Questions sur la microsegmentation que vous ne savez pas poser : Que faut-il faire pour que votre équipe d'application se mette au diapason ?

Les propriétaires d'applications ont l'habitude d'entretenir des relations distantes avec leurs équipes chargées de la sécurité et du réseau. Le réseau est censé "fonctionner" et les pare-feux sont un calvaire qu'il faut endurer rarement. Après tout, l'infrastructure ne semble pas "proche" du propriétaire moyen de l'application. Mais lorsque les équipes chargées de la sécurité et de l'infrastructure annoncent qu'elles veulent déplacer la limite de mise en œuvre sur le système d'exploitation ou clôturer l'application, les concepts abstraits prennent soudain une nouvelle réalité.

La principale crainte est que la mise en œuvre des contrôles soit incomplète, entraînant des pannes, ou qu'elle dégrade les performances ou cause des maux de tête qui n'existaient pas auparavant. Il est également vrai que sur les instances du serveur d'application, l'équipe chargée de l'application exerce un contrôle considérable et peut souvent retarder les mises en œuvre si ses préoccupations ne sont pas prises en compte. Alors, comment développer une relation durable et de confiance avec les propriétaires d'applications, les équipes DevOps et les équipes cloud ?

Prêtez le serment d'Hippocrate

Pour les propriétaires d'applications, la disponibilité des services est en tête de liste et représente souvent une partie de leur MBO ou de leurs primes de performance. Tout ce qui menace le temps de fonctionnement des applications se heurte à une résistance immédiate. C'est pourquoi il est important que les équipes chargées des applications et de l'automatisation sachent que vous avez effectivement prêté le serment d'Hippocrate - vous ne permettrez pas que leur application soit endommagée lors de l'élaboration de la politique de microsegmentation. Rappelez-vous qu'ils ont été conditionnés par les coupures et les reconfigurations de pare-feu à s'attendre à une rupture chaque fois que les règles de microsegmentation sont ajustées. Mais il n'est pas nécessaire qu'il en soit ainsi. En choisissant une solution dotée d'une solide méthodologie "Build, Test, Enforce", toutes les politiques de microsegmentation seront testées en profondeur aussi longtemps qu'il le faudra pour en garantir l'exactitude.

Lors du déploiement initial, n'essayez pas de dépasser les demandes de test ou de certification des agents basés sur l'hôte. Tout agent de qualité passera avec succès les tests. Choisissez un agent qui n'est pas en ligne avec le trafic, qui n'est pas un adaptateur de réseau virtuel et qui ne modifie pas le noyau et l'acceptation du propriétaire de l'application montera en flèche. Évitez les agents en ligne qui échouent, qu'ils soient ouverts (pas de politique de pare-feu) ou fermés (l'application tombe en panne). Choisissez un agent certifié pour fonctionner dans des environnements critiques, comme Oracle Exadata, et il ne fait guère de doute que l'agent n'est pas sûr. Lorsque vous associez un agent sûr à un chemin sûr vers l'application, les propriétaires de l'application et les équipes opérationnelles peuvent comprendre que vous partagez leur souci de la sécurité et de la disponibilité de l'application.

Donnez-leur les moyens de participer

Mais toute solution de segmentation zéro confiance de qualité ira bien au-delà des garanties de sécurité et offrira aux propriétaires d'applications la possibilité de participer de manière significative. Au minimum, donnez aux propriétaires d'applications l'accès à la visualisation de leur application à l'aide d'un contrôle d'accès basé sur les rôles (RBAC). Dès qu'il voit la carte des dépendances de l'application, le propriétaire de l'application peut vérifier que les flux observés sont attendus et doivent être autorisés. Au fur et à mesure que la politique se développe, le propriétaire de l'application peut s'assurer que les services de base, les connexions à la base de données et les méthodes d'accès des utilisateurs sont autorisés. Ils font partie de la chaîne d'approbation pour s'assurer que la politique est à la fois sûre et efficace. Certaines organisations vont plus loin et donnent aux propriétaires des applications le contrôle de l'élaboration de la politique interne en matière d'applications. Lorsque l'application est soumise à des contrôles RBAC stricts, chaque propriétaire d'application ne peut voir que sa propre application, et le contrôle de la politique peut être délégué et limité à sa guise. L'approbation finale étant réservée aux équipes chargées de la sécurité et de l'infrastructure, les équipes chargées des opérations s'approprient véritablement le projet, ce qui renforce la confiance et l'attachement au résultat.

Offrir la possibilité d'automatiser

Presque toutes les applications créées au cours des dernières années sont en grande partie automatisées. Ils se lèvent en utilisant les scripts fournis par le vendeur. Ils proposent des API et s'intègrent souvent à des SaaS, des instances en nuage, des conteneurs ou d'autres technologies avancées d'hébergement d'applications. Pour les équipes DevOps, tout ce qui n'a pas d'API pourrait tout aussi bien ne pas exister !

Historiquement, les équipes chargées des applications ont été frustrées par la lenteur des règles de microsegmentation saisies manuellement et des processus qui les entourent. Offrez donc la segmentation comme un service ! Donnez-leur les clés API de votre solution de segmentation zéro confiance. Demandez-leur d'utiliser leurs métadonnées comme source d'abstraction des étiquettes, des balises et des politiques. Si leurs métadonnées deviennent le point de départ de la visualisation et de la politique, la microsegmentation peut simplement être demandée à partir de l'API et automatisée dès le premier jour. Montrez aux équipes chargées des applications comment accéder à la segmentation en tant que service - encouragez-les à l'intégrer dans leurs run-books et leurs images en or et vous parlerez alors leur langue maternelle. Tout le monde est gagnant lorsque la politique de microsegmentation est continuellement mise à jour tout au long du cycle de vie de l'application.

L'entreprise dépend des applications, et les équipes qui les fournissent et les soutiennent ne sont pas habituées à répondre aux questions techniques détaillées qu'une équipe chargée du pare-feu doit traditionnellement poser. Mais la segmentation "zéro confiance" ne doit pas les bloquer, ni leur mettre des bâtons dans les roues. Correctement communiqué et doté en ressources, un déploiement de microsegmentation permettra aux propriétaires d'applications d'interagir en toute sécurité avec le projet. Les meilleures équipes de projet les invitent en outre à considérer la microsegmentation comme un service disponible piloté par API - tout comme les autres services SaaS qu'ils utilisent régulièrement. Lorsque la microsegmentation avancée est facile à utiliser, sûre et sous leur contrôle et leur influence, vous trouverez des équipes d'application prêtes à vous aider à sécuriser leurs systèmes contre les menaces que personne ne veut voir affecter leurs systèmes.

En savoir plus sur la segmentation des applications dès aujourd'hui.