ゼロトラストポリシー検出に必要なもの

マイクロセグメンテーションの基本的な真実は、保護すべきトラフィックの理解ほどきめ細かいものはないということです。見えないものをセグメント化することはできません。

現在、ほとんどのセグメンテーションベンダーは、アプリケーションをある種の「バブル」に入れて、その分離の可能性を示す何らかの形式のアプリケーションマップを提供しています。代替案(視覚化なし)に比べて大幅に改善されていますが、実際には、これは確固たるゼロトラストポリシーを作成するには十分ではありません。必要ですが、不十分です。他に何が必要ですか?

このシリーズの冒頭で説明したように、ゼロトラストマイクロセグメンテーションの成功は、ポリシー管理プロセスの有効性によって決まります。セグメンテーションルールの作成は1つのタスクではなく、さまざまな分析および意思決定ステップです。したがって、セグメンテーションを改善するには深いレベルの理解が必要であり、各ステップの適切な可視性とワークフローに反映する必要があります。1 つの単純な視覚化がすべてのタスクと意思決定ポイントで機能する可能性はありません。

ポリシー検出は、ゼロトラストポリシーを作成するのに十分なアプリケーションとそのコンテキストを理解するために組織が実行する一連のタスクです。これには、サービス、ホスト、およびアプリケーションレベルの情報だけでなく、その他多くの情報も含まれます。

完全なアプリケーションコンテキスト

アプリケーションの完全なコンテキストは、その内部操作を超えています。他のアプリケーションと通信し、20〜30の共通コアサービスに接続し、企業やVPNの場所からユーザーが来ており、SaaSサービスやその他のリモートアドレス空間と対話する可能性があります。これらすべてを整理せずにマップに投げ込むだけでは、混乱を招き、クロールへの進行が遅くなります。

外部接続を、IP 管理システムにある可能性のある通常の名前付きアドレス範囲に要約することが重要です。このようにして、ユーザーサブネットやDMZトラフィックなどを簡単に見つけることができます。特にマイクロセグメンテーションの導入の初期段階では、「保護された」システムよりも「保護されていない」システムの方が多くなります。これらのシステムはどのように表示、整理、分類されていますか?これらのシステムがポリシー モデル内のオブジェクトであり、マップ上にそのように表示されると、複雑さとルールの作成が簡素化されます。最後に、ほとんどのアプリケーションはユーザー向けに存在します。そのユーザーコンテキストはどのように理解され、表示され、アクションに利用できるようになりますか?

最終的に、ポリシー検出には完全なアプリケーションコンテキストが必要であり、それには、外部 IP アドレスまたはホスト名に 100 行以上の線を含む単純なアプリケーション描画以上のものが必要です。

マイクロワークフローとマクロワークフロー

データセンターやクラウド環境は複雑な場所であり、考慮すべきのはアプリケーションだけではありません。アプリケーション依存関係マップはアプリケーションを理解するために重要ですが、より大きな構造を表示できることはどうでしょうか?Dev と Prod の間でどのようなトラフィックが通過しているかを知るにはどうすればよいでしょうか?環境全体のポート3306のすべてのデータベーストラフィックを確認して、見落とされていないことを確認するにはどうすればよいでしょうか?LDAP や RDP などのコア サービスの「リーチ」を確認して、現在のアクティビティを理解するのはどうでしょうか?

100,000ノードを超える複数の環境を保護してきたイルミオの経験は、アプリケーションコンテキストに加えて、マクロ環境用の視覚化と探索ツールを備えていることに反映されています。効果的な抽象化されたラベルベースのポリシーを作成するには、ポリシーモデルによって提供されるあらゆる抽象化レベルでコミュニケーションを視覚化して検査する機能も必要です。興味深いことに、アプリケーションビューに非常に役立つアプリケーションバブルは、このコンテキストではほとんど役に立ちません。最適なポリシー検出ソリューションには、収集されたフローデータのデータベースダンプだけでなく、あらゆる抽象化レベルで通信を表示する明確な方法があります。

一括または集約されたポリシー記述を通じて大規模なトラフィックに迅速に対処するために不可欠なマクロレベルのビューを提供するマイクロセグメンテーションソリューションが必要です。

利害関係者ごとに異なるビュー

ポリシー検出アクティビティ中にフローとポリシーを検査するのはファイアウォールチームだけではありません。セグメンテーションの境界がアプリケーションサーバーまたはコンテナホストに移動すると、運用チームとアプリケーションチームは、必要なすべてのサービスが適切にプロビジョニングされていることを確認することに強い関心を持つようになります。これらの同僚にとって、彼らの質問には、ポリシーを迅速に検査し、機能を検証する必要性に合わせて調整された専用ビューが最適です。ポリシー開発の詳細の多くは必要ではなく、実際、アプリケーション チームと運用チームの中心的な懸念事項から気をそらします。

アプリケーションチームや運用チーム向けに、ビジュアライゼーションとワークフローを慎重に構築したマイクロセグメンテーション製品を探してください。 これらはポリシーのワークフローの一部であり、ニーズをサポートするツールが必要です。もちろん、 RBAC フィルタリングされたビューは不可欠ですが、ポリシー検出プロセスを高速化するために、 アプリケーション所有者固有の視覚化 を取得するなど、さらに多くのことが期待されます。

まとめ

何が必要かを理解するよりも早くポリシーを作成できる人はいません。ポリシー検出は、ポリシー管理ワークフローの最初の部分です。最新のアプリケーションまたはコンテナ化されたマイクロサービスのコレクションのポリシー要求には、単純なアプリケーションバブルをはるかに超えた完全なアプリケーションコンテキストが必要です。IP 範囲、管理対象外のシステム、コア サービスなどを表すことはすべて、アプリケーション サービスをコンテキストで理解するために不可欠です。

優れた政策モデルは、コミュニケーションをいくつかのレベルまたは「ラベル」で抽象化することを提供するため、これらの高次の政策目標をサポートする視覚化も重要です。結局のところ、バルク政策は迅速な政策であるため、適切な能力を持つことで政策策定が根本的に加速されます。

最後に、マイクロセグメンテーションには複数の組織が関与します。ポリシーの発見はチームスポーツであり、各チームが可能な限り効率的に作業できるように、全員がカスタマイズされた発見ビューを持っていることを確認してください。

高速で効率的なポリシー検出は、高速で効率的なポリシー作成につながります。来週は、ポリシーの作成を加速するために何が必要かについて話し合います。