L'introduzione di un nuovo modello di sicurezza nell'infrastruttura esistente può essere difficile. Il compito diventa ancora più arduo quando si inizia con una nuova soluzione basata su host o di microsegmentazione. Se hai deciso un approccio alla segmentazione basato sull'host, vorrei condividere, in base all'esperienza personale, alcuni consigli e best practice sull'utilizzo di questo tipo di soluzione nella tua organizzazione.
Ricerca e Sviluppo
Il business case che ha spinto la tua organizzazione ad adottare una soluzione di segmentazione basata su host fungerà da punto di riferimento per la tua progettazione iniziale. Tuttavia, è essenziale considerare come interagirà con la tua tuta Strategia di sicurezza informatica.
Raccomando di dedicare del tempo a identificare e definire chi all'interno dell'organizzazione sarà coinvolto come utenti, supporto, governance o proprietari. La soluzione scelta potrebbe avere un componente agente installato sul sistema operativo host e un cluster per la gestione di agenti, criteri e raccolta di metadati. Di conseguenza, le linee di responsabilità tra i team di sicurezza, reti e piattaforme potrebbero diventare sfocate.
Inoltre, ci sono probabilmente programmi critici in corso che potrebbero influenzare la selezione del prodotto finale, quindi assicurati di indagare su altre aree in cui la tua organizzazione sta investendo il proprio budget tecnologico. Ad esempio, considera l'attuale strategia cloud della tua azienda e il modo in cui la segmentazione basata su host potrebbe collegarsi ad essa.
Per esempio:
- Ti rivolgerai a container, bare metal e server virtuali? In caso affermativo, quali sistemi operativi devono essere supportati?
- Come verranno gestite le politiche firewall tradizionali esistenti con l'introduzione delle politiche basate su host?
- Esistono requisiti normativi o risultati che una soluzione di microsegmentazione o visibilità può risolvere?
Con il passare del tempo, man mano che vengono raccolte più informazioni sulla visibilità, diventerà più facile identificare le aree in cui i dati di visibilità basati su host possono fornire valore e aiutare a definire casi d'uso marginali. Grazie ai casi d'uso della segmentazione e alle risposte a queste domande, diventa più facile selezionare un prodotto e iniziare le fasi iniziali di progettazione e test.
La piena saturazione della distribuzione degli agenti nell'organizzazione delineerà eventuali limitazioni potenziali e considerazioni speciali prima di entrare nella fase di progettazione dei criteri. Tentare di implementare e implementare le politiche mentre si procede è possibile ma, secondo la mia esperienza, può porre sfide significative che possono portare alla necessità di riprogettare la propria politica e la struttura dell'etichettatura lungo la strada. Inoltre, la natura delle regole basate sull'etichetta consente agli host di aggiornare la propria policy in modo dinamico, quindi se i dati sulla visibilità vengono persi e una policy viene ereditata senza una corretta profilazione, l'applicazione potrebbe risentirne.
Testing
Ho scoperto che la fase di test del prodotto è fondamentale per determinare se la soluzione che hai selezionato soddisfa le aspettative e funziona come pubblicizzato. Prestare particolare attenzione alla convalida della soluzione in base ai criteri di aderenza ai controlli di sicurezza dell'organizzazione di sicurezza, al ripristino di emergenza, agli avvisi, alla compatibilità del sistema operativo e alle prestazioni. Questa volta sarà anche la tua migliore opportunità per ottenere informazioni dettagliate su come funziona una soluzione.
Testare accuratamente l'applicazione e l'etichettatura per vedere come la soluzione interagisce con l'infrastruttura dell'organizzazione. Prova i potenziali casi d'uso e analizza come i dati sulla visibilità vengono gestiti tramite i bilanciatori del carico. Inoltre, mantieni i tuoi ingegneri di test strettamente coinvolti nella progettazione della politica. Saranno in grado di identificare potenziali lacune e tutte le soluzioni alternative necessarie possono essere sviluppate prima del lancio della produzione.
È buona norma mantenere anche i rappresentanti di tutti i team associati coinvolti nei test. Ciò garantisce loro l'opportunità di familiarizzare con il prodotto e avere la possibilità di convalidare la soluzione rispetto alle piattaforme che supportano. Una volta completato il test, includere qualsiasi approvazione necessaria al di là delle parti interessate. Prendi in considerazione i team di rete, sicurezza, ingegneria dei server e distribuzione. Le firme mancanti possono ritardare la distribuzione lungo la strada.
