Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

ゼロトラストにとってポリシーが重要な理由

Illumio Editorial
Illumio Editorial
4月 30日、 2021
23分読む

最小特権の考え方は新しいものではなく、最小特権のサービスを提供するためにネットワーク上でデバイスを分離しておくという考え方も新しいものではありません。結局のところ、すべてのファイアウォールは、最小権限ポリシーの作成を促すデフォルトのルール「すべて拒否」を使用して出荷コンテナから出てきます。そのため、過去 15 年、20 年間、私たちは境界ファイアウォールにますます多くの許可ステートメントと拒否ステートメントを忠実に入力してきました。現在、ほとんどの組織にはこれらのステートメントが多すぎるため、それらを管理するには高度なスキルを持つ管理者のチームが必要であり、近年、複雑さは爆発的に増加しています。

問題 (3 倍)

現在、 ゼロトラスト は最小権限に戻ることを規定しています。今回だけは、エッジではなく、すべてのワークロード、すべてのユーザー、すべてのエンドポイントで。これはどの程度実現可能ですか?シスコは毎年、 エンタープライズ ネットワークの詳細な調査を公開しており、検討すべき簡単な概算を提供しています。2020年には、トラフィックの73%が「東西」、つまりデータセンター内のシステム間で発生し、約27%が境界を通過しました。したがって、既存の境界ファイアウォールルールはトラフィックの 27% をカバーします。

明らかな意味は、トラフィックの残りの 73% に対して同様のポリシーを作成するには、作業の約 3 倍、ルールの複雑さの 3 倍、人数の 3 倍になるということです。そしてそれが問題です。3倍の費用を費やし、3倍の雇用をし、3倍の複雑さを構成することはできません。SDNソリューションをこのタスクに組み込もうとしたことがある人や、仮想ファイアウォールを導入しようとしたことがある人は、それが機能しないことを知っています。

ゼロトラストを提案するベンダーは、この難問を解決する必要があります。ゼロトラストの結果が、目の前の膨大なタスクの運用上の現実に対処せずに達成可能であると主張するのは信頼できません。ゼロトラストの成果を目指す人は、実装を成功させるために、コスト、運用の複雑さ、人的資源コンポーネントを満たす能力の信頼できる証拠を必要としています。

ポリシーを施行するための場所はこれ以上必要ありません

ファイアウォールが最初にネットワークに侵入したとき、ファイアウォールは大規模なトラフィックをブロックおよび制限できる唯一のデバイスでした。しかし、今日では、 ゼロトラストマイクロセグメンテーション の達成は、強制ポイントの問題ではありません。WindowsからLinuxまで、データセンター内の最新のオペレーティングシステムはすべて、AIX、Solaris、System Z(メインフレーム)を含め、カーネル転送パスに適切に実装されたステートフルファイアウォールを備えています。ルーターやスイッチからファイアウォールやロードバランサーに至るまで、すべてのネットワークデバイスはファイアウォールルールを採用できます。

実際、データセンター内のほぼすべてのネットワーク接続デバイスには、何らかのアクセス制御機能があります。これは、ゼロトラストを実装するためにファイアウォールのパレットを購入する必要がないことを意味します。適用ポイントはすでに使用可能です。これは、ゼロトラストを実装するためのコストが、構成の複雑さの領域でほぼ完全に感じられることを意味します。結局のところ、必要な人数は、やるべき仕事の量に由来します。

ポリシー管理がゼロトラストの成果を決定する

したがって、ポリシーはゼロトラスト展開において最も重要な要素であると結論付けます。ゼロトラスト目標の達成可能性は、ポリシーの発見、作成、配布、適用の容易さまたは難しさによって異なります。

ベンダーは自社の機能について話したり、きれいなユーザーインターフェイスを見せたりすることを好みますが、結局のところ、重要なのは、ゼロトラストマイクロセグメンテーションイニシアチブに固有のポリシー管理作業をどれだけ簡素化、削減、自動化するかだけです。

ゼロトラストポリシーを作成する前に、まず、関連するすべての通信フローと、問題のアプリケーションがどのように機能するか、つまり、コアサービスと、接続するユーザーやその他のデバイスにどのように依存するかを知る必要があります。これはポリシーの発見であり、バブルの中のアプリの美しい写真以上のものです。最終的には、ゼロトラストポリシーを正常に作成するために必要なすべての情報が必要です。

ポリシーを作成するには、人間の欲求を IP アドレスに変換する負担を排除する必要があります。メタデータを使用してポリシーを簡略化、スケーリング、継承し、作成の負担を軽減する必要があります。ポリシーを作成したら、すでに存在する適用ポイントにポリシーを配布する方法が必要です。アプリケーションの自動化を使用して、すべてのポリシーを最新の状態に保ち、自動的に追跡するにはどうすればよいでしょうか?移動、追加、変更をすべて考慮できれば、管理チームの作業負荷は軽減されます。

最後に、ポリシーの施行は、最終的には、提案されたポリシーに対する信頼を検証し、構築する能力に依存します。ファイアウォールにはモデリング機能がありません。しかし、「許可して祈る」だけでは十分ではありません。ポリシーが正確で完全であり、アプリケーションを壊さないことを知り、それをすべての利害関係者に伝えることができる能力が必要です。

Conclusion

ゼロトラストポリシー管理にとって何が重要かを知ることは、ゼロトラストまたはマイクロセグメンテーションプロジェクトを提供するために何が必要かを知ることと同じです。きめ細かなセグメンテーションの運用は、ポリシーを発見、作成、配布、施行する人間の能力によって決定される速度で進められます。効果的かつ効率的なポリシー管理が存在する場合、人員要件はそれに比例して減少します。したがって、ゼロトラストを運用する上で最も重要な要素は、 セグメンテーション制御を強化するために必要なポリシーの複雑さに効果的に対処することであることは明らかです。ポリシー管理は非常に重要であるため、今後のブログ投稿でポリシー管理について詳しく検討します。

関連トピック

No items found.

関連記事

侵害回復の改善、政府の新しいセキュリティイニシアチブ、イルミオのリーダーシップの評価
ゼロトラストセグメンテーション

侵害回復の改善、政府の新しいセキュリティイニシアチブ、イルミオのリーダーシップの評価

2023年5月のイルミオのニュース報道の概要をご覧ください。

Read more
ArmisのCTOであるCarlos Buenano氏のOTセキュリティジャーニーがゼロトラストにつながった方法
ゼロトラストセグメンテーション

ArmisのCTOであるCarlos Buenano氏のOTセキュリティジャーニーがゼロトラストにつながった方法

BuenanoのOTセキュリティへの道のり、産業環境を保護する上でゼロトラスト原則が果たす極めて重要な役割、そしてそこに到達するための課題について学びましょう。

Read more
ファイアウォールチームがマイクロセグメンテーションを気に入れる5つの理由
ゼロトラストセグメンテーション

ファイアウォールチームがマイクロセグメンテーションを気に入れる5つの理由

ファイアウォール管理者が長い間必要としていたアップグレードであるマイクロセグメンテーションは、適用ポイントをアプリケーションインスタンス自体に移動します。仕組みは次のとおりです。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more