.png)
ゼロトラストポリシーを迅速かつ安全に実施するために必要なもの
このシリーズでは、成功するための必須特性を検討しました 発見する、 オーサリング、および 配布する ゼロトラストセグメンテーションポリシー。今週は、ゼロトラストセグメンテーションポリシーを実施するために何が必要かを詳しく見て締めくくります。完全に実施されないゼロトラストポリシーでは、マルウェア、ランサムウェア、または悪意のある攻撃者を阻止することはできません。アプリケーションの機能を中断することなく、すべてのゼロトラストポリシーをインフラストラクチャ全体に迅速に適用できるようにするには、考慮すべき重要な考慮事項があります。
ご安心ください、後悔しないでください
既存のクラウド環境やデータセンター環境で作業する場合、まず最初にすべきことは、「害を及ぼさない」というヒポクラテスの誓いを立てることです。すべてのマイクロセグメンテーションソリューションはエージェントを使用します。安全なものが必要ですが、安全なインラインエージェントは存在しません。インラインファイアウォール、フィルタリング、またはその他のセキュリティ機能を実装しているエージェントは安全とは言えません。エージェントがクローズに失敗すると、アプリケーションが機能しなくなり、運用上安全ではなくなります。インラインエージェントがオープンに失敗すると、安全でないコンピューティングの定義であるセキュリティメカニズムは消滅します。安全に適用できる唯一のエージェントテクノロジーは、データパスの外にあるエージェントです。ベンダーエージェントが失敗したり削除されたりした場合でも、ルールを維持できるソリューションが必要です。デマンド エージェント 再起動せずにインストールおよびアップグレードできます。エージェントはユーザースペースで実行する必要があります。カーネルを変更したり、カスタムネットワークアダプタをインストールしたり、その他の方法でインライン化したりするものはすべて拒否します。のような基本的なことを作り直す必要はありません。 ステートフルファイアウォール データセンターやクラウドのすべてに文字通り1つが含まれている場合。
すべてに強制
いったん実施すべきゼロトラストポリシーが決まったら、それを置くのに最適な場所はどこにでもあります。IPTables/NetFilter や Windows フィルタリングプラットフォームといった、過去 12 年間のすべてのオペレーティングシステムには、完全に優れたステートフルファイアウォールが搭載されています。AIX、Solaris、さらにはメインフレームにも同様のテクノロジーが存在します。ネットワークスイッチ、ロード・バランサー、ハードウェア・ファイアウォールはすべてファイアウォール・ルールを採用しています。すべて使ってみませんか?ゼロトラストをあらゆる場所に配置し、すでに所有しているすべてのものにポリシー適用を自動化しましょう。施行には以下を含める必要があります。 Kubernetes コンテナ環境、 アマゾン、 アズール そして グーグルクラウド インスタンス、SaaS サービス、さらには OT デバイスを IT 環境から遠ざけることもできます。必要なものがすべてすでにすべてのデバイスでサポートされている場合、独自のベンダーエージェントがゼロトラストポリシーを適用することを検討する価値すらありません。
信頼感の速度の向上
ゼロトラストの導入は、ポリシーの安全性に対する信頼度で進められます。結局のところ、ゼロトラストポリシーでは、必要なものはすべて指定する必要があり、それ以外はすべて拒否されます。つまり、ゼロトラストポリシーは完璧でなければならないということです。データセンターにはいくつのフローがありますか?これらすべてのフローの完璧さに自信を持つのは難しいように思えます。リラックスしてください。ゼロトラストセグメンテーションは難しいことではありません。小規模なサービスでも 1 つでも適用できるようにしてください。結局のところ、最も脆弱なフローの一部は、環境内のすべてのマシンに影響するコアサービスと管理システムです。その多くは単一ポートまたは狭い範囲しか使用しません。どのような優れたソリューションでも、これらの少数のポートだけを選択的に適用できるはずです。定義しやすく、合意しやすく、セキュリティを確保することが不可欠です。その反対側は、単に「以下の共有サービスのリストを除いて、すべての開発システムが PROD と通信しないようにするが、できる限り制限する」といったポリシーの要望を強制することです。すべての DEV システムとすべての PROD システムについて完全な知識を持っている人はいないでしょう。動的で複雑すぎるからです。しかし、最高のゼロトラストセグメンテーションソリューションでは、ルール順序の問題やポリシーの継承を破ることから解放されたまま、これとまったく同じ機能を提供する執行境界を簡単に定義できます。ポリシーが適切で安全であることを、チームの全員がどれだけ早く確認できるでしょうか?1 つのポリシーステートメントのレベルで実施できると同時に、幅広い分離目標にも適用できるソリューションを探してください。どちらも同じくらいシンプルであれば、変更管理を通じてゼロトラストポリシーを適用するのは簡単です。
まとめると
クラウド、エンドポイント、データセンターのシステムを適用されたルールで分離することが肝心です ゼロトラスト。可視化のみのソリューションや監視ソリューションはゼロトラストセグメンテーションとはみなされません。優れたセグメンテーションソリューションはまず安全であり、オープンまたはクローズに失敗して環境全体を危険にさらすインラインテクノロジーに頼らないことです。適用範囲は広範囲に及び、OS ベースのファイアウォールから、ラックにあるハードウェアやネットワーク機器に至るまで、すでに購入して所有しているすべてのファイアウォールを活用する必要があります。コンテナ、クラウド、そしてコンピューティング環境全体にゼロトラストセグメンテーションポリシーを実装するということは、さまざまなソリューションが必要になるということです。では、それぞれにすでに備わっているものを使ってみてはいかがでしょうか。最後に、1 つのポリシーステートメントから環境全体をセグメント化する簡単な方法まで、適用範囲を構築できることが重要です。きめ細かなマイクロセグメンテーションは、システムが中断されることはないという共通の確信のもとで進められます。そのため、柔軟性が高く、きめ細かな適用が可能なソリューションでは、常にゼロトラストの成果が最速で得られます。
ICYMI、このシリーズの残りの部分を読んでください。
.webp)
