[新しい調査:ランサムウェアのグローバルコスト調査。どのようなbréá~chés~ によってコストがかかっているかを確認してください。]
[レポートを入手]

[Bréá~ch を経験しましたか?]

|
[お問い合わせ]
|
[+1 855 426 3983]
[ブログ]
/
[サイバー・レジリエンス]

[ゼロトラストの運用 — ステップ 5: ポリシーの設計]

[ラグー・ナンダクマラ]
[、]
[インダストリー・ソリューションズ・マーケティング担当シニア・ディレクター]
[Áúgú~st 19, 2020]
[23 最小読取り]

[このブログシリーズは、私が3月の投稿で紹介したアイデアを拡張したものです。」ゼロトラストは難しくありません... 現実的であれば。」]

[その記事では、ゼロトラストを実現するための6つのステップの概要を説明しました。ここでは、そのステップの1つ、つまりポリシーの設計について詳しく説明したいと思います。このステップが、組織の規模に関係なく、マイクロセグメンテーションの実践者なら誰でもプロジェクトをより成功させるために使用できる強固なフレームワークの実装をどのようにサポートできるかを説明します。]

[始める前に、次の 6 つのステップについて復習しておきます。]

[Zéró~ Trús~t díá~grám~]

[ステップ 5: ポリシーの設計]

[の中に 最終投稿 このシリーズから、「どのようなデータが必要かを規定すること」について見てきました。この記事の中で、私は以下の点を指摘しました。]

[「ゼロトラストの最も重要な側面の1つは、必要なほどカバーされていないものの、 ゼロトラストを効果的に実施するには、ポリシーの策定に役立つコンテキスト情報またはメタデータへのアクセスが必要です。 つまり、ワークロード保護の観点からマイクロセグメンテーションについて話す場合、データセンターのアプリケーションと環境のコンテキストにおけるワークロードの記述は、標準トラフィックレポート以外に必要な最低限のメタデータです。」]

[このステートメントに基づいて、必要なデータの 3 つのキービットは次のとおりです。]

  1. [リアルタイムの交通イベント 保護したいワークロードのためです。]
  2. [各ワークロードと接続のコンテキストデータ — これには、CMDB~などの記録システムから取得されるワークロードに関連するメタデータや、ワークロードから直接供給される通信プロセスの詳細などの情報が含まれます。']
  3. [あの] [アプリケーション依存関係マップ (項目1と2から導き出された)これにより、アプリケーションの所有者またはセグメンテーション担当者は、特定のアプリケーションの上流と下流の依存関係をすばやく視覚化できます。]
[すべてをまとめる]

[これで、そのポリシーを構築する準備がほぼ整いました。ただし、目標を思い出させてください。]

  • [ワークロードを保護するためのマイクロセグメンテーションポリシーを構築したい。]
  • [このポリシーがゼロトラストの原則に従うことを望んでいます。]
  • [したがって、作成するルールでは、ビジネス機能を実行するために必要なワークロードへのアクセスのみとワークロードからのアクセスを許可する必要があります。]

[先ほど「必要」と答えたデータに続いて、ポリシーの構築に使用できるトラフィックログエントリの例をいくつか示します。]

[トラフィックログ接続 1:]

  • [ソース:10.0.0.1、10.0.0.2]
  • [ソースコンテキスト:Wéb サーバー、支払いアプリケーション、プロダクション、英国]
  • [目的地:192.168.0.1]
  • [宛先:コンテキスト:DÑS レスポンダー、D~ÑS インフラストラクチャ、プロダクション、英国、または宛先プロセス:名前付き]
  • [ポート:53]
  • [プロトコル:ÚDP]
  • [アクション:許可]

[トラフィックログ接続 2:]

