ゼロトラストセグメンテーションは、CISAの新しいゼロトラスト成熟度モデルのどこに位置付けられるのか?
先週、CISAは待望のものを発表しました ゼロトラスト成熟度モデル 2.0 — 2021年に初めてリリースされた、業界を肯定するゼロトラスト成熟度モデル(ZTMM)の最新版。
CISAのZTMMは、現代の組織が「急速に変化する環境と技術環境の中で」どのようにサイバーレジリエンスを構築できるかを大まかに概説しています。また、これはバイデン政権の2021年の重要な延長でもあります。 国のサイバーセキュリティの改善に関する大統領令 そのため、連邦政府機関はゼロトラストアーキテクチャ(ZTA)を開発して実装する必要がありました。
具体的なことはなく、全体として、連邦政府の長期的なレジリエンス目標のより一般的な概要も示されていませんが(このようなアーキテクチャガイドによくあることですが)、連邦政府によるゼロトラストの勢いが続くことは常に有望です。そして、それと セグメンテーション このような最新の戦術は、さまざまな柱や成熟度レベルにわたるガイダンスを随所に散りばめ、連邦政府機関がサイバーレジリエンスの目標をより効果的に達成するのに役立ちます。
ここでセグメンテーションが活躍します
多くの場合、連邦IT部門の担当者がセグメンテーションについて考えるとき、最初に思い浮かぶのはネットワークです。更新された ZTMM も例外ではありません。ネットワークセグメンテーションは、CISAのZTAのネットワークピラーに関するセクション5.3には、技術能力全体として含まれています。CISAは、初期段階のネットワーク・セグメンテーションは次のようになっていると書いています。「政府機関は、重要なワークロードを分離し、接続性を最小機能の原則に制限し、サービス固有の相互接続に移行するネットワークアーキテクチャの導入を開始する」と書いています。
具体的には、最小権限の実践 (つまり、暗黙の信頼の制限) から始め、重要なワークロードをサーバーから切り離してセグメント化し始めるということです。簡単そうに聞こえますよね?
次に、CISAは、従来のレベルでのマクロセグメンテーションの実装から、高度で最適な段階でのより粗粒度のマイクロセグメンテーションの適用まで、成熟度レベル全体でネットワークセグメンテーション機能がどのようなものかを拡張します。
先進的な連邦政府機関の場合、ネットワークセグメンテーションアプリケーションは次のようになります。「政府機関は、エンドポイントとアプリケーションプロファイルの分離メカニズムの展開を、入力/出力マイクロペリメーターとサービス固有の相互接続により、より多くのネットワークアーキテクチャに拡大します。」
次のようなソリューションで イルミオエンドポイント、Illumioを使用すると、成熟度レベルを問わず、あらゆる組織がゼロトラストセグメンテーション(ZTS)をエンドポイントまで簡単かつシームレスに適用できます。
ZTS の原則はネットワークバケットだけに限定されません。5.4節では、適用と応用について説明しています。 ワークロードセキュリティ、CISAは初期段階で、「政府機関は、有効期限のあるリクエストごとにコンテキスト情報(ID、デバイスコンプライアンス、その他の属性など)を組み込んだアプリケーションへのアクセス許可機能の実装を開始します」と書いています。
上級段階では、「エージェンシーは、コンテキスト情報を拡張し、最小権限の原則に準拠した有効期限条件を適用して、アプリケーションへのアクセス決定を自動化します。」
また、可視性とセグメンテーションが役立つ場所でもあります。アイデンティティとデバイスに関する強制境界を設け、最小権限の原則を適用し、検証済みのコンテキストに基づいてポリシーを自動化できます。
連邦政府最高技術責任者(CTO)が教えるその他の重要なポイント
新しいZTMMでは必ずしも中心的ではありませんが、実際にはセグメンテーションはすべての分野に当てはまり、あらゆるゼロトラストレベルの組織にとって不可欠な(そして実現可能)ものです。率直に言って、このテクノロジーがようやくそれにふさわしい賞賛を得ることは期待できますが、やるべきことはまだあります。
特に、連邦政府機関がゼロトラスト成熟のより進んだ段階に到達しようとしているため、可視性とセグメンテーションが不可欠です。ハイブリッド環境全体 (クラウド、オンプレミス、エンドポイント、IT/OT) を可視化することは、自社が持っているものを理解し、何を保護すべきかを知るための鍵です。さらに、デバイスのコンプライアンスやその他の要件に基づいてアクセスを許可する常識的なポリシーを導入すれば、サイロ化なく一貫したポリシーを適用できます。
ZTSは、ZTAの強化を目指す連邦政府機関にとって単なる積極的な統制ではありません。また、連邦政府機関がそれを確実に実施できるように、プロアクティブな戦略が不可欠です。 行う 突破されても任務は妨げられることなく続けられる実際、イルミオ ZTS を活用している組織は、 66% 突破による衝撃(または爆発半径)の縮小と救済 380万ドル 停電やダウンタイムが減ったためです。結局のところ、真のZTAは、成熟しつつある組織だけでなく、高度で持続的な脅威の両方の原因となります。
方法について詳しく知ることができます イルミオのZTSは連邦政府機関を支援できます ゼロトラストの目標を実現しましょう。