ブログ
/
ゼロトラストセグメンテーション

ゼロトラストにとってポリシーが重要な理由

イルミオエディトリアル
April 30, 2021
23 最小読取り

というアイディア 最小特権 は新しいものではなく、ネットワーク上でデバイスを分離して最小限の権限しか使用しないという考え方も新しいものではありません。結局のところ、すべてのファイアウォールには、「すべて拒否」というデフォルトルールが適用され、最小権限ポリシーの作成が求められています。そのため、過去 15 年または 20 年の間、境界ファイアウォールに忠実に入力する許可ステートメントと拒否ステートメントが増えてきました。現在、ほとんどの組織がこれらのステートメントを非常に多く使用しているため、高度なスキルを持つ管理者のチームがそれらを管理する必要があり、その複雑さは近年爆発的に増加しています。

問題 (3 倍)

今、 ゼロトラスト 最低限の特権に戻るようにと規定しています。今回だけ、エッジではなく、すべてのワークロード、すべてのユーザー、すべてのエンドポイントで。これはどの程度実現可能でしょうか?シスコは毎年、以下の記事を公開しています。 企業ネットワークの詳細調査とあり、検討すべき簡単な近似値が得られます。2020 年には、トラフィックの 73% が「東西」、つまりデータセンター内のシステム間で発生し、約 27% が境界を経由していました。したがって、既存の境界ファイアウォールルールはトラフィックの 27% をカバーすることになります。

明らかに、他の 73% のトラフィックに対して同様のポリシーを作成することは、作業量が約3倍、ルールの複雑さが3倍、人数が3倍になるということです。そして、それが問題なのです。3倍の費用をかけて、3倍の人員を雇い、3倍の複雑さを構成できる企業はありません。SDN ソリューションをこのタスクに組み込もうとしたことや、仮想ファイアウォールを導入しようとしたことがある人は、それがうまくいかないことを知っています。

ゼロトラストを提案するベンダーは、この難問を解決しなければなりません。目前の計り知れない課題の運用上の現実に対処しなければ、ゼロトラストの成果は達成可能だと断言しても信用できません。ゼロトラストの成果を求める人は誰でも、導入を成功させるためのコスト、運用の複雑さ、人的資源の要素に対応できるという信頼できる証拠が必要です。

ポリシーを実施する場所はこれ以上必要ありません

ファイアウォールが最初にネットワークに入ったとき、トラフィックを大規模にブロックおよび制限できる唯一のデバイスでした。しかし今日では、次のことを達成しています。 ゼロトラストマイクロセグメンテーション 強制ポイントの問題ではありません。Windows から Linux まで、AIX、Solaris、System Z (メインフレーム) を含め、データセンターの最新のオペレーティングシステムはすべて、カーネルの転送経路にステートフルファイアウォールが適切に実装されています。ルーター、スイッチ、ファイアウォール、ロードバランサーに至るまで、すべてのネットワークデバイスがファイアウォールルールを適用できます。

実際、データセンター内のほとんどすべてのネットワーク接続デバイスには、何らかのアクセス制御機能があります。つまり、ゼロトラストを実装するためにファイアウォールのパレットを購入する必要がないということです。エンフォースメントポイントはすでに利用可能です。つまり、ゼロトラストを実装する場合のコストは、ほぼ完全に構成の複雑さという領域に集中することになります。結局のところ、必要な人員の数は、行うべき作業量によって決まります。

ポリシー管理がゼロトラストの成果を決定する

したがって、ゼロトラスト導入において最も重要な要素はポリシーだけであるという結論に達しました。ゼロトラストの目標が達成できるかどうかは、ポリシーの発見、作成、配布、実施がどれほど簡単かによって決まります。

ベンダーは自社の機能について話したり、美しいユーザーインターフェイスを見せたりするのが好きですが、結局重要なのは、ゼロトラストのマイクロセグメンテーションイニシアチブに内在するポリシー管理作業をいかに簡素化、削減、自動化するかだけです。

誰もがゼロトラストポリシーを作成する前に、まず関連するすべての通信フローと、問題のアプリケーションがどのように機能するか、つまりコアサービスや接続先のユーザーやその他のデバイスにどのように依存するかを知る必要があります。これはポリシーディスカバリーであり、単なるバブルの中のアプリの全体像ではありません。最終的に、ゼロトラストポリシーをうまく作成するには、必要な情報がすべて揃っている必要があります。

ポリシーを作成するには、人間の欲望をIPアドレスに変換する負担を排除する必要があります。ポリシー作成の負担を軽減するには、メタデータを使用してポリシーを簡素化し、拡張し、継承する必要があります。ポリシーを作成したら、それを既存の適用ポイントに配布する方法が必要です。アプリケーションを自動化して、すべてのポリシーを最新の状態に保ち、自動的に追跡するにはどうすればよいでしょうか。移動、追加、変更をすべて把握できれば、管理チームの作業負荷が軽減されます。

最後に、政策の実施は、最終的に提案された政策を検証し、信頼を築く能力にかかっています。ファイアウォールにはモデリング機能はありません。しかし、「許可して祈る」だけでは十分ではありません。ポリシーが正確で完全であり、適用に支障をきたさないことを知り、それをすべての利害関係者に伝える能力が必要です。

結論

ゼロトラストポリシー管理にとって何が重要かを知ることは、ゼロトラストまたはマイクロセグメンテーションプロジェクトを実現するために何が必要かを知ることと同じです。きめ細かなセグメンテーションの運用は、ポリシーを発見、作成、配布、実施する人間の能力によって決まる速度で進められます。効果的かつ効率的なポリシー管理ができれば、それに比例して人員要件も減少します。したがって、ゼロトラストを運用する上で最も重要な要素は、引き締めに必要な複雑なポリシーに効果的に対処することであることは明らかです。 セグメンテーションコントロール。ポリシー管理は非常に重要なので、今後のブログ記事で詳しく検討する予定です。

関連トピック

アイテムが見つかりません。

関連記事

RSAカンファレンス2024で注目すべき3つのこと
ゼロトラストセグメンテーション

RSAカンファレンス2024で注目すべき3つのこと

RSA Conference 2024で、AIセキュリティリスク、クラウドセキュリティ、サイバーセキュリティROIについてどう考えるべきかについての洞察を得てください。

もっと読む
連邦政府機関がゼロトラストパイロットプロジェクトを作成する方法
ゼロトラストセグメンテーション

連邦政府機関がゼロトラストパイロットプロジェクトを作成する方法

組織にゼロトラストを導入したい場合は、まず重要なセキュリティ優先事項と現在のゼロトラスト機能を把握することから始めてください。

もっと読む
マイクロセグメンテーションプロジェクトを成功させる方法:6 つの最大のリスク
ゼロトラストセグメンテーション

マイクロセグメンテーションプロジェクトを成功させる方法:6 つの最大のリスク

There’s a reason why so many organizations have not yet implemented microsegmentation to establish greater Zero Trust security protection.

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく