.png)
Ce dont vous avez besoin pour mettre en œuvre une politique de confiance zéro - rapidement et en toute sécurité
Dans cette série, nous avons examiné les caractéristiques indispensables à la découverte, à l' élaboration et à la diffusion d' une politique de segmentation de confiance zéro. Cette semaine, nous conclurons en examinant de près ce qui est nécessaire pour mettre en œuvre une politique de segmentation sans confiance. Une politique de confiance zéro qui n'est pas pleinement appliquée n'est tout simplement pas en mesure d'arrêter les logiciels malveillants, les ransomwares ou les acteurs malveillants. Il y a des considérations clés à prendre en compte pour s'assurer que chaque politique de confiance zéro peut être mise en œuvre rapidement dans l'ensemble de l'infrastructure - et sans interrompre le fonctionnement de l'application.
Soyez prudents, ne soyez pas désolés
Lorsque vous travaillez dans des environnements existants de nuages et de centres de données, la première chose à faire est de prêter le serment d'Hippocrate : Ne pas nuire ! Toutes les solutions de micro-segmentation utilisent des agents. Vous avez besoin d'un agent sûr, et aucun agent en ligne n'est sûr. Tout agent qui met en œuvre un pare-feu en ligne, un filtrage ou d'autres fonctions de sécurité ne peut être considéré comme sûr. Si l'agent n'est pas fermé, l'application est interrompue, ce qui n'est pas sûr sur le plan opérationnel. Si l'agent en ligne ne s'ouvre pas, le mécanisme de sécurité disparaît, ce qui est la définition de l'informatique non sécurisée. La seule technologie d'agent sûre pour la mise en œuvre est un agent situé en dehors du chemin des données. Vous devez exiger une solution qui maintienne les règles en place, même en cas de défaillance ou de suppression de l'agent du fournisseur. Exigez un agent qui s'installe et se met à jour sans redémarrage. Les agents doivent fonctionner dans l'espace utilisateur. Rejetez tout ce qui modifie le noyau, installe des adaptateurs réseau personnalisés ou reste en ligne. Il n'est pas nécessaire de réinventer quelque chose d'aussi basique qu'un pare-feu dynamique lorsque tout ce qui se trouve dans le centre de données ou dans l'informatique en nuage en comprend un.
Appliquer à tout
Une fois que vous avez mis en place une politique de confiance zéro, le meilleur endroit pour la mettre en place est - partout ! Tous les systèmes d'exploitation de ces douze dernières années disposent d'un excellent pare-feu dynamique - iptables/Netfilter et la plate-forme de filtrage de Windows. Des technologies similaires existent pour AIX, Solaris et même les ordinateurs centraux. Les commutateurs de réseau, les équilibreurs de charge et les pare-feu matériels acceptent tous des règles de pare-feu. Pourquoi ne pas tout utiliser ? Mettez en place Zero Trust partout et automatisez l'application de la politique dans tout ce que vous possédez déjà. La mise en application doit inclure votre environnement de conteneurs Kubernetes, les instances Amazon, Azure et Google Cloud, les services SaaS, et même le maintien de vos appareils OT en dehors de l'environnement informatique. Il n'est même pas utile d'envisager des agents propriétaires pour appliquer les politiques de confiance zéro lorsque chaque appareil prend déjà en charge tout ce dont vous avez besoin.
Améliorer la rapidité de la confiance
Les déploiements de la confiance zéro se font au rythme de la confiance dans la sécurité de la politique. Après tout, une politique de confiance zéro exige de spécifier tout ce qui est souhaité - tout le reste est refusé. Cela implique que les politiques de confiance zéro doivent être parfaites. Combien de flux y a-t-il dans un centre de données ? Il semble difficile d'avoir confiance en la perfection pour tous ces flux. Détendez-vous. La segmentation "zéro confiance" ne doit pas être difficile. Assurez-vous que vous serez en mesure d'appliquer ne serait-ce qu'un seul service à l'extrémité inférieure de l'échelle. Après tout, certains des flux les plus vulnérables sont les services centraux et les systèmes de gestion qui touchent chaque machine de l'environnement. Beaucoup n'utilisent qu'un seul port ou une petite gamme de ports. Toute bonne solution devrait être en mesure d'appliquer sélectivement ces quelques ports. Ils sont faciles à définir, faciles à accepter et essentiels à sécuriser. À l'autre extrémité du spectre, il s'agit simplement d'appliquer des souhaits politiques tels que "Empêchez tous mes systèmes DEV de communiquer avec PROD, à l'exception de la liste suivante de services partagés - mais limitez cette liste autant que possible". Personne ne pourra avoir une connaissance parfaite de tous les systèmes DEV et de tous les systèmes PROD - c'est trop dynamique et trop complexe. Mais les meilleures solutions de segmentation sans confiance peuvent facilement définir des limites d'application qui fournissent cette fonctionnalité exacte tout en préservant la liberté des problèmes d'ordonnancement des règles ou de rupture de l'héritage des politiques. À quelle vitesse tous les membres de l'équipe peuvent-ils être sûrs que la politique est correcte et sûre ? Recherchez une solution qui puisse être appliquée au niveau d'une seule déclaration de politique générale et qui puisse en même temps être appliquée à des objectifs de séparation plus larges. Lorsque les deux sont aussi simples l'un que l'autre, il est facile de faire passer les politiques de confiance zéro du contrôle des changements à la mise en œuvre.
En résumé
L'isolement des systèmes en nuage, des points d'extrémité et des centres de données au moyen de règles strictes est l'objectif même de la confiance zéro. Les solutions de visibilité uniquement ou de surveillance ne peuvent jamais être considérées comme une segmentation de confiance zéro. Une bonne solution de segmentation sera d'abord sûre et ne reposera pas sur des technologies en ligne qui tombent en panne, qu'elles soient ouvertes ou fermées, ce qui met l'ensemble de l'environnement en danger. L'application doit être généralisée et tirer parti de tous les pare-feux que vous avez déjà payé pour posséder, depuis les pare-feux basés sur le système d'exploitation jusqu'au matériel et à l'équipement de réseau installés dans les racks. La mise en œuvre de politiques de segmentation zéro confiance pour les conteneurs, le cloud et l'ensemble de l'environnement informatique nécessite un grand nombre de solutions différentes, alors pourquoi ne pas utiliser ce qui se trouve déjà dans chacune d'entre elles ? Enfin, il est important de pouvoir mettre en œuvre des mesures d'application à partir d'une seule déclaration de politique générale et de pouvoir facilement segmenter des environnements entiers. La micro-segmentation fine se fait au rythme de la confiance partagée dans le fait que les systèmes ne seront pas interrompus. Par conséquent, une solution dont l'application est très souple et nuancée permettra toujours d'obtenir les résultats les plus rapides en matière de confiance zéro.
ICYMI, lisez la suite de cette série :
