.png)
マイクロセグメンテーションの展開に関するアーキテクトガイド:セキュリティモデルの変更の影響
マイクロセグメンテーション展開のアーキテクトまたはプロジェクトマネージャーは、望ましい結果と、展開が組織に真にどのような影響を与えるかを明確に把握することで恩恵を受けることができます。同時に、これらの洞察を提供するには、多くの場合、他のチームメンバーのサポートが必要であり、その中にはIT部門に該当しないメンバーもいるかもしれません。アーキテクトやプロジェクトマネージャーは、新しいプロジェクトを立ち上げ、順調に進め、最適な結果を達成するために、マイクロセグメンテーションの導入について知っておくべきことは何ですか?
このシリーズでは、まさにこれらの質問を探り、何百ものマイクロセグメンテーションの展開に取り組んだ経験を活かして、ビジネスに期待する、提供する必要がある結果を提供するためにチームを最適な調整にするための重要な洞察を検討します。
パート 1 では、セキュリティ モデルを変更した場合の影響について説明します。マイクロセグメンテーションソリューションに移行すると、以下で説明するように、既存のネットワーク/境界モデルがいくつかの重要な方法で変更されます。これらの各変更により、そもそもマイクロセグメンテーションを魅力的にした利点の一部が可能になり、これらの各変更は企業に影響を及ぼします。
適用ポイントがネットワークからホストに移動します
従来、セキュリティは、VLAN のエッジ、PROD 環境、またはインターネットのいずれであっても、境界のチョークポイントに配置されていました。このモデルでは、アプリケーション、サーバー運用、または自動化チームとの直接的なやり取りはほとんどありません。ホストベースの適用への変更は、次のことを意味します。
- オペレーティングシステムの組み合わせとエージェントサポートの問題
- 自動化および管理ツールの可用性と一貫性は、エージェントの展開方法と速度に影響します
- アプリケーション所有者、システム管理者、自動化開発者は、自分とセキュリティチームにとって新しい方法でやり取りします
- 「オペレーティングシステムの内部」にセキュリティを導入することは、アプリケーション/管理チームにとって初めてのことであり、それが自分たちにとって何を意味するのかを理解する必要があります。
セキュリティポリシーは、ブラックリスト/ホワイトリスト混合モデルから純粋なホワイトリストモデルに移行します
ハードウェア ファイアウォールは、permit ステートメントと deny ステートメントを組み合わせて使用します。これは、各デバイスのルールの順序が非常に重要であることを意味します。最適なマイクロセグメンテーションポリシーには、許可ステートメントのみがあります。当然のことながら、これはセグメンテーションのための ゼロトラスト 原則の実際的な実装です。しかし、ルールの順序付けの問題も取り除かれ、柔軟な多次元ポリシーが可能になります。これは、ポリシーの作成者が自分の要望を表現する新しい方法を学ぶにつれて、短い移行時間を持つポリシーの作業と指定の異なる方法です。これにより、より「読みやすい」よりシンプルなポリシーが作成され、監査とコンプライアンスの検証がはるかに簡単になります。これらのチームと時間を費やして、新しいポリシーモデルについて教育することを期待してください。
セキュリティポリシーステートメントは、ネットワーク/IP依存ステートメントからメタデータ駆動型ステートメントに移行します
ハードウェアファイアウォールは、ルール作成のためにIPアドレス、ポート、プロトコルに依存しています。すべてのマイクロセグメンテーションベンダーは、ネットワーク構造を参照せずにポリシーステートメントを表現するために、何らかのタイプのラベルまたはメタデータを提供しています。これは、セキュリティポリシーがネットワークまたはネットワークセキュリティチームだけでなく、より多くの人にも理解できることを意味します。ルール作成のためのグラフィカルな「ポイント アンド クリック」メカニズムは、セキュリティ ポリシーを作成するためのほとんど非技術的な方法も提供します。強力なロールベースのアクセス制御 (RBAC) と組み合わせると、ルール作成をより広く組織内に分散することを検討できるようになります。これが望ましいかどうかは、組織によって異なります。
メタデータはセキュリティチームにとって歴史的に重要ではありませんでしたが、自動化に関係する組織全体ではメタデータが多用されています。メタデータの生成と使用の両方にセキュリティチームと自動化チームが合流することは、メタデータの設計、保存、変更などに特別な注意を払うことが、組織全体の俊敏性にプラスの影響を与える可能性のある必要かつ価値のある取り組みであることを意味します。この広範な会話は、リーダーシップがサイロやワークグループを越えて手を差し伸べ、影響を受けるすべての構成員を集めて共通の解決策を推進するときに最もよく起こります。
API主導のセキュリティ自動化が利用可能
自動化とオーケストレーションは、ITのアプリケーション側とシステム側では普通の言葉ですが、ネットワークチームやセキュリティチームではそれほど一般的ではありません。しかし、優れたマイクロセグメンテーションソリューションは、完全にAPI主導のワークフローを提供します。プラットフォームのすべての機能は、API を介してアクセスできる必要があります。これは、セキュリティを自動化する能力が想像力、時間、注意によってのみ制限されることを意味します。組織が可能性を理解し、自動化の要望に優先順位を付け、結果として得られる計画を適切なフェーズで実行するには、部門横断的なチームワークも必要になります。メタデータのクリーンさと整理に費やす時間は、マイクロセグメンテーションポリシーを自動化する際に大きな利益をもたらします。
これらの観察のそれぞれに共通しているのは、この 展開が内部の組織ラインを越えるということです。これまで存在したことのない機能を提供し、チームにとって新しいデータを生成して消費します。最も簡単に言えば、これは「変化」であり、「より同じ」ではありません。各組織は変化に対する独自の態度を持っており、単一の最大の管理タスクは、この変化を組織がそれを吸収する能力と一致させることです。
今日は、マイクロセグメンテーションが、組織が「快適」に陥っていると思われる既存のネットワーク/境界モデルをどのように根本的に変えるかを探りました。パート 2 では、チームがマイクロセグメンテーションを最大の成功でデプロイできるようにする次の重要な洞察、 つまりデプロイ チームを構築する方法について説明します。
マイクロセグメンテーションをうまく導入するために知っておくべきことをすべて詳しく知りたい場合は、電子書籍「 Secure Beyond Breach: A Practical Guide to Building a Defense-in-Depth Cybersecurity Strategy Through MicroSegmentation」をご覧ください。
