ゼロトラストポリシーの配布に必要なもの

このシリーズでは、 ポリシーディスカバリー そして ポリシーオーサリング これまでのところ。実施するポリシーが決まったら、それを計算してルール化し、執行機関に配布する必要があります。結局のところ、 ゼロトラスト 政策は届いた場所でしか機能しない!その政策をできるだけ多くの場所で、できるだけ効果的に実施できるようにしましょう。

ポリシーをルールに自動化

人間が読めるポリシー（ラベルまたはメタデータに基づく）を強制的なゼロトラストセグメンテーションポリシーに変えるための最初のステップは、それをインフラストラクチャが理解できるルールに変換することです。IP アドレスを使用せずにポリシーを人間が指定することがいかに重要であるかについては説明してきましたが、すべての適用ポイントでポリシーが必要です。ポリシー計算機能には果たすべき重要な役割があります。

ゼロトラストセグメンテーションポリシーをラベルに基づいているということは、同じ自動化を推進するアプリケーションインスタンスがセグメンテーションポリシーを推進できるということです。IP アドレスや類似のアプリケーションサービスの数を知らなくても、アプリケーションオートメーションは「名前を伝える」だけで正しいポリシーを取得できます。人間が判読できるポリシーを強制力のあるルールに自動的に変換できれば、セグメンテーションはアプリケーションコンポーネントそのものと同様にサービスになります。

ダイナミックで連続的なものにする

ポリシー計算は動的かつ継続的でなければなりません。現代のデータセンターやクラウド環境では、自動化によってアプリケーションが常に調整されます。つまり、IP アドレスが変更され、インスタンスが生成され、処理が実行され、削除されるということです。SaaS サービスコントローラーは、サイズが不明なクラスター内の新しい IP アドレスにシームレスに負荷を移します。つまり、ルールセットで使用されている IP アドレスは、インフラストラクチャの進化に合わせて更新する必要があります。定義されたポリシーをすべての適用ポイントで正確に保つためには、ポリシーの計算と配布を連続的かつほぼ瞬時に行う必要があります。

既存の強制ポイントを使用する

ゼロトラストセグメンテーションポリシーの良し悪しは、運用する場所の数に左右されます。幸いなことに、あなたには必要な施行ポイントがすべて揃っています。最新のオペレーティング・システムには、どれも便利なステートフル・ファイアウォールが組み込まれています。Linux ベースのマシンの場合は IP-Tables または NetFilter、Windows ベースのインスタンスの場合は Windows フィルタリングプラットフォームです。AIX、Solaris、さらには IBM System Z メインフレームにも、同様の OS ベースのファイアウォールが存在します。シスコとアリスタのネットワークスイッチは、F5 ネットワークスのロードバランサーと同様に ACL を使用します。ほとんどすべてのネットワーク接続デバイスがセグメンテーション命令を実行できると言っても過言ではありません。

したがって、優れたマイクロセグメンテーションソリューションでは、これらの強制ポイントをできるだけ多く使用する必要があります。結局のところ、カーネルファイアウォールは入手可能なコードの中で最も安定していてパフォーマンスの高いコードであるのに、なぜベンダーのエージェントに強制を任せるのでしょうか。既存のネットワーク、クラウドネットワーク、ファイアウォールのインスタンスをプログラミングできるソリューションを探してください。組み込みシステムと OT デバイスにはファイアウォールが組み込まれておらず、ベンダーのエージェントも必要ないため、利用可能なすべてのエンフォースメントポイントを使用するソリューションが必要になります。

パフォーマンスとスケールに関する考慮事項

評価時には、パフォーマンスと規模を考慮する必要があります ゼロトラストセグメンテーション 解決策。スイッチやルーターなどのハードウェア転送デバイスと同様に、アーキテクチャの選択は重要です。概念実証の段階で 1 つのポリシーを計算するのは難しいことではありません。

しかし、完全に自動化されたデータセンターで、グローバルなデータセンターコンプレックス全体に波が押し寄せている中で、15 分間隔で 40,000 個のコンピューティングインスタンスが削除および交換されるとしたらどうなるでしょうか。突然、計算時間が重要になってきました。

自動化されたアプリケーション環境で正しいポリシーを維持する唯一の方法は、自動化に遅れずについていくことです。しかし、いったん計算が完了しても、ポリシーを配布して適用する必要があります。このコンバージェンスイベントは、ハードウェアルータがルーティングテーブルをコンバージするのと変わりません。

検討しているソリューションのポリシー配布アーキテクチャはどの程度効果的ですか? データセンターの半分で障害が発生し、障害復旧のためのトラフィックの大規模な再ルーティングが開始された場合、アプリケーションの可用性を維持するために、ポリシーの更新をタイムリーに配布することが突然非常に重要になります。

大手ベンダーは、500,000ものオブジェクトにわたって完全なゼロトラストポリシーを統合した経験があります。検討しているベンダーが、複数の場所でのフェイルオーバーと同時のポリシー統合という主張を立証できることを確認してください。

定義されたポリシーを計算して配布することは、マイクロセグメンテーションソリューションに最大のパフォーマンス負担をかけます。シンプルな評価環境では、どのようなソリューションでも機能します。しかし、要求の厳しいアプリケーション自動化再構成は言うまでもなく、ネットワーク・パーティション・イベント、フェイルオーバー、災害復旧のシナリオに耐えられるのは、エンタープライズ規模のソリューションだけです。

効果的なポリシー配布機能を実現するには、ベンダーのソリューションがどのようにして人間が読めるポリシーをルールに自動化するかを十分に理解する必要があります。ポリシーは、既存の施行ポイントのできるだけ多くに、また可能な限り、ベンダー独自のソリューションよりも成熟した安定したカーネルファイアウォールを使用して配布する必要があります。継続的かつ動的なポリシーの計算と配信を導入すれば、ゼロトラストセグメンテーションが利用可能なアプリケーションサービスとなり、既存のアプリケーション自動化によって完全に自動化できるようになります。

来週の最終回では、ゼロトラストセグメンテーションポリシーを実施するために何が必要かを検討しますので、ぜひご参加ください。