Ce dont vous avez besoin pour la découverte d'une politique de confiance zéro

La vérité fondamentale sur la micro-segmentation est qu'elle ne sera jamais plus granulaire que notre compréhension du trafic à protéger. On ne peut vraiment pas segmenter ce que l'on ne voit pas.

La plupart des fournisseurs de solutions de segmentation proposent désormais une forme de carte d'application qui place une application dans une sorte de "bulle" afin de montrer son isolement possible. Bien qu'il s'agisse d'une amélioration considérable par rapport à l'alternative (sans visualisation), en réalité, cela ne suffit pas pour rédiger une politique de confiance zéro solide. Nécessaire, mais insuffisant. De quoi avons-nous encore besoin ?

Comme nous l'avons vu dans l' introduction de cette série, le succès de la micro-segmentation Zero Trust est déterminé par l'efficacité du processus de gestion des politiques. La rédaction de règles de segmentation n'est pas une tâche unique, c'est un ensemble d'étapes analytiques et décisionnelles. Par conséquent, l'amélioration de la segmentation nécessite un niveau de compréhension approfondi et doit se traduire par une visibilité et un flux de travail appropriés pour chaque étape ; il n'est pas possible qu'une simple visualisation unique fonctionne pour toutes les tâches et tous les points de décision.

La découverte de la politique est l'ensemble des tâches qu'une organisation effectue pour comprendre une application et son contexte suffisamment bien pour rédiger une politique de confiance zéro. Elle comprend des informations au niveau du service, de l'hôte et de l'application, mais aussi beaucoup d'autres choses.

Contexte complet de la demande

Le contexte complet d'une application va au-delà de son fonctionnement interne. Il peut communiquer avec d'autres applications, se connecte probablement à 20-30 services de base communs, a des utilisateurs provenant d'entreprises et de sites VPN, et peut interagir avec des services SaaS ou d'autres espaces d'adressage distants. Déposer tout cela sur une carte sans organisation est une recette pour la confusion qui ralentira les progrès !

Il est important de résumer la connectivité externe dans les plages d'adresses nommées normales qui peuvent se trouver dans le système de gestion IP. De cette manière, il est facile de repérer les sous-réseaux d'utilisateurs, le trafic DMZ, etc. En particulier dans les premiers jours d'un déploiement de micro-segmentation, il y a plus de systèmes "non protégés" que de systèmes "protégés". Comment ces systèmes sont-ils présentés, organisés et classés ? Lorsque ces systèmes sont des objets dans le modèle politique et qu'ils sont affichés en tant que tels sur la carte, la complexité et la rédaction des règles sont simplifiées. Enfin, la plupart des applications existent pour les utilisateurs. Comment le contexte de l'utilisateur est-il compris, affiché et disponible pour l'action ?

En fin de compte, la recherche de politiques nécessite un contexte d'application complet, ce qui implique plus que de simples dessins d'application comportant une centaine de lignes ou plus vers des adresses IP ou des noms d'hôte externes.

Flux de travail micro et macro

Les centres de données ou les environnements en nuage sont des lieux complexes, qui ne se limitent pas aux applications. Les cartes de dépendance des applications sont essentielles pour comprendre les applications, mais qu'en est-il de la possibilité de voir des constructions plus larges ? Comment est-il possible de savoir quel trafic passe entre Dev et Prod? Comment peut-on voir tout le trafic de la base de données sur le port 3306 dans l'ensemble de l'environnement pour s'assurer qu'aucun n'est oublié ? Qu'en est-il de la "portée" d'un service de base comme LDAP ou RDP pour comprendre l'activité actuelle ?

L'expérience d'Illumio en matière de sécurisation d'environnements multiples de plus de 100 000 nœuds se traduit par des visualisations et des outils d'exploration pour le macro-environnement en plus du contexte de l'application. Pour rédiger des politiques efficaces basées sur des étiquettes abstraites, il faut également pouvoir visualiser et inspecter les communications à chaque niveau d'abstraction offert par le modèle de politique. Il est intéressant de noter que les bulles d'application, si utiles pour les vues d'application, sont peu utiles dans ce contexte. Les meilleures solutions de découverte de politiques disposent de moyens clairs pour montrer les communications à tous les niveaux d'abstraction et ne se limitent pas à des vidages de bases de données de flux collectés.

Vous avez besoin d'une solution de micro-segmentation qui offre les vues macro-économiques essentielles pour traiter rapidement de vastes étendues de trafic par le biais de la rédaction de politiques globales ou agrégées.

Des points de vue différents selon les parties prenantes

L'équipe chargée du pare-feu ne sera pas la seule à inspecter les flux et les politiques lors des activités de découverte des politiques. Lorsque la frontière de segmentation se déplace vers le serveur d'application ou l'hôte du conteneur, les équipes d'exploitation et d'application s'intéresseront de près à la nécessité de s'assurer que tous les services dont elles ont besoin ont été correctement provisionnés. Pour ces collaborateurs, la meilleure façon de répondre à leurs questions est de créer des vues spécifiques, adaptées à la nécessité d'inspecter rapidement une politique et d'en valider la fonctionnalité. De nombreux détails de l'élaboration de la politique ne sont pas nécessaires et détournent même l'attention des préoccupations essentielles des équipes chargées des applications et des opérations.

Recherchez un produit de micro-segmentation qui propose des visualisations et des flux de travail bien conçus pour les équipes chargées des applications et des opérations. Ils font partie du processus d'élaboration des politiques et devraient disposer d'outils adaptés à leurs besoins. Une vue filtrée RBAC est essentielle, bien sûr, mais attendez plus - obtenez des visualisations spécifiques au propriétaire de l'application pour accélérer le processus de découverte de la politique.

En résumé

Personne ne peut rédiger une politique plus rapidement s'il ne comprend pas ce qui est exigé ! La découverte des politiques est la première partie de tout processus de gestion des politiques. Les exigences en matière de politique d'une application moderne ou d'une collection conteneurisée de microservices nécessitent un contexte d'application complet - bien au-delà d'une simple bulle d'application. La représentation des plages IP, des systèmes non gérés, des services centraux, etc. est essentielle pour comprendre un service d'application dans son contexte.

Tout bon modèle politique propose d'abstraire les communications à plusieurs niveaux ou "étiquettes", il est donc également important de disposer de visualisations qui soutiennent ces objectifs politiques d'ordre supérieur. Après tout, une politique de masse est une politique rapide, et le fait de disposer des capacités adéquates accélérera radicalement l'élaboration de la politique.

Enfin, la micro-segmentation implique plusieurs organisations. La recherche de politiques est un sport d'équipe - assurez-vous que chacun dispose de vues de recherche adaptées afin que chaque équipe travaille aussi efficacement que possible.

Une découverte rapide et efficace des politiques conduit à une rédaction rapide et efficace des politiques. Rejoignez-nous la semaine prochaine pour discuter de ce qui est nécessaire pour accélérer la rédaction des politiques.