、かつ大規模に適用できる効果的なポリシーを確実に作成することができます。

超訓訓訓への道

つい3ピーピーが、quwaそして、っとっとこしらぎょうだいじょうだい、じつはじょうだい。

、ねずみはすこしらぎらぎっしり、厚くそったれ。

無作法なぎりで、PCORCYNE DELJANGに付随する見本市と、2本ともしくは続く。

ウロカシメンとイルミオで五分の一節。

関連トピック

アイテムが見つかりません。

関連記事

サイバーセキュリティ教育専門家Kyla Guruがサイバー不安をどのように解決しているか
ゼロトラストセグメンテーション

サイバーセキュリティ教育専門家Kyla Guruがサイバー不安をどのように解決しているか

Bits N' Bytes Cybersecurity Educationの創設者兼CEOであるKyla Guruに、アクセシブルなサイバーセキュリティ教育における彼女の革新的な進歩と、デジタル世界を誰にとってもより安全にすることについての彼女の考えについて話しました。

最近の3つのサイバー攻撃から学んだゼロトラストセグメンテーションのポイント
ゼロトラストセグメンテーション

最近の3つのサイバー攻撃から学んだゼロトラストセグメンテーションのポイント

MITRE、デンマークのエネルギーインフラ、大英図書館に影響を及ぼすような最近のサイバーセキュリティインシデントは、侵害やランサムウェア攻撃の影響を減らす上でネットワークのセグメンテーションがいかに重要であるかを思い起こさせます。

マイクロソフトのSherrod DeGrippoが守る3つのサイバーセキュリティルール—そしてあなたもそうすべき理由
ゼロトラストセグメンテーション

マイクロソフトのSherrod DeGrippoが守る3つのサイバーセキュリティルール—そしてあなたもそうすべき理由

マイクロソフトの脅威インテリジェンス戦略担当ディレクター、Sherrod DeGrippoが、すべてのサイバーリーダーの意思決定と戦略の指針となるべきだと彼女が信じている3つのサイバーセキュリティ戒めについての洞察を得てください。

アイテムが見つかりません。

Assume Breach.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?