セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
Segmentation
Illumio Editorial
Illumio Editorial
14月、2021
23分読む

ゼロトラストセグメンテーションポリシーを作成するために必要なもの

先週は、ゼロ トラスト セグメンテーション ポリシーを作成するために必要なアプリケーションとより広範な環境コンテキストを検出するために必要な機能について説明しました。何が義務的であるかがわかったら、それを政策声明で表現する必要があります。優れたマイクロセグメンテーション ソリューションは、検出から作成までシームレスに移行し、きめ細かなセグメンテーション ポリシーを効率的に記述するために必要なすべてのワークフローを完全にサポートします。ゼロ トラスト セグメンテーション ポリシーを加速およびサポートするものについて説明しましょう。

やり方ではなく、やりたいことを言ってください

歴史的に、アクセス制御リスト (ACL) を記述するには、何が必要で、それをどのように実行するかを知ることが必要でした。大きく複雑なルールのテーブルが作成されます。対照的に、ゼロ トラスト セグメンテーションは宣言型ポリシー モデルに基づいて機能し、「ポリシー」と「ルール」を分離します。ポリシーは、DEV 環境と PROD 環境を分離するなど、私たちが望む結果です。そのポリシーを実現するために必要なルールまたは ACL は、ポリシー エンジンの出力であり、人間の努力によるものではありません。これにより、ポリシーの作成が大幅に簡素化されます。

1 つのデバイスが他の 3 つのデバイスと通信することを許可するルールを記述する場合、4 つのルールを記述する必要はありません。1 台のサーバーが他の 3 台のサーバーと通信できるというポリシーを 1 つ記述するだけで済みます。ポリシー エンジンは、そのポリシーを実現するためのすべてのルールを作成します。データ センター全体またはクラウド展開の規模でこの簡素化を行うと、ゼロ トラスト セグメンテーション ポリシーの開発が加速されます。

使い慣れた名前と IP アドレス

従来のファイアウォール ルールの作成は、インフラストラクチャが理解する IP アドレスと、会話でサーバーに指定する名前との間で常に変換する必要があるため、常に時間がかかります。この翻訳をなくすことで、ゼロ トラスト セグメンテーション ポリシーの作成にかかる時間が大幅に短縮されます。

最良の状況は、組織が CMDB、SIEM、IP アドレス管理システム、ホスト名規則、サーバー名など内に既に存在する名前を再利用できる場合です。見慣れた名前がビジュアライゼーション内のすべてのシステムにラベルを付け、ポリシー作成の抽象化を提供すると、突然、誰もがゼロトラストポリシーを理解して作成できるようになります。翻訳は不要で、書かれたポリシーが視覚化によって発見されたニーズと一致していることについて、チーム全体がすぐにコンセンサスに達することができます。

相続を利用して保険契約の負担を軽減

ゼロトラストセグメンテーションポリシーを名前(またはラベル)に抽象化したら、ゼロトラスト許可リストの最も優れた部分の1つであるポリシーの継承を活用できます。純粋な許可リストでは、従来のファイアウォールとは異なり、ルールの順序付けに注意を払う必要はありません。

ファイアウォールでは、 許可リスト ルールと拒否リスト ルールが混在しているため、設計どおりに機能するにはルールが厳密な順序になっている必要があります。許可リストでは、物事は許可されるだけなので、許可される順序や複数回許可されるかどうかは関係ありません。

これは、ゼロトラストセグメンテーションポリシーを自由に継承できることを意味します。ポリシーを一度記述して、必要な回数だけ再利用できます。ワークロードは、PROD 環境ポリシー、データセンターレベルのポリシー、およびすべてのデータベースに対して作成したポリシーからポリシーの一部を派生させる場合があります。コア サービスのポリシーを一度定義すると、環境内のすべてのワークロードにそのポリシーが引き継がれます。継承により、ゼロトラストポリシーの作成は従来の方法よりもはるかに簡単になります。

ルール作成を分散して規模を拡大する

ファイアウォールルールの作成は、デバイスが事実上ネットワークアーキテクチャの一部であるため、長い間ネットワークセキュリティチームによって一元化され、管理されてきました。これにより、ファイアウォール チームがアプリケーション チームにシステムがどのように機能するかを IP アドレスで説明する必要があるという厄介な会話が生じました。そうして初めて、ファイアウォールチームはそれをルールに変換できます。しかし、なぜわざわざそんなコミュニケーションや翻訳にこだわるのでしょうか?

ゼロ トラスト セグメンテーションと強力なロールベース アクセス制御 (RBAC) 機能により、ルールの作成を分散できます。ゼロ トラスト セグメンテーション ソリューションがアプリケーション固有のビューと機能を提供するように設計されている場合、 アプリケーション所有者がアプリケーションの内部操作に関するポリシーを作成または検証し、その後、中央チームがその作業を承認して、コア サービス、データ センター、およびインターネット アクセスに関するポリシーを追加することが可能になります。

強力なゼロトラストセグメンテーションソリューションは、ポリシー作成プロセス全体を通じてアプリケーションチームとDevOpsチームにエージェンシーを提供します。組織が自動化したいほど、この委任はより重要になります。チーム全体が共通の目標に向かって取り組むことができれば、信頼と組織の結束が構築され、ゼロトラストセグメンテーションポリシーの提供が迅速化されます。

まとめ

データセンターとクラウド環境は複雑であり、セグメンテーションポリシーの作成も同じ複雑さを共有すると考えるのは自然なことです。しかし、最高のゼロトラストセグメンテーションソリューションは、従来のファイアウォールルール開発プロセスを、シンプルでスケーラブルで効果的なワークフローに置き換えます。宣言型ポリシーモデルとは、どのように行うかではなく、自分が言いたいことを言うことができることを意味します。

人間は自分のやりたいことを言うのが得意で、スマートなポリシーエンジンはそれをインフラストラクチャのルールに変えることができます。ポリシーが使い慣れた名前に基づいており、複数回再利用できる場合、チーム全体の作業が軽減されます。

そして何よりも、チーム全体がコラボレーションできると、チーム間の非効率な壁が崩れ、組織全体が協力して重要な資産を保護できるようになります。ゼロトラストセグメンテーションは、セグメンテーションポリシーのあらゆる側面を改善し、セグメンテーションを強化すると同時に組織の負担を軽減します。

関連トピック

アイテムが見つかりませんでした。

関連記事

イルミオがeBayの大規模なマイクロセグメンテーションプロジェクトをどのように簡素化したか
Segmentation

イルミオがeBayの大規模なマイクロセグメンテーションプロジェクトをどのように簡素化したか

イルミオを使用してネットワーク全体にマイクロセグメンテーションを展開したeBayの成功事例をご覧ください。

詳細はこちら
NSAの新しいサイバーセキュリティ情報シートから得た3つのポイント
Segmentation

NSAの新しいサイバーセキュリティ情報シートから得た3つのポイント

ゼロトラストセグメンテーションをゼロトラストの不可欠な要素としてNSAが認識していることについての洞察を得ることができます。

詳細はこちら
ゼロトラストを実装して、ダウンタイムによる壊滅的なコストを回避する
Segmentation

ゼロトラストを実装して、ダウンタイムによる壊滅的なコストを回避する

このブログでは、ゼロトラスト戦略が侵害に伴う時間の代償から組織をどのように救うことができるかを探ります。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る