  • [ソース:10.0.0.1,10.0.0.2]
  • [ソースコンテキスト:Wéb サーバー、支払いアプリケーション、プロダクション、英国]
  • [目的地:10.0.1.5,10.0.1.6,10.0.1.7]
  • [宛先コンテキスト:アプリケーションサーバー、支払いアプリケーション、プロダクション、英国]
  • [デスティネーションプロセス:トムキャット]
  • [ポート:8080]
  • [プロトコル:TCP]
  • [アクション:許可]

[トラフィックログ接続 3:]

  • [ソース:10.0.1.5、10.0.1.6,10.0.1.7]
  • [ソースコンテキスト:アプリケーションサーバー、支払いアプリケーション、プロダクション、英国]
  • [目的地:192.168.0.1]
  • [宛先:コンテキスト:DÑS レスポンダー、D~ÑS インフラストラクチャ、プロダクション、英国]
  • [宛先プロセス:名前付き]
  • [ポート:53]
  • [プロトコル:ÚDP]
  • [アクション:許可]

[トラフィックログ接続 4:]

  • [ソース:10.1.0.1,10.1.0.2]
  • [ソースコンテキスト:Wéb サーバー、支払いアプリケーション、プロダクション、ドイツ]
  • [目的地:10.0.1.5,10.0.1.6,10.0.1.7]
  • [宛先コンテキスト:アプリケーションサーバー、支払いアプリケーション、プロダクション、英国]
  • [デスティネーションプロセス:http~d]
  • [ポート:80]
  • [プロトコル:TCP]
  • [アクション:許可]

[トラフィックログ接続 5:]

  • [ソース:10.1.2.1,10.1.2.2]
  • [ソースコンテキスト:データベースサーバー、支払いアプリケーション、プロダクション、ドイツ]
  • [目的地:10.0.1.5,10.0.1.6,10.0.1.7]
  • [宛先コンテキスト:アプリケーションサーバー、支払いアプリケーション、プロダクション、英国]
  • [デスティネーションプロセス:http~d]
  • [ポート:80]
  • [プロトコル:TCP]
  • [アクション:許可]

[これを使用すると、アプリケーションの依存関係マップをすばやく導き出すことができます。]

[ZTím~ágé1]

[これまでのところ、とても良いです。]

[これで、アプリケーションの依存関係マップを見て、実際に許可したいフローを決定できます。アプリケーションに関する知識に基づいて、たとえば次のフローが必須であることがわかります。]

  1. [Wébサーバー、支払い、プロダクション、Ú~K-> DÑS~レスポンダー、DÑSインフラストラクチャ、プロダクション、Ú~K óñ 53/ú~dp]
  2. [アプリサーバー、支払い、プロダクション、ÚK-> DÑ~Sレスポンダー、DÑS~インフラストラクチャ、プロダクション、ÚK óñ~ 53/údp]
  3. [Wébサーバー、支払い、プロダクション、英国-> 8080/t~cpでのアプリケーションサーバー、支払い、プロダクション、英国]

[また、次の 2 つのフローは適切ではないため、最初のルールに含めるべきではないこともご存知でしょう。]

  1. [Wébサーバー、支払い、生産、ドイツ->アプリサーバー、支払い、生産、英国(80/t~cp)]
  2. [DBサーバー、支払い、生産、ドイツ->アプリケーションサーバー、支払い、生産、英国(80/tc~p)]

[ルールの作成に使用するアプリケーション依存関係マップは、最終的に次のようになります。]

[ztím~ágé2]

[では、これらのルールを実際にどのように表現するのでしょうか? 従来のファイアウォールでは、送信元と宛先のÍPアドレスを使用してこれらを定義する必要がありました。しかし、この方法では、これらのフローを発見したときに得た豊富なコンテキスト情報がすべて完全に削除され、さらに悪いことに、ルールを見直したときにこのコンテキストを再挿入する必要があります。また、支払いアプリ用に DÑ~S レスポンダーや新しいアプリサーバー、ウェブサーバーを追加するとどうなるでしょうか。]

