ゼロトラストポリシーを配布するために必要なもの

このシリーズでは、 これまでにポリシーの検出 と ポリシーの作成 について説明してきました。実装するポリシーが決まったら、それを計算し、ルールに変換し、施行ポイントに配布する必要があります。結局のところ、 ゼロトラスト ポリシーは到達する場所でのみ機能します。その政策をできるだけ多くの場所で、できるだけ効果的に実施できるようにしましょう。

ポリシーをルールに自動化する

人間が読めるポリシー (ラベルまたはメタデータに基づく) を強制的なゼロトラストセグメンテーションポリシーに変換するための最初のステップは、インフラストラクチャが理解できるルールに変換することです。人間が IP アドレスを使用せずにポリシーを指定することがいかに重要であるかについては説明しましたが、すべての適用ポイントで IP アドレスが必要です。ポリシー計算機能は重要な役割を果たします。

ゼロトラストセグメンテーションポリシーをラベルに基づいているということは、アプリケーションインスタンスを駆動する同じ自動化がセグメンテーションポリシーを駆動できることを意味します。IPアドレスや類似のアプリケーションサービスの数さえ知らなくても、アプリケーションオートメーションは「名前を述べる」だけで正しいポリシーを取得できます。人間が読めるポリシーを自動的に強制可能なルールに変換できると、セグメンテーションはアプリケーションコンポーネント自体と同様にサービスになります。

動的で継続的なものにする

ポリシーの計算は動的かつ継続的でなければなりません。最新のデータセンターやクラウドの展開では、自動化によってアプリケーションが常に調整されます。これは、IP アドレスが変更され、インスタンスが生成され、作業が実行され、削除されることを意味します。SaaS サービスコントローラーは、未知のサイズのクラスター内の新しい IP アドレスに負荷をシームレスにシフトします。つまり、ルールセットで使用される IP アドレスは、インフラストラクチャの進化に合わせて更新する必要があります。ポリシーの計算と配布は、定義されたポリシーをすべての適用ポイントで正確に保つために、継続的かつほぼ瞬時に行う必要があります。

既存の適用ポイントを使用する

ゼロトラストセグメンテーションポリシーは、それが運営する場所の数と同じくらい優れています。幸いなことに、あなたはすでに必要なすべての執行ポイントを所有しています!最新のオペレーティングシステムには、完全に便利なステートフルファイアウォールが組み込まれています。これは、Linux ベースのマシンの場合は IP-Tables または NetFilter、Windows ベースのインスタンスの場合は Windows フィルタリング プラットフォームです。同様のOSベースのファイアウォールは、AIX、Solaris、さらにはIBM System Zメインフレームにも存在します。Cisco と Arista のネットワーク スイッチは、F5 Networks のロード バランサーと同様に ACL を受け取ります。ネットワークに接続されたほぼすべてのデバイスには、セグメンテーション命令を受け取る機能があると言っても過言ではありません。

したがって、優れたマイクロセグメンテーションソリューションでは、これらの適用ポイントをできるだけ多く使用する必要があります。結局のところ、カーネルファイアウォールが利用可能な最も安定したパフォーマンスの高いコードの一部であるのに、なぜベンダーエージェントに強制を行う必要があるのでしょうか?既存のネットワーク、クラウドのネットワーク、ファイアウォールのインスタンスをプログラミングできるソリューションを探してください。組み込みシステムやOTデバイスにはファイアウォールが組み込まれておらず、ベンダーエージェントも使用しないため、利用可能なすべての適用ポイントを使用するソリューションが必要です。

パフォーマンスとスケールに関する考慮事項

ゼロトラストセグメンテーションソリューションを評価する際には、パフォーマンスと規模を考慮する必要があります。アーキテクチャの選択は、スイッチやルーターなどのハードウェア転送デバイスと同様に重要です。概念実証中に単一のポリシーを計算することは、ほとんど困難ではありません。

しかし、完全に自動化されたデータセンターがあり、40,000 のコンピューティング インスタンスが 15 分間隔で削除および交換され、グローバルなデータセンター複合施設を席巻する波の中で取り替えられるとどうなるでしょうか?突然、計算時間が重要になります。

自動化されたアプリケーション環境で正しいポリシーを維持する唯一の方法は、自動化に追いつくことです。ただし、計算が完了したとしても、ポリシーを配布してから適用する必要があります。このコンバージェンス イベントは、ルーティング テーブルをコンバージするハードウェア ルータと何ら変わりません。

検討しているソリューションのポリシー配布アーキテクチャはどの程度効果的ですか?データセンターの半分に障害が発生し、大規模な災害復旧によるトラフィックの再ルーティングが開始された場合、ポリシーの更新をタイムリーに配布することは、アプリケーションの可用性を維持するために突然非常に重要になります。

大手ベンダーは、500,000ものオブジェクトにわたって完全なゼロトラストポリシーを統合した経験があります。検討しているベンダーが、複数の場所のフェイルオーバーと同時ポリシーのコンバージェンスの主張を立証できることを確認します。

定義されたポリシーを計算して配布することは、マイクロセグメンテーションソリューションに最大のパフォーマンス負担をかけます。どのソリューションもシンプルな評価環境で動作します。しかし、ネットワークパーティションイベント、フェイルオーバー、ディザスタリカバリのシナリオに耐えられるのはエンタープライズ規模のソリューションだけであり、厳しいアプリケーション自動化の再構成は言うまでもありません。

効果的なポリシー配布機能を持つには、ベンダー ソリューションが人間が読めるポリシーをルールに自動化する方法を完全に理解する必要があります。ポリシーは、既存の適用ポイントにできるだけ多く配布し、プロプライエタリなベンダーソリューションよりも成熟した安定したカーネルファイアウォールを優先する必要があります。継続的かつ動的なポリシー計算と配布を展開すると、ゼロトラストセグメンテーションが利用可能なアプリケーションサービスになり、既存のアプリケーション自動化によって完全に自動化できます。

来週の最終回では、ゼロトラストセグメンテーションポリシーを適用するために何が必要かを検討します。