.png)
連邦政府機関がゼロトラストパイロットプロジェクトを作成する方法
私は先週、民間機関の連邦治安作戦部門の責任者と話をしました。ゼロトラストは、特にエンドポイントで彼の注目を集め続けています。彼は、ゼロトラスト アーキテクチャを実装しなければならないというCIOのオフィスから避けられない日が来たときに、ゼロトラストの原則に没頭したいと考えています。同氏はまた、CIOが政府機関のHVA(高価値資産)に対してコンプライアンス圧力をかけていることも伝えた。この支部長でさえ、HVA の独自のサブセットを持っています。このプレッシャーは、スコアカードの一部が特にHVAを呼びかけているため、全体的なFISMAスコアを向上させたいと考えていることと関係があると確信しています。
この機関ではゼロトラストに関する「話題」がありますが、プロジェクトを開始するために明確に定義されたイベントやユースケースを選択するという点で、本格的に取り掛かるのは大変なことです。これは、小説を書きたいと思っていて、どこから、どのように始めればよいかわからない人を思い出させます。文章の原則を学ぶことは常に良いことですが、ゼロトラストの原則を知るだけでは決して十分ではないのと同じように、決して十分ではありません。書く習慣と一貫性を身につけ始めるのは、書くこと自体です。小説を書きたい場合は、一貫性を保つために日記をつけ、記事や短編小説を書く機会を探してライティングスキルを伸ばしてください。
組織にゼロトラストを実装する場合は、まず、重要なセキュリティの優先事項と現在のゼロトラスト機能を把握することから始めます。希望するゼロトラストの最終状態を定義します。ゼロトラストの問題、目的、望ましい結果の範囲が狭い場合、主要な利害関係者からサポートを求めるのは簡単です。
NIST 800-207 では、ゼロ トラストは旅であり、目標はゼロ トラストを段階的に実装することであると述べています。後で短編小説を 1 つも 2 つも持たずに小説を書こうとして圧倒されることは望ましくありません。侵害、マルウェア、ゼロデイ攻撃などのやむを得ない外部イベントを待つ必要はありません。ゼロトラストパイロットプロジェクトを今すぐ開始してください。
政府機関の支部長のゼロトラストパイロットプロジェクトを開始するのに適した場所を推奨するために、私は彼のHVAについて、そしてHVAの可視性を向上させることの重要性、そのコンポーネントと正当な接続についてもっと知りたかったのです。いくつかの重要な質問は次のとおりです。
- HVAと見なされるアプリケーションは何ですか?
- これらのHVAのアプリケーションコンポーネントは何ですか?
- アプリケーション層、ネットワーク、コンピューティングインフラストラクチャはどのようなものですか?
- コンテナ化されたアプリケーションを使用していますか?
- HVA への正当なアプリケーション/ワークロード接続は何ですか?
- HVA への正当なエンドユーザーおよびエンドポイント接続は何ですか?
コンポーネントとHVAへの接続に関する可視性と正確なデータが不可欠です。これらの質問に対する答えは、「どこから始めればよいか」という問題に答えるのに役立ちます。
HVA アプリケーションを絞り込んだら、次のステップは既存のゼロトラスト機能を測定することです。
HVA を保護するための同庁の現在のアプローチは、その盲点を明らかにし、ゼロトラストを実現する機会を示しています。
リモートワークへの急速な移行のため、HVAセキュリティ体制がどのように進化したかを理解することも重要でした。
私は支部長に、彼のエンドポイントについてもっと教えてもらいました。この支部は現在、脅威検出のために Carbon Black EDR を実装しています。ご存知かもしれませんが、Carbon Blackはエンドポイントデータを継続的に記録・保存しているため、 セキュリティ運用 の専門家は脅威をリアルタイムで可視化して「攻撃キルチェーン」を形成することができます。ほとんどの場合、攻撃がすでに発生していると、手遅れになる可能性があります。ミッションが侵害されたり、データがすでに流出したりする可能性があります。
エンドポイントでゼロトラストを真に実装するには、マルウェアが実行される前に阻止する必要があり、最も重要なことは、マルウェアが横方向に拡散するのを阻止することです。政府機関は、正当な接続の「許可リスト」を使用してエンドポイントへのインバウンドピアツーピア接続をプロアクティブに制御し、それ以外はすべて拒否することで、エンドポイントとEDRへの投資を増強できます。これがエンドポイントでのゼロトラストの中心です。彼には確かに、支店のエンドポイントでゼロトラストパイロットプロジェクトを開始する機会があります。