Perfezionare il tuo design
Le lezioni apprese durante i test porteranno quasi sicuramente a revisioni sia nel progetto che nel suo design. Potrebbe essere necessario affrontare situazioni come la gestione di risorse non identificate (senza etichetta), le limitazioni dei criteri, le tabelle IP esistenti e la funzionalità dell'agente. È possibile finalizzare qualsiasi modifica alla progettazione dell'infrastruttura per supportare il dimensionamento, la scalabilità e l'ambiente di ripristino di emergenza. È possibile bloccare i casi d'uso e l'ambito, ma anche assicurarsi che l'etichettatura contestuale e la strategia politica siano ben definite.
Molti team applicativi eseguiranno determinate funzioni su base mensile, trimestrale o annuale. Prenditi del tempo per contattare i team delle applicazioni e determinare se e quando eseguire il ripristino di emergenza o l'elaborazione batch speciale. Progettare la sequenza temporale di profilazione per tenere conto di questi fattori aggiuntivi se non possono essere affrontati nella progettazione delle politiche fin dall'inizio.
Inoltre, prima della distribuzione in produzione, finalizza il tuo modello di supporto. Identificare chi sarà in ultima analisi responsabile della gestione del prodotto. Considera i diversi componenti della soluzione e affronta il modo in cui ciascuno dovrà essere supportato.
Ad esempio, assicurati di aver documentato le risposte ai seguenti scenari:
- In che modo prevedete di supportare l'agente residente sull'host, i componenti di gestione, il ripristino di emergenza, la distribuzione degli agenti e le politiche?
- I proprietari delle applicazioni saranno a conoscenza della soluzione di sicurezza e, in tal caso, come possono richiedere assistenza in caso di impatto?
- Se verrà aggiunta una connessione a un host già in esecuzione, come sarà il processo?
- Come verranno monitorate le eccezioni alle politiche e la governance?
- Se viene rilevata una connettività sospetta, quale processo seguirà e di chi è la responsabilità di indagare?
- Qual è la tua strategia di ricertificazione della polizza?
Soluzione di microsegmentazione: definire il successo
Dopo aver finalizzato i casi d'uso e aver acquisito una solida comprensione della soluzione, è il momento di definire i criteri di successo e il monitoraggio. Prendi in considerazione l'utilizzo di funzioni di reporting integrate o API per raccogliere e analizzare i dati rilevanti. Potresti voler segnalare il numero di singoli sistemi o applicazioni in applicazione, il numero di implementazioni o la percentuale complessiva di riduzione del vettore di minacce. L'utilizzo di un report Top Talkers basato sull'applicazione o sull'host crea un elemento utilizzabile arricchito con informazioni sulla visibilità dell'host.
In molte organizzazioni, ci sarà meno tempo per implementare integrazioni e automazione una volta che si è entrati nella fase di applicazione. Ciò significa che maggiore è il tempo e l'impegno che dedichi alla creazione dei componenti fondamentali del progetto di soluzione di segmentazione basata su host, più facile sarà la gestione a lungo termine. Raccomando inoltre alle organizzazioni di automatizzare presto e spesso.
Crea i progetti di soluzioni e integrali nel tuo CMDB, SOAR, SIEMe piattaforme di avviso il più rapidamente possibile. Dopo aver iniziato ad applicare le politiche di segmentazione, assicurati di utilizzare i dati di visibilità della soluzione basata su host per identificare i servizi dell'infrastruttura e designare le relative etichette. L'applicazione della politica a livelli significa che all'inizio non è necessario che sia la più sicura. Concentrati sull'accuratezza e mantenendo la politica basata sull'etichetta il più dinamica possibile. Nel tempo puoi rafforzare i controlli e applicare i tuoi casi d'uso specifici.
Di fronte alla realtà di un panorama di sicurezza informatica in continua evoluzione, le organizzazioni prendono sempre più in considerazione una soluzione di microsegmentazione basata su host. L'adozione è in crescita poiché le organizzazioni cercano di migliorare le posizioni di sicurezza con una strategia di difesa approfondita, ridurre i costi e la complessità sfruttando una progettazione di rete piatta o semplificare gli sforzi per la conformità. Si spera che i consigli di cui sopra possano aiutare chiunque cerchi di rendere operativa una nuova soluzione di questo tipo, evitare le sfide comuni e realizzare il successo del progetto.
