.png)
ゼロトラストポリシーを迅速かつ安全に実施するために必要なもの
このシリーズでは、ゼロ トラスト セグメンテーション ポリシーを正常に検出、 作成、 配布するために必要な特性について検討しました。今週は、ゼロ トラスト セグメンテーション ポリシーを実施するために必要なことを詳しく見ていきます。完全に施行されないゼロトラスト ポリシーでは、マルウェア、ランサムウェア、または悪意のある行為者を阻止することはできません。アプリケーション機能を中断することなく、あらゆるゼロトラスト ポリシーをインフラストラクチャ全体に迅速に適用できるようにするには、考慮すべき重要な事項があります。
安全、後悔しない
既存のクラウドおよびデータ センター環境で作業する場合、最初の要件は、ヒポクラテスの誓いを立てることです。「害を与えないこと」です。すべてのマイクロセグメンテーション ソリューションはエージェントを使用します。安全なものが必要ですが、インライン エージェントはどれも安全ではありません。インライン ファイアウォール、フィルタリング、またはその他のセキュリティ機能を実装するエージェントは安全であるとはみなされません。エージェントが失敗して閉じた場合、アプリケーションが中断され、運用上安全ではなくなります。インライン エージェントがオープンに失敗した場合、セキュリティ メカニズムは消失し、これが安全でないコンピューティングの定義となります。強制のための唯一の安全なエージェント テクノロジは、データ パスの外側にあるエージェントです。ベンダー エージェントに障害が発生したり、削除されたりした場合でも、ルールを維持するソリューションが必要になります。再起動せずにインストールおよびアップグレードするエージェントを要求します。エージェントはユーザー空間で実行する必要があります。カーネルを変更したり、カスタム ネットワーク アダプターをインストールしたり、その他の方法でインラインに配置するものはすべて拒否します。データ センターやクラウドの文字通りすべてにステートフル ファイアウォールが含まれているため、 ステートフル ファイアウォールのような基本的なものを再発明する必要はありません。
すべてに強制
ゼロ トラスト ポリシーを実施したら、それをあらゆる場所に配置するのが最適です。過去 12 年間のすべてのオペレーティング システムには、iptables/Netfilter と Windows Filtering Platform といった、優れたステートフル ファイアウォールが備わっています。同様のテクノロジは AIX、Solaris、さらにはメインフレームにも存在します。ネットワーク スイッチ、ロード バランサ、ハードウェア ファイアウォールはすべてファイアウォール ルールを採用します。全部使ってみませんか?あらゆる場所にゼロ トラストを導入し、すでに所有しているすべてのものに対してポリシーの適用を自動化します。適用には、 Kubernetes コンテナ環境、 Amazon 、 Azure 、 Google Cloudインスタンス、SaaS サービスを含める必要があり、OT デバイスを IT 環境から排除することも必要です。すべてのデバイスがすでに必要なものをすべてサポートしている場合、ゼロ トラスト ポリシーを適用するために独自のベンダー エージェントを検討する価値すらありません。
信頼のスピードを向上
ゼロトラストの展開は、ポリシーの安全性に対する信頼度で進行します。結局のところ、ゼロトラストポリシーでは、必要なものをすべて指定する必要があり、それ以外はすべて拒否されます。つまり、ゼロトラストポリシーは完璧でなければならないということです。データセンターにはいくつのフローがありますか?これらすべての流れで完璧さに自信を持つのは難しいように思えます。リラックス。ゼロトラストセグメンテーションは難しいことではありません。スケールの小さな端で 1 つのサービスでも適用できることを確認します。結局のところ、最も脆弱なフローのいくつかは、環境内のすべてのマシンに接触するコアサービスと管理システムです。多くは単一のポートまたは小さな範囲を使用します。優れたソリューションは、これらの少数のポートのみを選択的に適用できる必要があります。これらは定義が簡単で、合意が容易で、セキュリティを確保することが重要です。スペクトルの反対側では、「次の共有サービスのリストを除き、すべての DEV システムが PROD と通信しないようにするが、可能な限り制限する」などのポリシーの要望を単純に強制します。すべてのDEVシステムとすべてのPRODシステムについて完璧な知識を持っている人は誰もいません。しかし、最高のゼロトラストセグメンテーションソリューションは、ルールの順序付けの問題やポリシーの継承の破綻から自由を維持しながら、この正確な機能を提供する適用境界を簡単に定義できます。チームの全員が、ポリシーが正しく安全であることをどのくらいの速さで確認できるでしょうか?単一のポリシーステートメントのレベルで適用すると同時に、広範な分離目標を適用できるソリューションを探してください。両方が同じように単純な場合、変更管理を通じてゼロトラストポリシーを適用するのは簡単です。
まとめ
強制されたルールを使用してクラウド、エンドポイント、データセンター システムを分離することが、 ゼロ トラストの目的です。可視性のみ、または監視ソリューションは、ゼロ トラスト セグメンテーションとしてカウントされることはありません。優れたセグメンテーション ソリューションは、まず安全性が確保され、オープンまたはクローズで障害が発生するインライン テクノロジに依存しないため、環境全体が危険にさらされません。適用は広範囲に及ぶ必要があり、OS ベースのファイアウォールからラックに設置されたハードウェアやネットワーク機器まで、すでに所有するために料金を支払っているすべてのファイアウォールを活用する必要があります。コンテナ、クラウド、コンピューティング環境全体にゼロ トラスト セグメンテーション ポリシーを実装するには、さまざまなソリューションが必要になります。それぞれのソリューションにすでに存在するものを使用しないのはなぜでしょうか。最後に、単一のポリシー ステートメントから環境全体をセグメント化する簡単な方法まで、適用を構築できることが重要です。きめ細かなマイクロセグメンテーションは、システムが中断されないという共通の信頼に基づいて進行します。したがって、非常に柔軟できめ細かな適用が可能なソリューションは、常に最速のゼロ トラストの結果をもたらします。
ICYMI、このシリーズの残りの部分をお読みください。
