セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
Segmentation
Illumio Editorial
Illumio Editorial
4月 30日、 2021
23分読む

ゼロトラストにとってポリシーが重要な理由

最小権限という考え方自体は新しいものではなく、最小権限を実現するためにネットワーク上でデバイスを分離しておくという考え方も同様です。結局のところ、すべてのファイアウォールは出荷時にデフォルトのルール「すべて拒否」が設定されており、最小権限ポリシーの作成が必要になります。そして、過去 15 年から 20 年にわたって、私たちは境界ファイアウォールにますます多くの許可ステートメントと拒否ステートメントを入力してきました。現在、ほとんどの組織ではこのようなステートメントが多数存在するため、それらを管理するには高度なスキルを持つ管理者のチームが必要となり、近年その複雑さは爆発的に増加しています。

問題 (3 倍)

現在、 ゼロ トラストでは、最小権限に戻ることが規定されています。ただ今回は、エッジではなく、すべてのワークロード、すべてのユーザー、すべてのエンドポイントで実行されます。これはどの程度実現可能でしょうか?シスコは毎年、 エンタープライズ ネットワークの詳細な調査を公開しており、検討するための簡単な概算を提供しています。2020 年には、トラフィックの 73% が「東西」方向、つまりデータセンター内のシステム間で発生し、約 27% が境界を通過しました。したがって、既存の境界ファイアウォール ルールはトラフィックの 27% をカバーします。

明らかな意味は、トラフィックの残りの 73% に対して同様のポリシーを作成するには、作業の約 3 倍、ルールの複雑さの 3 倍、人数の 3 倍になるということです。そしてそれが問題です。3倍の費用を費やし、3倍の雇用をし、3倍の複雑さを構成することはできません。SDNソリューションをこのタスクに組み込もうとしたことがある人や、仮想ファイアウォールを導入しようとしたことがある人は、それが機能しないことを知っています。

ゼロトラストを提案するベンダーは、この難問を解決する必要があります。ゼロトラストの結果が、目の前の膨大なタスクの運用上の現実に対処せずに達成可能であると主張するのは信頼できません。ゼロトラストの成果を目指す人は、実装を成功させるために、コスト、運用の複雑さ、人的資源コンポーネントを満たす能力の信頼できる証拠を必要としています。

ポリシーを施行するための場所はこれ以上必要ありません

ファイアウォールが初めてネットワークに導入されたとき、ファイアウォールは大規模なトラフィックをブロックおよび制限できる唯一のデバイスでした。しかし今日では、 ゼロトラスト マイクロセグメンテーションを実現することは、強制ポイントの問題ではありません。Windows から Linux まで、データセンター内のすべての最新オペレーティング システム (AIX、Solaris、System Z (メインフレーム) も含む) には、カーネル転送パスに適切に実装されたステートフル ファイアウォールが備わっています。ルーターやスイッチからファイアウォールやロードバランサーまで、すべてのネットワーク デバイスはファイアウォール ルールを適用できます。

実際、データセンター内のほぼすべてのネットワーク接続デバイスには、何らかのアクセス制御機能があります。これは、ゼロトラストを実装するためにファイアウォールのパレットを購入する必要がないことを意味します。適用ポイントはすでに使用可能です。これは、ゼロトラストを実装するためのコストが、構成の複雑さの領域でほぼ完全に感じられることを意味します。結局のところ、必要な人数は、やるべき仕事の量に由来します。

ポリシー管理がゼロトラストの成果を決定する

したがって、ポリシーはゼロトラスト展開において最も重要な要素であると結論付けます。ゼロトラスト目標の達成可能性は、ポリシーの発見、作成、配布、適用の容易さまたは難しさによって異なります。

ベンダーは自社の機能について話したり、きれいなユーザーインターフェイスを見せたりすることを好みますが、結局のところ、重要なのは、ゼロトラストマイクロセグメンテーションイニシアチブに固有のポリシー管理作業をどれだけ簡素化、削減、自動化するかだけです。

ゼロトラストポリシーを作成する前に、まず、関連するすべての通信フローと、問題のアプリケーションがどのように機能するか、つまり、コアサービスと、接続するユーザーやその他のデバイスにどのように依存するかを知る必要があります。これはポリシーの発見であり、バブルの中のアプリの美しい写真以上のものです。最終的には、ゼロトラストポリシーを正常に作成するために必要なすべての情報が必要です。

ポリシーを作成するには、人間の欲求を IP アドレスに変換する負担を排除する必要があります。メタデータを使用してポリシーを簡略化、スケーリング、継承し、作成の負担を軽減する必要があります。ポリシーを作成したら、すでに存在する適用ポイントにポリシーを配布する方法が必要です。アプリケーションの自動化を使用して、すべてのポリシーを最新の状態に保ち、自動的に追跡するにはどうすればよいでしょうか?移動、追加、変更をすべて考慮できれば、管理チームの作業負荷は軽減されます。

最後に、ポリシーの施行は、最終的には、提案されたポリシーに対する信頼を検証し、構築する能力に依存します。ファイアウォールにはモデリング機能がありません。しかし、「許可して祈る」だけでは十分ではありません。ポリシーが正確で完全であり、アプリケーションを壊さないことを知り、それをすべての利害関係者に伝えることができる能力が必要です。

結論

ゼロ トラスト ポリシー管理にとって何が重要かを知ることは、ゼロ トラストまたはマイクロ セグメンテーション プロジェクトを実現するために何が必要かを知ることと同じです。きめ細かなセグメンテーションの運用化は、ポリシーを発見、作成、配布、適用する人間の能力によって決まる速度で進みます。効果的かつ効率的なポリシー管理が存在する場合、人員要件は比例して減少します。したがって、ゼロ トラストを運用する上で最も重要な要素は、 セグメンテーション制御を強化するために必要なポリシーの複雑さに効果的に対処することであることは明らかです。これは非常に重要なので、今後のブログ投稿ではポリシー管理について詳しく検討します。

関連トピック

アイテムが見つかりませんでした。

関連記事

シーメンスのゼロトラストプログラムの構築:トーマス・ミューラー・リンチが学んだ3つのこと
Segmentation

シーメンスのゼロトラストプログラムの構築:トーマス・ミューラー・リンチが学んだ3つのこと

シーメンスのゼロトラストリーダーであり、デジタルIDのグローバルディレクターであるゼロトラストプログラムを構築するための専門家の推奨事項を入手してください。

詳細はこちら
Black Hat USA 2015 と DEF CON 23 を最大限に活用するにはどうすればよいでしょうか?
Segmentation

Black Hat USA 2015 と DEF CON 23 を最大限に活用するにはどうすればよいでしょうか?

Black Hat と DEF CON は、初期の頃から、そして私が最後に参加した 7 年前からも確実に成長しました。イベントは今でも多くの治安部族が毎年集まる折衷的な集まりですが、ブラックハットのエキスポフロアもベンダーブースで埋め尽くされています。

詳細はこちら
ゼロトラストセグメンテーションはクラウドのレジリエンスにとって重要です
Segmentation

ゼロトラストセグメンテーションはクラウドのレジリエンスにとって重要です

クラウドの回復力はゼロトラストから始まります。ZTSの作成者であるJohn Kindervagが共有した、ゼロトラストセグメンテーションによって解決されたクラウドの問題トップ3をご覧ください。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る