.png)
Ce dont vous avez besoin pour rédiger une politique de segmentation de la confiance zéro
La semaine dernière, nous avons abordé les capacités nécessaires pour découvrir l'application et le contexte environnemental plus large requis pour rédiger une politique de segmentation zéro confiance. Une fois que nous savons ce qui est obligatoire, nous devons l'exprimer dans des déclarations politiques. Toute bonne solution de micro-segmentation passe de manière transparente de la découverte à la création et prend en charge l'ensemble des flux de travail nécessaires à l'élaboration efficace d'une politique de segmentation fine. Examinons les éléments qui accélèrent et soutiennent la politique de segmentation zéro confiance.
Dites ce que vous voulez, pas comment le faire
Historiquement, l'écriture de listes de contrôle d'accès (ACL) nécessite de savoir ce que l'on veut et comment le faire. Il en résulte des tableaux de règles vastes et complexes. En revanche, la segmentation zéro confiance s'appuie sur un modèle de politique déclarative et crée une séparation entre la "politique" et les "règles". La politique est le résultat que nous souhaitons - comme la séparation des environnements DEV et PROD. Les règles ou les listes de contrôle d'accès (ACL) nécessaires à la mise en œuvre de cette politique sont le résultat du moteur de politique, et non d'un effort humain. Cela simplifie radicalement l'élaboration des politiques.
Si je rédige une règle permettant à un appareil de communiquer avec trois autres, je n'ai pas besoin de rédiger quatre règles. Il me suffit de rédiger une politique stipulant que le seul serveur peut communiquer avec les trois autres. Le moteur de politique crée toutes les règles nécessaires à la mise en œuvre de cette politique. À l'échelle d'un centre de données entier ou d'un déploiement en nuage, cette simplification accélère l'élaboration d'une politique de segmentation sans confiance.
Noms familiers ou adresses IP
L'écriture de règles de pare-feu traditionnelles sera toujours lente en raison de la nécessité constante de traduire les adresses IP que l'infrastructure comprend et les noms que nous donnons aux serveurs dans les conversations. L'élimination de cette traduction réduit radicalement le temps nécessaire à la rédaction d'une politique de segmentation sans confiance.
La meilleure situation est celle où l'organisation peut réutiliser les noms qui existent déjà dans les CMDB, les SIEM, les systèmes de gestion des adresses IP, les conventions de noms d'hôtes, les noms de serveurs, etc. Lorsque des noms familiers désignent chaque système dans la visualisation et fournissent l'abstraction pour la rédaction de la politique, tout le monde peut soudain comprendre et rédiger une politique de confiance zéro. Aucune traduction n'est nécessaire et l'ensemble de l'équipe peut rapidement parvenir à un consensus sur l'adéquation entre la politique écrite et le besoin découvert par la visualisation.
Utiliser l'héritage pour réduire la charge politique
Une fois que nous avons abstrait la politique de segmentation zéro confiance en noms (ou étiquettes), nous pouvons tirer parti de l'un des meilleurs aspects d'une liste d'autorisation zéro confiance, à savoir l'héritage de la politique. Une liste d'autorisation pure ne nécessite pas d'attention à l'ordre des règles, contrairement à un pare-feu traditionnel.
Dans un pare-feu, le mélange de règles de liste d'autorisation et de liste de refus signifie que les règles doivent être placées dans un ordre strict pour fonctionner comme prévu. Dans une liste d'autorisation, comme les choses sont uniquement autorisées, l'ordre dans lequel elles sont autorisées et le fait qu'elles soient autorisées plusieurs fois n'ont aucune importance.
Cela signifie que la politique de segmentation zéro confiance peut être héritée librement. Je peux rédiger une politique une seule fois et la réutiliser autant de fois que nécessaire. Une charge de travail peut tirer une partie de sa politique de l'environnement PROD, de la politique au niveau du centre de données et de la politique que nous avons écrite pour toutes les bases de données. Nous pouvons définir une politique pour les services de base une fois pour toutes et faire en sorte que chaque charge de travail dans l'environnement assume cette politique. L'héritage rend la création de politiques Zero Trust beaucoup plus facile que les méthodes traditionnelles.
Distribuer l'écriture des règles pour obtenir une échelle
La rédaction des règles de pare-feu a longtemps été centralisée et gérée par une équipe de sécurité du réseau, car les dispositifs font effectivement partie de l'architecture du réseau. Cela a donné lieu à des conversations gênantes au cours desquelles l'équipe chargée du pare-feu a besoin de l'équipe chargée de l'application pour décrire en adresses IP le fonctionnement de ses systèmes. Ce n'est qu'ensuite que l'équipe chargée du pare-feu peut traduire ces informations en règles. Mais pourquoi s'embarrasser de toute cette communication et de cette traduction ?
Grâce à la segmentation sans confiance et à une capacité robuste de contrôle d'accès basé sur les rôles (RBAC), la rédaction des règles peut être distribuée. Lorsque la solution Zero Trust Segmentation a été conçue pour fournir des vues et des capacités spécifiques aux applications, il est possible de demander aux propriétaires d'applications de rédiger ou de valider des politiques pour le fonctionnement interne de leur application, puis à l'équipe centralisée d'approuver leur travail et d'ajouter les politiques pour les services centraux, le centre de données et l'accès à l'internet.
Une solution solide de segmentation zéro confiance fournit une agence aux équipes d'application et de DevOps tout au long du processus d'élaboration des politiques. Plus votre organisation souhaite automatiser, plus cette délégation devient importante. Lorsque l'ensemble de l'équipe peut travailler à la réalisation d'objectifs communs, la confiance et la cohésion de l'organisation s'en trouvent renforcées et la mise en œuvre d'une politique de segmentation sans confiance s'en trouve accélérée.
En résumé
Les centres de données et les environnements en nuage sont complexes, et il serait naturel de supposer que la rédaction d'une politique de segmentation présente la même complexité. Mais les meilleures solutions de segmentation zéro confiance remplacent le processus traditionnel d'élaboration des règles de pare-feu par des flux de travail simples, évolutifs et efficaces. Un modèle de politique déclaratif signifie que vous pouvez dire ce que vous voulez, mais pas comment le faire.
Les humains savent dire ce qu'ils veulent, et un moteur politique intelligent peut transformer cela en règles pour l'infrastructure. Lorsque la politique est basée sur des noms familiers et qu'elle peut être réutilisée plusieurs fois, elle réduit le travail de l'ensemble de l'équipe.
Et surtout, lorsque toute l'équipe peut collaborer, les murs inefficaces entre les équipes s'effondrent et l'ensemble de l'organisation peut travailler ensemble pour sécuriser les actifs critiques. Zero Trust Segmentation améliore tous les aspects de la politique de segmentation, en renforçant la segmentation tout en réduisant la charge de travail de l'organisation.
