Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

ゼロトラストセグメンテーションポリシーを作成するために必要なもの

Illumio Editorial
Illumio Editorial
14月、2021
23分読む

先週は、ゼロトラストセグメンテーションポリシーを作成するために必要なアプリケーションとより広範な環境コンテキストを発見するために必要な機能について 説明 しました。何が義務付けられているかがわかったら、それを政策声明で表現する必要があります。優れたマイクロセグメンテーションソリューションは、検出からオーサリングまでシームレスに移行し、きめ細かなセグメンテーションポリシーを効率的に作成するために必要なすべてのワークフローを完全にサポートします。ゼロトラストセグメンテーションポリシーを加速し、サポートするものについて説明しましょう。

やり方ではなく、やりたいことを言ってください

歴史的に、アクセス制御リスト (ACL) を作成するには、何が必要で、どのように行うかを知る必要がありました。大きくて複雑なルールのテーブルが生成されます。対照的に、ゼロトラストセグメンテーションは宣言型 ポリシーモデルで動作し、「ポリシー」と「ルール」を分離します。ポリシーは、DEV 環境と PROD 環境を分離するなど、私たちが望む結果です。そのポリシーを true にするために必要なルールまたは ACL は、人間の作業ではなく、ポリシー エンジンの出力です。これにより、ポリシーの作成が大幅に簡素化されます。

1 つのデバイスが他の 3 つのデバイスと通信できるようにするルールを記述する場合、4 つのルールを記述する必要はありません。1つのサーバーが他の3つのサーバーと通信できるというポリシーを1つ書くだけです。ポリシーエンジンは、そのポリシーを true にするためのすべてのルールを作成します。データセンター全体またはクラウド展開の規模で考えると、この簡素化により、ゼロトラストセグメンテーションポリシーの開発が加速されます。

使い慣れた名前と IP アドレス

従来のファイアウォールルールの作成は、インフラストラクチャが理解するIPアドレスと会話でサーバーに付ける名前との間で常に変換する必要があるため、常に遅くなります。この変換を排除すると、ゼロトラストセグメンテーションポリシーの作成時間が大幅に短縮されます。

最良の状況は、組織が CMDB、SIEM、IP アドレス管理システム、ホスト名規則、サーバー名など内に既に存在する名前を再利用できる場合です。見慣れた名前がビジュアライゼーション内のすべてのシステムにラベルを付け、ポリシー作成の抽象化を提供すると、突然、誰もがゼロトラストポリシーを理解して作成できるようになります。翻訳は不要で、書かれたポリシーが視覚化によって発見されたニーズと一致していることについて、チーム全体がすぐにコンセンサスに達することができます。

相続を利用して保険契約の負担を軽減

ゼロトラストセグメンテーションポリシーを名前(またはラベル)に抽象化したら、ゼロトラスト許可リストの最も優れた部分の1つであるポリシーの継承を活用できます。純粋な許可リストでは、従来のファイアウォールとは異なり、ルールの順序付けに注意を払う必要はありません。

ファイアウォールでは、 許可リストルールと拒否リスト ルールが混在しているため、ルールが設計どおりに機能するには厳密な順序でなければなりません。許可リストでは、許可されるのはすべてのものであるため、許可される順序や複数回許可されるかどうかに違いはありません。

これは、ゼロトラストセグメンテーションポリシーを自由に継承できることを意味します。ポリシーを一度記述して、必要な回数だけ再利用できます。ワークロードは、PROD 環境ポリシー、データセンターレベルのポリシー、およびすべてのデータベースに対して作成したポリシーからポリシーの一部を派生させる場合があります。コア サービスのポリシーを一度定義すると、環境内のすべてのワークロードにそのポリシーが引き継がれます。継承により、ゼロトラストポリシーの作成は従来の方法よりもはるかに簡単になります。

ルール作成を分散して規模を拡大する

ファイアウォールルールの作成は、デバイスが事実上ネットワークアーキテクチャの一部であるため、長い間ネットワークセキュリティチームによって一元化され、管理されてきました。これにより、ファイアウォール チームがアプリケーション チームにシステムがどのように機能するかを IP アドレスで説明する必要があるという厄介な会話が生じました。そうして初めて、ファイアウォールチームはそれをルールに変換できます。しかし、なぜわざわざそんなコミュニケーションや翻訳にこだわるのでしょうか?

ゼロトラストセグメンテーションと堅牢なロールベースのアクセス制御(RBAC)機能により、ルール作成を分散できます。ゼロトラストセグメンテーションソリューションがアプリケーション固有のビューと機能を提供するように設計されている場合、アプリケーション所有者にアプリケーションの内部運用に関する ポリシーを作成または検証 してもらい、一元化されたチームが作業を承認し、コアサービス、データセンター、インターネットアクセスのポリシーを追加することができます。

強力なゼロトラストセグメンテーションソリューションは、ポリシー作成プロセス全体を通じてアプリケーションチームとDevOpsチームにエージェンシーを提供します。組織が自動化したいほど、この委任はより重要になります。チーム全体が共通の目標に向かって取り組むことができれば、信頼と組織の結束が構築され、ゼロトラストセグメンテーションポリシーの提供が迅速化されます。

まとめ

データセンターとクラウド環境は複雑であり、セグメンテーションポリシーの作成も同じ複雑さを共有すると考えるのは自然なことです。しかし、最高のゼロトラストセグメンテーションソリューションは、従来のファイアウォールルール開発プロセスを、シンプルでスケーラブルで効果的なワークフローに置き換えます。宣言型ポリシーモデルとは、どのように行うかではなく、自分が言いたいことを言うことができることを意味します。

人間は自分のやりたいことを言うのが得意で、スマートなポリシーエンジンはそれをインフラストラクチャのルールに変えることができます。ポリシーが使い慣れた名前に基づいており、複数回再利用できる場合、チーム全体の作業が軽減されます。

そして何よりも、チーム全体がコラボレーションできると、チーム間の非効率な壁が崩れ、組織全体が協力して重要な資産を保護できるようになります。ゼロトラストセグメンテーションは、セグメンテーションポリシーのあらゆる側面を改善し、セグメンテーションを強化すると同時に組織の負担を軽減します。

関連トピック

No items found.

関連記事

ネットワークをワークロードのセグメンテーションの障害にしないでください
ゼロトラストセグメンテーション

ネットワークをワークロードのセグメンテーションの障害にしないでください

ネットワークがアジャイルなワークロードの配信、自動化、セキュリティの障害ではなくなった理由をご覧ください。

Read more
2025年4月のサイバーセキュリティのトップニュース
ゼロトラストセグメンテーション

2025年4月のサイバーセキュリティのトップニュース

侵害封じ込め、AIオブザーバビリティ、顧客第一のサービスがサイバー防御の未来を定義する理由をご覧ください。

Read more
ロシア・ウクライナ危機:セグメンテーションでリスクを軽減する方法
ゼロトラストセグメンテーション

ロシア・ウクライナ危機:セグメンテーションでリスクを軽減する方法

ウクライナ紛争により、世界中の組織は脅威モデリングの見直しとサイバーリスクの再評価を余儀なくされています。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more