ゼロトラストの運用 — ステップ 4: 必要なデータを指定する
このブログシリーズは、私が3月の投稿で紹介したアイデアを拡張したものです。」ゼロトラストは難しくありません... 現実的であれば。」
その記事では、ゼロトラストを実現するための6つのステップを概説しました。ここでは、そのステップの1つについて詳しく説明したいと思います。 必要なデータの規定。このステップが、組織の規模に関係なく、どのセキュリティ担当者でもプロジェクトをより成功させるために使用できる強固なフレームワークの実装をどのようにサポートできるかを説明します。
始める前に、次の 6 つのステップについて復習しておきます。
ステップ 4: 必要なデータを指定する
の中に 最終投稿 このシリーズでは、「どのゼロトラストピラーに焦点を当てるべきかを決める」と「正確なコントロールを指定する」を見てきました。これらのステップを評価した結果、ゼロトラストの運用を進めるのに役立つ次のような情報が得られました。
- 重点的に取り組むべきゼロトラストの柱を決めてください。 ワークロードのセキュリティと可視性は ゼロトラスト成熟度評価 あなたが行ったのはこれらが最も大きなギャップのある柱だと特定しました
- 正確なコントロールを指定してください: この評価では、最も重大なセキュリティギャップとして過剰なネットワークアクセスが特定されたため、重点的に取り組むべき制御はマイクロセグメンテーションです。
保護を強化したい対象と活用したい統制に的を絞ったら、そのような統制を効果的に実施するために必要な情報をまとめ始めることができます。
目的の最終状態から始めましょう。
- ワークロードを保護するためのマイクロセグメンテーションポリシーを構築したい。
- このポリシーがゼロトラストの原則に従うことを望んでいます。
- したがって、作成するルールでは、ビジネス機能を実行するために必要なワークロードへのアクセスのみとワークロードからのアクセスを許可する必要があります。
それで、これには何が必要ですか?必要なフローについてすでに知識があるのか、それともすでに長年稼働しているブラウンフィールド環境で本当にゼロから始めるのかによって、これに対する答えは少し異なるかもしれません。
- 既存の知識がある場合: 送信元 IP、宛先 IP、ポート、プロトコルに基づくセグメンテーションルールを指定
- ブラウンフィールド環境にいる場合: トラフィックログを取得して、関連する可能性のあるフローを特定しやすくする
特定の接続が何をしているのかを把握しようとして、何時間も何日もかけてファイアウォールのトラフィックログを調べたことはありますか?また、フローの目的を正しく理解するために、フローに貴重なコンテキストを提供してくれる情報や人を探さざるを得なかったことはありませんか?これをログの次の行、次の行、そして次の行で繰り返したことはありますか?さて、セグメンテーションの対象となるすべてのアプリケーションに対してこれを行う必要があることを想像してみてください。私の考えでは「楽しい」とは言えません。「干し草の山から針を探せ」を繰り返しプレイするようなものです。
さて、このような大量の交通量データが、突然、標準の 5 タプルの情報以上のものを提供する別の世界を想像してみてください。このハンティングを行わずに、接続のコンテキストをすぐに収集して、見ただけでトラフィックイベントのコンテキストを理解できるとしたらどうでしょうか。音声のない白黒映画から、ドルビーアトモスサウンドの 4K 映画に移行するようなものです。
これを文脈に当てはめるために、例を使ってみましょう。
通常のトラフィックログ:
- ソース:10.0.0.1
- 目的地:192.168.0.1
- ポート:53
- プロトコル:UDP
- アクション:許可
コンテキスト付きのトラフィックログ:
- ソース:10.0.0.1
- ソースコンテキスト:Web サーバー、支払いアプリケーション、プロダクション、英国
- 目的地:192.168.0.1
- 宛先:コンテキスト:DNS レスポンダー、DNS インフラストラクチャ、プロダクション、英国
- 宛先プロセス:名前付き
- ポート:53
- プロトコル:UDP
- アクション:許可
アプリケーション所有者として、または セキュリティオペレーション チームメンバー、イベントの1つのバージョンは明らかに優れています。コンテキスト付きのバージョンでは、フローの全体像がわかります。プロダクションペイメントウェブサーバーは、53/udp で接続を受信する名前付きプロセスを持つプロダクション DNS レスポンダーに依存していることがわかります。レビュー担当者は、関心のあるフローなのか、通常のトラフィックなのか、さらに調査する必要があるのかをすぐに判断できます。簡単に分類できます (または、自動的に分類するツールを構築することもできます)。これができるのは、コンテキストが追加されているからです。
ゼロトラストの最も重要な側面の1つが、必要なほどカバーされていない点です。 ゼロトラストを効果的に実施するには、ポリシーの策定に役立つコンテキスト情報またはメタデータへのアクセスが必要です。 したがって、ワークロード保護の観点からマイクロセグメンテーションについて話す場合、データセンターのアプリケーションと環境のコンテキストにおけるワークロードの記述は、標準トラフィックレポート以外に必要な最低限のメタデータです。
イルミオコア 組織のCMDBやその他のゴールデン(または信頼できる)ソースから収集されたこのメタデータを使用して、ワークロードに関連するラベルを作成します。これらのラベルは、役割、アプリケーション、環境、場所を各ワークロードに関連付け、豊富なワークロードを構築するのに役立ちます。 アプリケーション依存関係マップ これにより、各アプリケーションの上流と下流の依存関係を明確に識別できます。これにより、フローを見直してポリシーを設計する絶好の立場に立つことができます。
次回の記事では、ゼロトラストポリシーの設計方法について説明します。
ゼロトラストへの旅の次の一歩を踏み出す準備はできていますか? 私たちのページをご覧ください マイクロセグメンテーションによるゼロトラスト戦略の運用方法についてご説明します。