ブログ
/
ゼロトラストセグメンテーション

ゼロトラストポリシーディスカバリーに必要なもの

イルミオエディトリアル
May 7, 2021
23 最小読取り

についての基本的な真実 マイクロセグメンテーション 保護すべきトラフィックの理解ほどきめ細かくなることはないということです目に見えないものは本当にセグメント化できません。

現在、ほとんどのセグメンテーションベンダーは、アプリケーションをある種の「バブル」に陥らせて、分離の可能性を示す何らかの形のアプリケーションマップを提供しています。代替案 (視覚化なし) に比べて大幅に改善されていますが、実際には、これだけでは確固たるゼロトラストポリシーを策定するには不十分です。必要ですが、不十分です。 他に何が必要か?

で説明したように このシリーズの紹介、ゼロトラストのマイクロセグメンテーションが成功するかどうかは、ポリシー管理プロセスの有効性によって決まります。セグメンテーションルールの作成は 1 つのタスクではなく、さまざまな分析と意思決定のステップです。したがって、セグメンテーションを改善するには深い理解が必要であり、各ステップの適切な可視性とワークフローに反映させる必要があります。単一の単純な視覚化がすべてのタスクと意思決定ポイントに役立つ可能性はありません。

ポリシーディスカバリーとは、組織がアプリケーションとそのコンテキストを十分に理解してゼロトラストポリシーを作成するために実行する一連のタスクです。これには、サービス、ホスト、アプリケーションレベルの情報だけでなく、他にも多くの情報が含まれます。

完全なアプリケーションコンテキスト

アプリケーションの完全なコンテキストは、内部操作だけにとどまりません。他のアプリケーションと通信したり、一般的なコアサービスを 20 ~ 30 個に接続したり、企業や VPN の拠点からユーザーがアクセスしたり、SaaS サービスやその他のリモートアドレス空間とやり取りしたりすることがあります。これらすべてを整理せずにマップにダンプするだけでは、混乱を招き、進行が遅くなります。

外部接続を、IP 管理システムにある通常の名前付きアドレス範囲にまとめることが重要です。この方法では、ユーザーのサブネットや DMZ トラフィックなどを簡単に見つけることができますが、特にマイクロセグメンテーション導入の初期段階では、「保護された」システムよりも「保護されていない」システムの方が多くなります。これらのシステムはどのように表示、整理、分類されているのでしょうか。これらのシステムをポリシーモデルの対象としてマップ上に表示すると、複雑さやルールの記述が簡単になります。最後に、ほとんどのアプリケーションはユーザー向けに存在します。そのユーザーコンテキストはどのように理解され、表示され、アクションが可能になるのでしょうか。

最終的に、ポリシー検出には完全なアプリケーションコンテキストが必要です。これには、外部 IP アドレスまたはホスト名を 100 行以上記述した単純なアプリケーション図面だけでは不十分です。

マイクロワークフローとマクロワークフロー

データセンターやクラウド環境は複雑な場所であり、考慮すべきことはアプリケーションだけではありません。アプリケーションの依存関係マップはアプリケーションを理解するうえで不可欠ですが、もっと大きな構造を見ることができるとしたらどうでしょうか。どうやって知ることが可能なのでしょう? 開発と製品間でどのようなトラフィックが流れているか?環境全体のポート3306のすべてのデータベーストラフィックを確認して、見逃していないことを確認するにはどうすればよいでしょうか。LDAP や RDP などのコアサービスの「リーチ」を確認して、現在のアクティビティを把握するのはどうでしょうか。

100,000ノードを超える複数の環境を保護してきたIllumioの経験は、アプリケーションコンテキストに加えてマクロ環境用の視覚化および探索ツールを備えていることに反映されています。効果的な抽象化されたラベルベースのポリシーを作成するには、ポリシーモデルが提供するあらゆる抽象化レベルでのコミュニケーションを視覚化して検証する能力も必要です。興味深いことに、アプリケーションビューに非常に役立つアプリケーションバブルは、このコンテキストではほとんど役に立ちません。最良のポリシー発見ソリューションには、収集されたフローデータのデータベースダンプだけでなく、あらゆる抽象化レベルでのコミュニケーションを明確に示す方法があるはずです。

