マイクロセグメンテーションをデプロイするためのアーキテクトガイド:デプロイプロセスの管理

このシリーズのパート 1 とパート 2 では、セキュリティ モデルの変更の影響と、マイクロセグメンテーションの導入を成功させるために必要なリソースについて説明します。

パート 3 では、プランに追加する特定のチェックポイントを使用してデプロイ プロセスを管理する最適な方法を検討します。

多くの点で、マイクロセグメンテーションの導入は単なる IT プロジェクトにすぎません。他のプロジェクトと同様に、技術的な仕事、政治的な仕事、調整の仕事があります。以下では、マイクロセグメンテーションの展開を可能な限りスムーズにするための特別な考慮事項に焦点を当てます。これらは、多くの大規模なエンタープライズ展開から抽出された「ベストプラクティス」であり、あらゆる規模の展開に適応できます。

プロジェクトチーム全体を対象とした幅広い概要トレーニングを確実に実施

ベンダーの概要トレーニングクラスを通じて、できるだけ多くの人を集めてください。これにより、参加者はマイクロセグメンテーションのアーキテクチャ、ポリシー言語、およびコア概念を習得できます。プロジェクトチーム全体が一緒に参加すると、設計プロセス全体がより堅牢になります。上記の部門横断的なチームの各メンバーは、ITに対する異なる見方を持ち、独自の視点から制約と既存のアーキテクチャを理解しています。

マイクロセグメンテーションの展開について、複雑な問題が発生する可能性のある場所、取得したテストや認証、その他の詳細を言語化するために、各人が十分に理解していれば、完全な展開計画を構築することがはるかに簡単になります。計画プロセスでこれらの視点を聞くのは早ければ早いほど良いです。プロジェクトの進行に合わせてチームが 1 人ずつ参加すると、多くの「クリティカル パス」項目は数週間後まで発見されません。この早期通知により、組織全体が計画と対応に有利な時間が得られます。

完全な設計成果物を期待

マイクロセグメンテーションのデプロイには、上で述べたように、いくつかの新しい概念があります。これらは、プロジェクトの計画とタイムラインに反映する必要があります。プロジェクト計画に技術的なマイルストーンしかなく、調整、チーム間の通知、その他のタッチポイントが欠けている場合、プロジェクトはプロジェクトの終わりまでに数週間遅れてしまいます。どの企業もローカルな雰囲気を取り入れたプロジェクトを組織し、追跡していますが、各プロジェクトには次のものが必要です。