データセンターとクラウド環境内のラテラルムーブメント攻撃の文脈でHVAについてもう少し詳しく調べたところ、支店長は、損失や破損は支店の任務遂行能力に深刻な影響を与えると指摘しました。HVA は、長年にわたって蓄積されたデータを組み合わせたものです。関連するアプリケーションは、このデータの分析と視覚化に関係しています。これまで、ゼロトラストへの投資の大部分は、境界 ネットワークのセグメンテーション とユーザーIDとアクセスガバナンスに焦点を当てていました。これらのソリューションは、オープンでフラットな内部ネットワークの弱点には対処しません。
真のゼロトラストアーキテクチャに準拠している場合は、侵害がすでに発生していると想定する必要があります。パケットがネットワーク境界内に入ると、悪意のある攻撃者は何も邪魔することなく HVA に直行します。明らかに、HVAの東西のトラフィックの保護は、ゼロトラストパイロットプロジェクトを今すぐ開始できるもう一つの分野です。
私たちは、彼の支店のエンドポイントと HVA をゼロトラスト パイロット プロジェクトを開始するための 2 つの領域として特定しました。
次のステップは、パイロット プロジェクトの一部となるエンドポイントの数とワークロードとアプリケーションの数をカウントすることです。小規模なパイロット プロジェクトには、ワークロードとエンドポイントが 50 個から数百個まで含まれ、パイロットにはこれらの項目のセグメンテーションとマイクロセグメンテーションが含まれます。重要なのは、潜在的な複雑さに圧倒されないことです。
次のステップ:ホストベースのマイクロセグメンテーション
次のステップは、NIST 800-207、セクション3.1.2をロードすることです「ソフトウェアエージェントを使用したホストベースのマイクロセグメンテーション」と呼びかけます。イルミオの ソリューションでは、各ワークロード、アプリケーション、またはサーバーに軽量 のソフトウェアエージェント をロードします。エージェントは、ネットワーク上のコンテキストとテレメトリを、ベースラインのリアルタイム アプリケーション依存関係マップを構築する「中央頭脳」に報告するだけです。このマップは、NIST 800-53 および RMF (リスク管理フレームワーク) にマップされるため、監視の観点から非常に重要です。最初の RMF 「バケット」は 識別され、 マイクロセグメンテーション ・ポリシーを適用するためのリアルタイムのアプリケーション依存関係マッピングを提供します。ゼロトラストポリシーを改善または適用する前に、アプリケーションとワークロードの観点からネットワークで何が起こっているかを確認する必要があります。
ホストベースのマイクロセグメンテーションを使用してゼロトラストパイロットプロジェクトを展開するのに5日もかからないことがありますが、特に範囲と望ましい結果が明確に定義されており、このパイロットの任務を負った人に最も効率的な進め方を示すトレーニングがある場合には、5日もかからないことがあります。
支部長の唯一の躊躇は、資源の制約によるものでした。彼にはこの取り組みに専念する人がいなかった。3〜5日間の投資は、執筆を習慣に広げるため、つまりゼロトラストに関する知識を勉強から実際に実行するまで広げる価値はありますか?
明確に定義された範囲に加えて、明確に定義され、測定可能な結果を持つことは、ゼロトラストパイロットプロジェクトを社内で販売するために重要です。FISMA CIOスコアの特定の領域の改善は、政府機関が検討したい可能性のある望ましい結果とプロジェクトの成功の尺度の1つにすぎません。たとえば、代理店の支店は、イルミオ のトラフィックレポート を使用して、HVAアプリケーションのコンポーネントと接続のIDと範囲を検証し、マイクロセグメンテーションを補正制御として使用して、保護スコアを向上させることができます。また、イルミオの 脆弱性マップ を使用して、脆弱なシステムがラテラル攻撃経路として使用できるかどうかを検証し、FISMAスコアをさらに向上させることもできます。これらの指標と可視性は、米国政府のネットワークに対する最近のハッキングにより、さらに重要になっています。
ゼロトラストパイロットプロジェクトを実装し、測定可能な望ましい成果を実証したら、それを拡張するのは非常に簡単で、小説、つまり政府機関全体のゼロトラストアーキテクチャを作成するまで、アプリケーション、ワークロード、エンドポイントを追加します。
イルミオが連邦政府機関が価値の高い資産を確保し、ゼロトラストを加速するのにどのように役立つかの詳細については、 連邦ソリューションのページをご覧ください。
