Ce dont vous avez besoin pour distribuer une politique de confiance zéro

Dans cette série, nous avons abordé les thèmes de la découverte et de la création de politiques. Une fois que vous avez une politique à mettre en œuvre, vous devez la calculer, la transformer en règles et la distribuer aux points d'application. Après tout, la politique de confiance zéro ne peut fonctionner que dans les endroits qu'elle atteint ! Veillons à ce que nous puissions appliquer cette politique dans le plus grand nombre d'endroits possible et de la manière la plus efficace possible.

Automatiser la politique en règles

La première étape pour transformer une politique lisible par l'homme (basée sur des étiquettes ou des métadonnées) en une politique de segmentation zéro confiance appliquée consiste à la traduire en règles compréhensibles par l'infrastructure. Nous avons discuté de l'importance pour les humains de définir une politique sans utiliser d'adresses IP, mais tous les points d'application en ont besoin ! La fonction de calcul des politiques a un rôle essentiel à jouer.

Le fait de baser la politique de segmentation "Zero Trust" sur des étiquettes signifie que les mêmes instances d'applications automatisées peuvent piloter la politique de segmentation. Sans avoir besoin de connaître les adresses IP, ni même le nombre de services d'application similaires, l'automatisation des applications peut obtenir la bonne politique simplement en "prononçant son nom". Lorsque la politique lisible par l'homme peut être automatiquement transformée en règles applicables, la segmentation devient un service, au même titre que les composants de l'application eux-mêmes.

Rendez-le dynamique et continu

Le calcul de la politique doit être dynamique et continu. Dans un centre de données moderne ou un déploiement en nuage, l'automatisation ajuste les applications en permanence. Cela signifie que les adresses IP changent, que les instances apparaissent, qu'elles font leur travail et qu'elles sont supprimées. Les contrôleurs de services SaaS transfèrent de manière transparente la charge vers une nouvelle adresse IP dans une grappe de taille inconnue. Cela signifie que les adresses IP utilisées dans un ensemble de règles doivent être mises à jour au fur et à mesure de l'évolution de l'infrastructure. Le calcul et la distribution de la politique doivent être continus et quasi instantanés pour que la politique définie reste exacte dans tous les points d'application.

Utiliser les points d'application existants

La qualité d'une politique de segmentation sans confiance dépend du nombre d'endroits où elle s'applique. Heureusement, vous possédez déjà tous les points d'application dont vous aurez besoin ! Tous les systèmes d'exploitation modernes intègrent un pare-feu utile. Il s'agit d'IP-Tables ou de NetFilter s'il s'agit d'une machine basée sur Linux ou de Windows Filtering Platform s'il s'agit d'une instance basée sur Windows. Il existe des pare-feu similaires basés sur le système d'exploitation pour AIX, Solaris et même pour l'ordinateur central IBM System Z ! Les commutateurs de réseau de Cisco et d'Arista prennent en charge les ACL, tout comme les équilibreurs de charge de F5 Networks. Il n'est pas exagéré de dire que presque tous les appareils connectés au réseau ont la capacité de recevoir des instructions de segmentation.

Par conséquent, toute bonne solution de micro-segmentation doit utiliser le plus grand nombre possible de ces points d'application. Après tout, pourquoi s'en remettre à un agent du fournisseur pour assurer l'application de la loi alors que le pare-feu du noyau est l'un des codes les plus stables et les plus performants qui soient ? Recherchez une solution capable de programmer le réseau existant, le réseau en nuage et les instances de pare-feu. Les systèmes intégrés et les dispositifs OT ne disposent pas d'un pare-feu intégré et n'acceptent pas l'agent d'un fournisseur ; il vous faut donc une solution qui utilise tous les points d'application disponibles.

Considérations relatives aux performances et à l'échelle

Les performances et l'échelle doivent être prises en compte lors de l'évaluation des solutions de segmentation sans confiance. Les choix architecturaux sont importants, comme pour tout dispositif de transfert matériel tel qu'un commutateur ou un routeur. Le calcul d'une politique unique au cours d'une démonstration de faisabilité n'est guère difficile.

Mais que se passe-t-il si vous avez un centre de données entièrement automatisé dans lequel 40 000 instances de calcul sont supprimées et remplacées en l'espace de 15 minutes dans une vague qui balaie un complexe de centres de données mondial ? Tout à coup, le temps de calcul a de l'importance.

La seule façon de maintenir une politique correcte dans un environnement d'application automatisé est de suivre le rythme de l'automatisation. Mais même une fois le calcul terminé, la politique doit être diffusée et appliquée. Cet événement de convergence n'est pas sans rappeler la convergence des tables de routage des routeurs matériels.

Quelle est l'efficacité de l'architecture de distribution des politiques des solutions que vous envisagez ? Si la moitié d'un centre de données tombe en panne, entraînant un important réacheminement du trafic en cas de sinistre, la distribution en temps voulu des mises à jour de la politique deviendra soudain essentielle pour maintenir la disponibilité de l'application.

Les principaux fournisseurs ont l'habitude de faire converger des politiques de confiance zéro complètes sur un nombre d'objets pouvant aller jusqu'à 500 000. Veillez à ce que les fournisseurs que vous envisagez d'engager puissent justifier leurs déclarations concernant le basculement sur plusieurs sites et la convergence simultanée des politiques.

Le calcul et la distribution d'une politique définie représentent la plus grande charge de performance pour la solution de micro-segmentation. Toute solution peut fonctionner dans un environnement d'évaluation simple. Mais seules les solutions à l'échelle de l'entreprise ont la capacité de résister aux événements de partition du réseau, aux scénarios de basculement et de reprise après sinistre, sans parler des reconfigurations exigeantes de l'automatisation des applications.

Pour disposer d'une capacité de distribution de règles efficace, vous devez bien comprendre comment la solution d'un fournisseur automatise les règles lisibles par l'homme pour les transformer en règles. La politique doit être distribuée au plus grand nombre possible de vos points d'application existants, en privilégiant les pare-feu matures et stables du noyau plutôt que toute solution propriétaire d'un fournisseur. Lorsque vous avez déployé un calcul et une distribution continus et dynamiques des politiques, la segmentation zéro confiance devient un service d'application disponible et peut être entièrement automatisé par l'automatisation existante des applications.

Rejoignez-nous la semaine prochaine pour notre dernier article, dans lequel nous examinerons les éléments nécessaires à la mise en œuvre d'une politique de segmentation sans confiance.