• 詳細な展開計画。ベンダーは、すべての「学んだ教訓」と「ベストプラクティス」を含む「やるべき作業」のテンプレートを提供する必要があります。これは、必要に応じて名前と日付を割り当てて、実行可能な展開計画に統合する必要があります。計画は、それを実行するチームによって承認される必要があり、エグゼクティブスポンサーは進捗状況に関する報告頻度を期待する必要があります。
• ラベル付けとメタデータの計画。マイクロセグメンテーションポリシーはIPアドレスではなく名前とラベルに基づいているため、チームは現在のデータソースを評価し、ギャップを特定する必要があります。継続的な運用では、アプリケーションの出入りに応じてメタデータの作成と保守方法に関するポリシーとワークフローを作成または強化する必要がある場合があります。
• 詳細な初期セキュリティポリシー。私たちの最速の展開は、展開チームがプロジェクトの開始時に明確なポリシー目標を持っていた場合に行われました。マイクロセグメンテーションは、企業がこれまで持っていたよりも詳細な情報を得ることができます。ほとんどのお客様にとって、マイクロセグメンテーションは当初必要とされる以上のものを提供します。賢明なプロジェクトチームは、最初にプロジェクトの目標を達成し、プラットフォームで最終的に可能になるすべてのことに巻き込まれることはありません。初期の方針を詳しく説明し、チームがその目標に向かって一生懸命走るようにするのが最善です。ワークロードがすべて初期セキュリティポリシーで保護されたら、リスク調整ベースでビジネスニーズに応じて強化を行うことができます。「海を沸騰させようとする」ことは避けてください。
• 必要なすべての自動化のリストと説明、およびそれを誰が作成するか。エージェントの一括デプロイ、ラベルやメタデータのインポートなど、多くのことが自動化によって行われる可能性があります。どのチームが技術リーダーの地位に就くかによっては、この作業は他のチームによって行われる場合があります。これには、追加のスケジューリングと調整が必要になります。何が必要で、いつ必要かを早期に正確に知ることは、各チームが予期せぬ事態を回避し、順調に進むのに役立ちます。
• 必要なすべての統合ポイントと、それを行うユーザーのリストと説明。少なくとも、セキュリティと運用のログは、SIEMまたはビッグデータ分析プラットフォームに送信される可能性があります。追加のカスタマイズ、ダッシュボード、その他のツールが必要になる場合があります。多くの場合、これはプロジェクト リーダー チーム以外のチームが関与する領域です。ベンダーには特定の専門知識を持つ専門のサービス エンジニアがおり、プロジェクトに適したリソースを派遣する必要があります。スケジュールを合わせるために、プロジェクトの早い段階で誰がどのような作業を行っているかを把握することが重要です。
• マイクロセグメンテーションのデプロイメントの影響を受ける内部プロセスとワークフローのリスト。マイクロセグメンテーションは、組織がセキュリティポリシーを作成する方法を変えます。誰かがラベルやメタデータを変更すると、ワークロードに適用されるセキュリティポリシーが変更されます。理論的には、これはファイアウォールルールの変更を要求することと変わりません。ただし、ほとんどの組織では、既存の保護手段を適用するために適用または拡張する必要がある主要なワークフローがあることに気付きます。チームがこれらを特定し、調整と承認のために適切なレベルに引き上げることを期待してください。これは、マイクロセグメンテーションソリューションの長期的な所有を円滑に行うための鍵であり、経営陣レベルの承認と調整なしには実行できない作業です。

レポートの頻度

マイクロセグメンテーションの展開は、レポートの 3 つのレベルがあり、それぞれに独自の頻度がある場合にスムーズに行われます。

1. 技術プロジェクトのステータス: チームリーダー、ベンダーの専門サービスエンジニア、および作業レベルに深く関わっているその他の人々は、定期的にコミュニケーションをとる必要があります。これは、毎日という短いスケジュールから、長いものは毎週のステータスコールまでよく見られます。これらの電話は通常、PM と技術リーダーによって主導され、仕事に直接焦点を当てます。この電話会議には幅広い人々が招待され、必要に応じて参加します。
2. プロジェクトのステータス: これは、PM、チームリーダー、および双方の関心のあるマネージャーとディレクターが参加する電話会議です。通常、これは隔週または月に一度です。これは、全体的な赤緑ステータスを伝達し、ギャップを特定し、エスカレーションや追加リソースを要求するように設計されています。これは技術的な電話ではなく、ベンダーと企業の両方に状況を知らせるように設計されたプロジェクト管理電話です。
3. エグゼクティブステータス: 企業はマイクロセグメンテーションを導入して、特定のビジネス上のメリットを得る。エグゼクティブスポンサー、ベンダーエグゼクティブ、アカウントマネージャーとの月次または四半期ごとの頻度により、プロジェクトが全体的なビジネス目標と優先順位と確実に一致します。これは、両方のチームが対話し、プロジェクトの成功のために適切に優先順位を付けるための常設フォーラムを提供します。これは通常 30 分間の会議ですが、初めて執行に入るなどの重要なマイルストーンの前にさらに長くなる場合があります。

以上です。マイクロセグメンテーションの導入を成功させるための中心となるのは、コミュニケーションです。すべてのチームメンバーが適切なトレーニングを受け、成果物の概要が説明され、遵守され、レポートの頻度が合意されて維持されていれば、効果的なマイクロセグメンテーションの導入は達成可能であるだけでなく、思っているよりも簡単になります。

このシリーズのパート4では、マイクロセグメンテーションの導入を加速させるために「身を乗り出す」べき5つの場所について説明します。