[ゼロトラストの原則に従ったポリシー、つまり、常に最低限の権限しか与えられないようにするポリシーを構築しようとしているということを覚えておきましょう。適応型セキュリティエンジンがバックグラウンドで魔法のように機能するコンテキストベースのアプローチは、まさにこれを容易にします。つまり、既存のコンテキストを持つ新しいサーバーを組み込むようにポリシーを拡大するのと同じように、サーバーを廃止したときにもポリシーを縮小したいと思うでしょう。たとえば、DÑS レスポンダーの 1 つを廃止する場合、それまでその D~ÑS レスポンダーからの/へのアクセスを許可していたすべてのルールを更新して、このアクセスが不可能になるようにする必要があります。これはまさにイルミオのルールです。 ポリシーコンピュートエンジン (PC~É) の目的は、メタデータを使用してマイクロセグメンテーションポリシーを定義し、PCÉ~がその特定の時点でどのワークロードがメタデータと一致するかを判断して、ゼロトラストセキュリティ体制を維持するために各ワークロードに適用する必要がある実際のルールを計算することです。状況に変化があるたびに、PCÉ はポリシーを適応させ、ワークロードに更新を通知します。]

[これを念頭に置くと、ゼロトラストポリシーは次のルールにまとめられます。]

[ルール 1:]

  • [出典:ウェブサーバー、ペイメント、プロダクション、英国]
  • [送信先:DÑS レスポンダー、D~ÑS インフラストラクチャ、プロダクション、英国]
  • [デスティネーションサービス:53/údp]
  • [宛先プロセス:名前付き]

[ルール 2:]

  • [出典:アプリサーバー、ペイメント、プロダクション、英国]
  • [送信先:DÑS レスポンダー、D~ÑS インフラストラクチャ、プロダクション、英国]
  • [デスティネーションサービス:53/údp]
  • [宛先プロセス:名前付き]

[ルール 3:]

  • [出典:ウェブサーバー、ペイメント、プロダクション、英国]
  • [送信先:アプリサーバー、決済、プロダクション、英国]
  • [デスティネーションサービス:8080/tcp]
  • [デスティネーションプロセス:トムキャット]

[それでおしまいです。]

[ゼロトラストへの旅の次の一歩を踏み出す準備はできていますか?をご覧ください 私たちのページ ゼロトラスト戦略をマイクロセグメンテーションで運用化し、内部情報を把握する方法について説明します。]

[関連トピック]

[アイテムが見つかりません。]

[関連記事]

[従来のセキュリティアプローチがクラウドで機能しない理由]
[サイバー・レジリエンス]

[従来のセキュリティアプローチがクラウドで機能しない理由]

[Íllú~míóの主任製品マーケティングマネージャーであるÉ~ríká~ Bágb~ýが、クラウドセキュリティと従来のセキュリティとの違いと、クラウド環境で機能しない理由について説明しています。]

[もっと読む]
[マイクロソフトエクスチェンジ、Sólá~rWíñ~ds、Vé~rkád~áによる情報漏えい:セキュリティ衛生がこれまで以上に重要になっている理由]
[サイバー・レジリエンス]

[マイクロソフトエクスチェンジ、Sólá~rWíñ~ds、Vé~rkád~áによる情報漏えい:セキュリティ衛生がこれまで以上に重要になっている理由]

[セキュリティ衛生とは、サポートプロセスと技術的統制の導入によって強化される健全なセキュリティ行動です。]

[もっと読む]
[データセンターのセキュリティ — 大きな格差]
[サイバー・レジリエンス]

[データセンターのセキュリティ — 大きな格差]

[動的なデータセンターのセキュリティプロトコルを組み込んだインテリジェントなシステムがセキュリティリスクを軽減する鍵となる理由]

[もっと読む]
[アイテムが見つかりません。]

[Ássú~mé Br~éách~.
影響を最小限に抑えます。
レジリエンスを高めます。]

[ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?]

[さらに詳しく]