Uncategorized

ゼロトラストを実装するための6つのステップ

  1. HOME >
  2. Uncategorized >

ゼロトラストを実装するための6つのステップ

多くの場合、組織はゼロトラストをオールオアナッシングの提案と見なします。この場合、システム内のすべてが統合されて初めてメリットが実現します。しかし、これは真実から遠くなることはできませんでした。企業がゼロトラストモデルにコミットすることを妨げる主な懸念の1つは、「ブラウンフィールド」環境には、ゼロトラストを実装する前に対処する必要のある技術的負債が多すぎることです。

彼らの考えでは、このセキュリティアプローチは、新鮮な、つまり「グリーンフィールド」環境にのみ適用できます。組織でさえ、セキュリティがビジネスの俊敏性を妨げると信じているため、躊躇しています。

ゼロトラストに関して企業が躊躇する本当の理由は、プロセスの理解の欠如と上記の神話の不幸な影響によるものです。Forresterのゼロトラストフレームワークは、包括的なゼロトラスト戦略を提供する7つの柱、つまりデータ、人、ワークロード、デバイス、ネットワーク、自動化とオーケストレーション、および可視性と分析の概要を明確に示しています。さまざまな要素が設定されているのを見た後でも、企業はゼロトラストとリンクできる領域の数に圧倒されていると感じるかもしれません。これは古典的な「海を沸騰させる」問題です。

しかし、企業が代わりに、途中の各段階でメリットが実現される、より段階的で機敏なアプローチを採用した場合はどうなるでしょうか。このアプローチにより、セキュリティ体制が定期的かつ測定可能に改善されるだけでなく、プロセス全体でさらなる機能の統合が容易になります。

ゼロトラストの実装

これは、組織がゼロトラストセキュリティモデルを採用するのに役立つ、シンプルで6ステップの繰り返し可能なプロセスです。

1.セキュリティの優先順位を特定する

長期的な目標を追求して短期的な勝利を探す場合、企業は、ゼロトラストセキュリティモデルを採用することで最もメリットが得られる単一またはコレクションのアプリケーションをターゲットにすることを検討する必要があります。これは、主要な意思決定者がより認識している重要なアプリケーションです。これは、途中で投資収益率ROI)を示すのに役立ちます。

企業はまた、これが学習プロセスであることを理解する必要があります。したがって、保護しようとしているものについてさらに学習するときに、アプローチを快適に適応させる必要があります。ゼロトラストを採用するということは、企業が通常のアクセスモデルを再配置することを意味し、これには利害関係者の勧誘と教育が必要になる場合があります。ただし、プロセスの一部は、これらの依存関係を理解し​​、プログラムでそれらに対応することです。

企業が保護したいものを特定したら、最初に焦点を当てるべきゼロトラストの柱の決定に進むことができます。

2.最初のゼロトラストピラーを選択します

Forresterのゼロトラストモデルのすべての柱に取り組むことは、非常に野心的で非現実的です。ビジネスの全体的な目的は、迅速かつ測定可能な進歩を遂げることであるため、多くの分野に取り組むことを選択することは逆効果になります。この段階で保護するアプリケーションを特定する際に企業が非常に焦点を絞ったアプローチをとるのと同じように、ゼロトラスト自体にアプローチする方法を決定する際にも同様の態度を適用する必要があります。

実際に組織で利用できるツールがあります。その一例が、組織によるゼロトラストの採用におけるギャップを特定するのに役立つように設計されたForresterのゼロトラストモデル評価ツールです。このようなツールは、たとえばワークロードの保護や不要なアクセシビリティのギャップを埋めるなど、どの柱に焦点を当てるべきかについての洞察を提供します。

