ファイアウォールチームがマイクロセグメンテーションを気に入れる5つの理由

顧客履歴の初期に起こったインシデントは決して忘れません。私たちは、大手顧客の ファイアウォール アーキテクチャと実装チームとのトレーニングを修了したばかりでした。ファイアウォールの主任管理者の一人が手を挙げて、「だから、これを正しく理解していれば、ファイアウォールルールを二度と書く必要はない」と言いました。私は微笑んで「そうです」と言いました。

半年後、私たちは一緒にエレベーターに立っていたが、彼はマイクロセグメンテーションがどれほど好きかを興奮気味に話してくれた。理由を尋ねると、彼はこう答えました。私はもうACLを書かないし、私たちの方針ははるかに厳しくなった」

それは素晴らしい瞬間でしたが、単純な事実は、マイクロセグメンテーションはファイアウォール運用チームにとって素晴らしいということです。その理由を 5 つ紹介します。

1. 手動 ACL はもう必要ありません。概念的には、ファイアウォールルールを記述するのは「簡単」であり、許可したいルールを入力するだけで、他のすべてが拒否されます。抽象化のレベルが高いと言えば正しいが、作品に近づくと著しい過度の単純化だ。従来のファイアウォールでは、すべてのポリシーの要望を、アプリ所有者がシステムについて話す方法から、IPアドレス、サブネット、ゾーンの言語に変換する必要があります。マイクロセグメンテーションでは、適用ポイントがアプリケーションインスタンス自体に移動するため、セグメンテーションは適用のためにネットワーク構造に依存しません。強力な ポリシー計算エンジン と組み合わせると、管理者は「Web サーバーはアプリケーションサーバーと通信します 。これはデータベースと通信します。Web サーバーが相互に通信したり、データベースと直接通信したりすることはありません。」単純なポリシーを、人間が IP アドレス、サブネット、またはゾーンを知ることなく、強制可能なルール ベースに変換できます。マイクロセグメンテーションにより、ファイアウォール管理者は ACL を記述する必要がなくなります。
    
2. スケーラブルなポリシーモデルを取得します。ファイアウォールは、ルール テーブルの下部に default-deny が付いていますが、すぐに成長して、許可ステートメントと拒否ステートメントが複雑に混在します。これらの 混合拒否リストと許可リスト のポリシーは、継承が限られているため、拡張性が低くなります。ルールが許可ステートメントと拒否ステートメントが混在している限り、ルールの順序が重要であり、継承が制限されますが、マージされたポリシーはどのような順序に従うべきですか?マイクロセグメンテーションは、純粋な ゼロトラスト モデルで機能します。許可ステートメントしかないため、ポリシーの継承は簡単です – 起こり得るのは、何かが複数回許可されるだけです。これにより、任意の抽象化レベルでポリシーを簡単に指定できます。特定のサーバーは、データ・センター全体のポリシーと、本番環境およびデータベース全般のポリシーの両方からポリシーを継承できます。ポリシーの大部分がテンプレートから生成されている場合、ポリシーの作成作業は簡素化され、拡張性が大幅に向上します。
    
3. ポリシーが正しいことを知ってください。ファイアウォールポリシーの開発は簡単ではありません。すべてのアプリケーショントラフィックは、ポートとプロトコルに至るまで特徴付ける必要があります。この情報は、多くの場合、インフラストラクチャ チームやセキュリティ チームの手の外にあります。さらに悪いことに、アプリケーションが関与しなくなったベンダーまたは請負業者によってアプリケーションがインストールされた可能性があるため、アプリチームでさえ気づかないことがよくあります。マイクロセグメンテーションは、チーム全体が理解できる豊富な アプリケーション依存関係マップ を提供します。マップにはアプリケーションデータのみが表示され、ネットワークデバイスは表示されないため、アプリケーションチームとDevOpsチームは、アプリケーションが生成するフローと保護する必要があるものを簡単に理解できます。マイクロセグメンテーションにより、重要なアプリケーションの保護に関するコンセンサスを簡単に達成し、ポリシーチームに正確な情報を提供します。
    
4. ポリシーが安全であることを知ってください。ファイアウォールルールをどのようにテストしますか?そうではありません。ファイアウォールはそのようには機能しません - ルールを入力し、問題があれば電話が鳴ります。2021年には、それだけではもはや十分ではありません。まったく新しいアプリケーションでは、アプリ チームとやり取りして本番環境に移行する余地があります。しかし、既存のアプリケーションでは、セグメンテーションポリシーに間違いがあると停止が発生します。マイクロセグメンテーションはより良い方法を提供します。ポリシーは、個別の ビルド、テスト、適用の各段階を含むライフサイクルを通過します。このようにして、アプリの所有者からセキュリティおよびインフラストラクチャ チームまで、すべてのユーザーがポリシーが "設計どおり" であり、ポリシーが必要なすべての通信をカバーしていることを検証できます。シンプルなアプリケーション依存関係マップにより、ポリシーが安全であり、適用できることを簡単に知ることができます。
    
5. アプリケーション所有者からサポートを受ける。どの組織でも、アプリケーションチームにはセキュリティチームよりもはるかに多くの人がいます。また、アプリケーションの数とセグメンテーションポリシーの作成者の数を考慮すると、そのコントラストはさらに大きくなります。この格差を考えると、各チームがファイアウォールチームが必要としているものを理解し、それをタイムリーに入手できるようにすることは常に困難です。マイクロセグメンテーションは、アプリケーション所有者がプロセスに参加できるように設計された視覚化とワークフローを提供します 。アプリチームがマイクロセグメンテーションプロジェクトに関与すると、セキュリティチームとインフラストラクチャチームのアプリに対する目標をサポートすることがはるかに簡単になります。これにより、自信が生まれ、アプリケーションの動作と、セグメンテーションポリシーとそれらのフローとの相互作用を全員が確認できるようになると、非難ゲームがなくなります。アプリ所有者は、ポリシーのフロー部分とアプリケーション部分の両方を簡単に検証できるため、適用に向けた進行を迅速化できます。

マイクロセグメンテーションは、ファイアウォール管理者にとって最適です。手動のファイアウォール規則を、ネットワークの知識を必要としない単純な自然言語ポリシーに交換します。完全な継承で簡単に拡張できる真のゼロトラストポリシーモデルを入手してください。すべてのセグメンテーションポリシーは、正しく完全である必要があります。マイクロセグメンテーションは、アプリケーション所有者が関与できるシンプルなグラフィカルなプロセスになります。彼らが味方につければ、セグメンテーション プロジェクトはより速く、より簡単に、より楽しくなります。マイクロセグメンテーションは、ファイアウォール管理者が待ち望んでいたアップグレードです。