ゼロトラストセグメンテーションポリシーの作成に必要なもの

先週、私たち 議論 ゼロトラストセグメンテーションポリシーの作成に必要なアプリケーションおよびより広範な環境コンテキストの発見に必要な機能何が義務なのかがわかったら、それをポリシー・ステートメントで表現する必要があります。優れたマイクロセグメンテーションソリューションは、発見から作成までシームレスに移行し、きめ細かなセグメンテーションポリシーを効率的に作成するために必要なすべてのワークフローを完全にサポートします。ゼロトラストセグメンテーションポリシーを加速させ、サポートするものについて説明しましょう。

どうやるかじゃなくて、言いたいことを言え

これまで、アクセス制御リスト (ACL) を作成するには、必要なものとその方法を理解する必要がありました。その結果、大きくて複雑なルールテーブルが生成されます。ゼロトラストセグメンテーションは宣言型で動作します。 ポリシーモデルとは対照的に、「ポリシー」と「ルール」が分離されます。ポリシーとは、DEV 環境と PROD 環境を分離するなど、私たちが望む結果です。そのポリシーを実現するために必要なルールやACLは、ポリシー・エンジンの成果であって、人間の努力ではありません。これにより、ポリシーの作成が大幅に簡素化されます。

1つのデバイスが他の3つのデバイスと通信することを許可するルールを作成する場合、4つのルールを書く必要はありません。1 つのサーバが他の 3 つのサーバと通信できるというポリシーを 1 つ書くだけです。は ポリシーエンジン そのポリシーを実現するためのすべてのルールを作成します。データセンターやクラウド環境全体の規模で考えると、この簡素化はゼロトラストセグメンテーションポリシーの開発を加速させます。

使い慣れた名前と IP アドレス

書き込み 従来のファイアウォールルール インフラストラクチャが認識する IP アドレスと、通信中にサーバに付ける名前との変換が常に必要になるため、常に時間がかかります。この翻訳をなくすことで、ゼロトラストセグメンテーションポリシーの作成にかかる時間が大幅に短縮されます。

最良の状況は、組織がCMDB、SIEM、IPアドレス管理システム、ホスト名規則、サーバー名などの内部にすでに存在する名前を再利用できる場合です。見慣れた名前が視覚化内のすべてのシステムにラベルを付け、ポリシー作成の抽象化を提供すると、突然、誰もがゼロトラストポリシーを理解して記述できるようになります。翻訳は不要で、書かれたポリシーが視覚化によって明らかになったニーズと一致するかどうかについて、チーム全体がすぐに合意に達することができます。

継承を利用してポリシーの負担を軽減する

ゼロトラストセグメンテーションポリシーを名前 (またはラベル) に抽象化すると、ゼロトラストホワイトリストの最も優れた部分の1つであるポリシーの継承を利用できるようになります。純粋な許可リストでは、従来のファイアウォールとは異なり、規則の順序に注意を払う必要はありません。

ファイアウォールでは、 許可リストと拒否リスト ルールとは、ルールが設計どおりに機能するためには厳密な順序でなければならないことを意味します。許可リストでは、物事は許可されるだけなので、許可される順序や、複数回許可されているかどうかには違いはありません。

つまり、ゼロトラストセグメンテーションのポリシーを自由に継承できるということです。ポリシーを一度作成すれば、必要な回数だけ再利用できます。ワークロードのポリシーの一部は、PROD 環境ポリシー、データセンターレベルのポリシー、およびすべてのデータベース用に作成したポリシーから派生している場合があります。コアサービスのポリシーを一度定義すれば、環境内のすべてのワークロードにそのポリシーを適用できます。継承により、ゼロトラストポリシーの作成が従来の方法よりもずっと簡単になります。

ルール作成を分散して規模を拡大

デバイスは事実上ネットワークアーキテクチャの一部であるため、ファイアウォールのルール作成は長らくネットワークセキュリティチームによって一元管理されてきました。そのため、ファイアウォールチームがアプリケーションチームに IP アドレスでシステムの仕組みを説明してもらう必要があるという厄介な会話が生まれました。そして、そうして初めて、ファイアウォールチームはそれをルールに変換できます。しかし、なぜそのようなコミュニケーションや翻訳に煩わされるのでしょうか？

ゼロトラストセグメンテーションと堅牢なロールベースのアクセス制御 (RBAC) 機能により、ルール作成を分散できます。ゼロトラストセグメンテーションソリューションがアプリケーション固有のビューと機能を提供するように設計されている場合、次のようなことが可能になります。 アプリケーション所有者がポリシーを作成または検証する アプリケーションの内部運用のため。その後、一元管理されたチームが作業を承認し、コアサービス、データセンター、インターネットアクセスに関するポリシーを追加します。

強力なゼロトラストセグメンテーションソリューションは、ポリシー作成プロセス全体を通じてアプリケーションチームとDevOpsチームに主体性を提供します。組織が自動化を望むほど、この委任はますます重要になります。チーム全体が共通の目標に向かって取り組むことができれば、信頼と組織の結束が築かれ、ゼロトラストセグメンテーションポリシーの実現が加速されます。

まとめると

データセンターとクラウド環境は複雑であり、セグメンテーションポリシーの作成も同じ複雑さを共有すると考えるのは当然でしょう。しかし、最良のゼロトラストセグメンテーションソリューションは、従来のファイアウォールルール開発プロセスをシンプルでスケーラブルで効果的なワークフローに置き換えるものです。宣言型ポリシーモデルでは、どのように行うかではなく、言いたいことを言うことができるのです。

人間は自分の言いたいことを言うのが得意で、スマートな政策エンジンがあればそれをインフラのルールに変えることができます。使い慣れた名前に基づいてポリシーを複数回再利用できると、チーム全体の作業が軽減されます。

そして何よりも、チーム全体が協力できれば、チーム間の非効率的な壁が崩れ、組織全体が協力して重要な資産を保護できるようになります。ゼロトラストセグメンテーションは、セグメンテーションポリシーのあらゆる側面を改善すると同時に、セグメンテーションを強化すると同時に、組織への負担を軽減します。