3.特定のコントロールを開発する

次の段階は、達成しようとしている正確な制御を指定することです。ステップ2で主要な焦点が特定されると、企業は、ゼロトラストプロセスの次の段階に進むために、適切なセキュリティ管理策を調達できます。したがって、評価によってアプリケーションワークロードへの過剰なネットワークアクセスが特定された場合、ワークロードを保護し、横方向の動きに関連するリスクへの露出を制限するために、マイクロセグメンテーション採用することをお勧めします。

4.必要なデータを特定します

プロセスの次の段階では、企業はまず、制御を効果的に実装するために必要な情報を特定する必要があります。結果を達成する特定のポリシーを構築するには、データと可視性が必要です。

ゼロトラストの効果的な実装は、ポリシーの策定に役立つコンテキスト情報へのアクセスに依存していることを覚えておくことが重要です。ワークロードを保護するコンテキストでのマイクロセグメンテーションの場合、標準のトラフィックレポートの外部にある最小のメタデータは、データセンターのアプリケーションと環境のコンテキストでワークロードを記述するメタデータです。

5.ポリシーを作成します

これらのデータポイントが照合されると、企業はこの特定のビジネスプロセスに対してゼロトラストセグメンテーションポリシーを構築し、それを検証できます。この段階では、ソースを取得する必要がある3つのデータがあります。まず、保護されているワークロードのリアルタイムのトラフィックイベント。

次に、ワークロードに関連付けられたメタデータや、ワークロードから直接供給される通信プロセスの詳細など、各ワークロードと接続のコンテキストデータが重要です。

最後に、ビジネスには、アプリケーションの所有者またはセグメンテーションの実践者が特定のアプリケーションのアップストリームとダウンストリームの依存関係をすばやく視覚化できるようにするアプリケーション依存関係マップ(最初の2つのデータに基づく)が必要です。このアプリケーション依存関係マップを利用して、アプリケーションが機能するために必要な依存関係のみへの接続を許可するマイクロセグメンテーションポリシーを構築できます。ゼロトラストポリシーは許可リストアプローチを採用します。許可するものを正確に指定し、拒否します。デフォルトでは他のすべて。

6.検証、実装、監視

ポリシーが適用されると、利用可能なトラフィックと改ざんの監視により、企業は環境の姿勢を継続的に監視し、手動または自動化によって変更に対応できます。この段階で、ビジネスの他の要素が影響を受ける可能性があることを理解し、リスクを軽減する必要があります。

セグメンテーションの取り組みにおいて、最大のリスクを伴う段階は、他のトラフィックがワークロードに出入りすることを許可されないように作成されたポリシーを適用することです。ポリシーが間違っていると、生産停止を引き起こす可能性があります。したがって、問題を迅速に検出して修正できるように、施行への移行を管理し、監視する十分な機会を確保する必要があります。ここでポリシーテストが重要になります。これにより、企業は最終システムに適用する前に「テスト環境」で新しいプロセスをセットアップできます。

システムにわずかな中断を加えて、新しいプロセスをできるだけ早く立ち上げて実行することの重要性を考えると、組織は理想的には、一度に多くの領域に取り組むことによって、ゼロトラストジャーニーで大きな飛躍を遂げることを望んでいません。

6つのステップがすべて正常に完了したら、ステップ1に戻ってもう一度開始します。今回は、別の領域に焦点を当てます。このプロセスを繰り返すことで、組織はゼロトラストの実装を段階的に拡張し、全体的なセキュリティ状態を継続的に改善して、最終的にはインフラストラクチャ全体をカバーすることができます。

ポリシーが実施されても、プロセスはそこで終了しません。企業は、予期しないものがないかトラフィックイベントを継続的に監視し、通常とは異なるものを調査する必要があります。ゼロトラストはセキュリティ戦略であり、それ自体の結果ではありません。組織は、ゼロトラストの柱全体での自身の成熟度を継続的に理解している必要があります。これにより、組織は、より焦点を当てる必要がある組織を引き続き特定し、その成熟度を向上させるための段階的な措置を講じることができます。

-Uncategorized