ポリシーの一括作成や集約による大量のトラフィックへの迅速な対応に不可欠なマクロレベルのビューを提供するマイクロセグメンテーションソリューションが必要です。

さまざまな利害関係者に対するさまざまな意見

ポリシー検出アクティビティ中にフローとポリシーを検査するのはファイアウォールチームだけではありません。セグメンテーションの境界がアプリケーションサーバーまたはコンテナホストに移るにつれて、運用チームとアプリケーションチームは、必要なすべてのサービスが適切にプロビジョニングされていることを確認することに強い関心を持つようになります。このような同僚にとって、ポリシーを迅速に検証して機能を検証したいというニーズに合わせた、目的に合わせたビューで質問に答えるのが一番です。ポリシー作成の詳細情報の多くは必須ではなく、実際、申請チームや運用チームの中心的な関心事から注意をそらすものです。

アプリケーションチームと運用チームのための視覚化とワークフローを慎重に構築したマイクロセグメンテーション製品を探してください。 彼らは政策のワークフローの一部であり、彼らのニーズをサポートするツールを持っている必要があります。そして RBAC もちろん、フィルター処理されたビューは不可欠ですが、もっと期待してください。 アプリケーション所有者固有のビジュアライゼーション ポリシー発見プロセスをスピードアップします。

まとめると

何が必要かを理解するよりも早くポリシーを書ける人はいない!ポリシー発見は、あらゆるポリシー管理ワークフローの最初の部分です。最新のアプリケーションやコンテナ化されたマイクロサービスのコレクションが求めるポリシーには、単なるアプリケーションバブルをはるかに超えた、完全なアプリケーションコンテキストが必要です。アプリケーションサービスをコンテキストで理解するには、IP 範囲、アンマネージドシステム、コアサービスなどをすべて表現することが不可欠です。

優れた政策モデルであれば、コミュニケーションを複数のレベル、つまり「ラベル」で抽象化できるので、これらの高次の政策目標をサポートする視覚化を行うことも重要です。結局のところ、一括政策は迅速な政策であるため、適切な機能を備えていれば、政策立案は飛躍的に加速します。

最後に、マイクロセグメンテーションには複数の組織が関与します。ポリシーディスカバリーはチームスポーツです。各チームができる限り効率的に作業できるように、全員が個別のディスカバリービューを持つようにしてください。

迅速かつ効率的なポリシー発見は、迅速かつ効率的なポリシー作成につながります。来週、ポリシー作成を加速させるために必要なことについて議論しますので、ぜひご参加ください。

関連トピック

アイテムが見つかりません。

関連記事

アダプティブセグメンテーションの進化
ゼロトラストセグメンテーション

アダプティブセグメンテーションの進化

適応型セキュリティプラットフォーム(ASP)に関するイルミオの最初のイノベーションは、これらの課題に直接対処することでした。ソリューションの構築を可能にする重要な基本要素がいくつか特定されました。

もっと読む
セグメンテーションがインシデント対応においてIRおよびリカバリ企業にどのようなメリットをもたらすか
ゼロトラストセグメンテーション

セグメンテーションがインシデント対応においてIRおよびリカバリ企業にどのようなメリットをもたらすか

Illumioがインシデント対応業務でゼロトラストセグメンテーションをどのように使用して、侵害に対応し、環境を安全に復元しているかをご覧ください。

もっと読む
ゼロトラストセグメンテーションプラットフォームに求めるべき3つの特質
ゼロトラストセグメンテーション

ゼロトラストセグメンテーションプラットフォームに求めるべき3つの特質

ネットワーク全体に広がるサイバー攻撃を防ぐ最善の方法は、ゼロトラストセグメンテーションを導入して、ランサムウェアなどの侵害が依存する経路を遮断するアクセス制御を実施することです。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく