.png)
ゼロトラストポリシーを迅速かつ安全に実施するために必要なもの
このシリーズでは、ゼロトラストセグメンテーションポリシーの 検出、 作成、 配布 を成功させるために必須の特性について検討しました。今週は、ゼロトラストセグメンテーションポリシーを適用するために何が必要かを詳しく見て締めくくります。ゼロトラストポリシーが完全に施行されないと、マルウェア、ランサムウェア、悪意のある攻撃者を阻止することはできません。すべてのゼロトラストポリシーをインフラストラクチャ全体に迅速に適用し、アプリケーションの機能を中断することなく行うために、考慮すべき重要な考慮事項があります。
安全、後悔しない
既存のクラウドおよびデータセンター環境で作業する場合、最初の要件はヒポクラテスの誓いを立てることです。すべてのマイクロセグメンテーションソリューションはエージェントを使用します。安全なものが必要であり、安全なインラインエージェントはありません。インライン ファイアウォール、フィルタリング、またはその他のセキュリティ機能を実装するエージェントは、安全とは見なされません。エージェントが閉じられて失敗すると、アプリケーションが壊れ、運用上安全ではありません。インラインエージェントがオープンに失敗すると、安全でないコンピューティングの定義であるセキュリティメカニズムが消えます。適用のための唯一の安全なエージェント テクノロジは、データ パスの外部にあるエージェントです。ベンダーエージェントが失敗したり削除されたりした場合でも、ルールを維持するソリューションが必要です。再起動せずにインストールおよびアップグレードする エージェントを 要求します。エージェントはユーザー空間で実行する必要があります。カーネルを変更したり、カスタムネットワークアダプターをインストールしたり、インラインに配置されたりするものはすべて拒否します。ステートフルファイアウォールのような基本的なものを再発明する必要はなく、データセンターやクラウドの文字通りすべてにステートフルファイアウォールが含まれているのです。
すべてに強制
ゼロトラストポリシーを適用したら、それを配置するのに最適な場所は、どこにでもです。過去12年間のすべてのオペレーティングシステムには、iptables/NetfilterとWindowsフィルタリングプラットフォームという、完全に優れたステートフルファイアウォールがあります。AIX、Solaris、さらにはメインフレームにも同様のテクノロジーが存在します。ネットワークスイッチ、ロードバランサー、ハードウェアファイアウォールはすべてファイアウォールルールを採用します。すべて使ってみませんか?ゼロトラストをあらゆる場所に導入し、すでに所有しているすべてのものに対するポリシーの適用を自動化します。適用には、 Kubernetesコンテナ環境、 Amazon、 Azure 、 Google Cloud インスタンス、SaaSサービス、さらにはOTデバイスをIT環境から遠ざける必要があります。すべてのデバイスが必要なものをすべてすでにサポートしている場合に、ゼロトラストポリシーを適用するために独自のベンダーエージェントを検討する価値さえありません。
信頼のスピードを向上
ゼロトラストの展開は、ポリシーの安全性に対する信頼度で進行します。結局のところ、ゼロトラストポリシーでは、必要なものをすべて指定する必要があり、それ以外はすべて拒否されます。つまり、ゼロトラストポリシーは完璧でなければならないということです。データセンターにはいくつのフローがありますか?これらすべての流れで完璧さに自信を持つのは難しいように思えます。リラックス。ゼロトラストセグメンテーションは難しいことではありません。スケールの小さな端で 1 つのサービスでも適用できることを確認します。結局のところ、最も脆弱なフローのいくつかは、環境内のすべてのマシンに接触するコアサービスと管理システムです。多くは単一のポートまたは小さな範囲を使用します。優れたソリューションは、これらの少数のポートのみを選択的に適用できる必要があります。これらは定義が簡単で、合意が容易で、セキュリティを確保することが重要です。スペクトルの反対側では、「次の共有サービスのリストを除き、すべての DEV システムが PROD と通信しないようにするが、可能な限り制限する」などのポリシーの要望を単純に強制します。すべてのDEVシステムとすべてのPRODシステムについて完璧な知識を持っている人は誰もいません。しかし、最高のゼロトラストセグメンテーションソリューションは、ルールの順序付けの問題やポリシーの継承の破綻から自由を維持しながら、この正確な機能を提供する適用境界を簡単に定義できます。チームの全員が、ポリシーが正しく安全であることをどのくらいの速さで確認できるでしょうか?単一のポリシーステートメントのレベルで適用すると同時に、広範な分離目標を適用できるソリューションを探してください。両方が同じように単純な場合、変更管理を通じてゼロトラストポリシーを適用するのは簡単です。
まとめ
クラウド、エンドポイント、データセンターのシステムを強制ルールで分離することが、 ゼロトラストの要点です。可視性のみまたは監視ソリューションは、ゼロトラストセグメンテーションとしてカウントすることはできません。優れたセグメンテーションソリューションは、まず安全であり、オープンまたはクローズに失敗して環境全体を危険にさらすインラインテクノロジーに依存しません。適用は広範囲に及ぶ必要があり、OS ベースのファイアウォールからラックにあるハードウェアやネットワーク機器に至るまで、すでに所有するために料金を支払ったすべてのファイアウォールを利用する必要があります。コンテナ、クラウド、およびコンピューティング環境全体にゼロトラストセグメンテーションポリシーを実装するには、さまざまなソリューションが必要になるため、それぞれにすでにあるものを使用してみてはいかがでしょうか?最後に、単一のポリシーステートメントから、環境全体をセグメント化する簡単な方法まで、適用を構築できることが重要です。きめ細かなマイクロセグメンテーションは、システムが中断されないという共通の確信の速度で進行します。したがって、柔軟性が高く微妙な適用を備えたソリューションは、常に最速のゼロトラスト成果をもたらします。
ICYMI、このシリーズの残りの部分をお読みください。
