Questions que vous ne savez pas comment vous pouvez vous poser à propos de la microsegmentation : que faut-il pour impliquer votre équipe chargée de l'application ?

Les propriétaires d'applications sont habitués à entretenir des relations distantes avec leurs équipes chargées de la sécurité et du réseau. Le réseau est censé « simplement fonctionner » et les pare-feux sont difficiles à supporter rarement. Après tout, l'infrastructure ne semble pas « proche » de celle du propriétaire moyen d'une application. Mais lorsque les équipes chargées de la sécurité et de l'infrastructure annoncent qu'elles souhaitent déplacer les limites d'application sur le système d'exploitation ou clôturer l'application, les concepts abstraits prennent soudainement une nouvelle réalité.

La principale crainte est que la mise en œuvre des contrôles soit incomplète, provoquant des pannes, ou qu'ils dégradent les performances ou provoquent des maux de tête qui n'existaient pas auparavant. Il est également généralement vrai que sur les instances de serveurs d'applications, l'équipe chargée de l'application exerce un contrôle considérable et peut souvent retarder les implémentations si ses préoccupations ne sont pas prises en compte. Alors, comment développer une relation de confiance durable avec nos propriétaires d'applications, nos équipes DevOps et cloud ?

Prêtez le serment d'Hippocrate

Pour les propriétaires d'applications, la disponibilité des services figure en tête de liste et représente souvent une partie de leurs bonus de performance ou de MBO. Tout ce qui menace la disponibilité des applications se heurtera à une résistance immédiate. Pour cette raison, il est important que les équipes chargées des applications et de l'automatisation sachent que vous avez effectivement prêté le serment d'Hippocrate : vous ne permettrez pas que leur application soit affectée lors de l'élaboration de la politique de microsegmentation. N'oubliez pas qu'ils ont été conditionnés par des coupures et des reconfigurations de pare-feu pour s'attendre à des ruptures chaque fois que les règles de microsegmentation sont ajustées. Mais il n'est pas nécessaire qu'il en soit ainsi. En choisissant une solution dotée d'une solide méthodologie « Construire, tester, appliquer », toutes les politiques de microsegmentation seront testées de manière approfondie aussi longtemps qu'il le faudra pour garantir leur exactitude.

Lors du déploiement initial, n'essayez pas de passer en revue les demandes pour tester ou certifier des agents basés sur l'hôte. Tout agent de qualité passera les tests. Choisissez un agent qui n'est pas en ligne avec le trafic, qui n'est pas un adaptateur réseau virtuel et qui ne modifie pas le noyau, et l'acceptation par le propriétaire de l'application montera en flèche. Évitez les agents en ligne qui échouent soit à l'ouverture (aucune politique de pare-feu) soit à la fermeture (l'application ne fonctionne pas). Choisissez un agent certifié pour fonctionner dans des environnements critiques, tels que Oracle Exadata, et il ne fait aucun doute que l'agent n'est pas sûr. Lorsque vous associez un agent sûr à une procédure d'application sécurisée, les propriétaires de l'application et les équipes opérationnelles peuvent comprendre que vous partagez leurs préoccupations en matière de sécurité et de disponibilité de l'application.

Donnez-leur les moyens de participer

Mais toute solution de segmentation Zero Trust de qualité ira bien au-delà des garanties de sécurité et permettra aux propriétaires d'applications de participer de manière significative. Au minimum, donnez aux propriétaires d'applications l'accès à la visualisation de leur application à l'aide du contrôle d'accès basé sur les rôles (RBAC). Dès qu'ils voient carte des dépendances des applications, le propriétaire de l'application peut vérifier que les flux observés sont attendus et devraient être autorisés. Au fur et à mesure de l'élaboration de la politique, le propriétaire de l'application peut constater que les services de base, les connexions à la base de données et les méthodes d'accès utilisateur nécessaires sont autorisés. Ils font partie de la chaîne d'approbation pour garantir que la politique sécurise et active à la fois. Certaines organisations vont plus loin et donnent aux propriétaires des applications le contrôle de la création de la politique interne des applications. Lorsqu'il est fourni dans le cadre de contrôles RBAC stricts, chaque propriétaire d'application ne peut voir que sa propre application, et le contrôle des politiques peut être délégué et limité comme il le souhaite. L'approbation finale étant réservée aux équipes de sécurité et d'infrastructure, cela confère une véritable appropriation aux équipes opérationnelles et renforce la confiance et la connexion avec les résultats.

Fournir la possibilité d'automatiser

Presque toutes les applications créées ces dernières années sont automatisées dans une large mesure. Ils se tiennent debout à l'aide de scripts fournis par le fournisseur. Ils proposent des API et s'intègrent souvent au SaaS, aux instances cloud, aux conteneurs ou à d'autres technologies avancées d'hébergement d'applications. Pour les équipes DevOps, tout ce qui n'a pas d'API pourrait tout aussi bien ne pas exister !

Les équipes chargées des applications ont toujours été frustrées par la lenteur des règles de microsegmentation saisies manuellement et des processus qui les entourent. Alors, offrez la segmentation en tant que service ! Donnez-leur les clés d'API de votre solution Zero Trust Segmentation. Demandez-leur d'utiliser leurs métadonnées comme source d'abstraction d'étiquettes/de balises ou de politiques. Si leurs métadonnées deviennent le point de départ de la visualisation et des politiques, la microsegmentation peut simplement être demandée à l'API et automatisée dès le premier jour. Montrez aux équipes chargées de l'application comment accéder à la segmentation en tant que service. Encouragez-les à l'intégrer dans leurs run-books et leurs images dorées, puis vous parlerez leur langue maternelle. Tout le monde bénéficie de la mise à jour continue de la politique de microsegmentation tout au long du cycle de vie des applications.

L'activité dépend des applications, et les équipes qui les fournissent et les prennent en charge ne sont pas habituées aux tâches techniques détaillées qu'une équipe de pare-feu exige traditionnellement. Mais la segmentation Zero Trust ne doit pas les enliser ni les empêcher de se heurter à des obstacles. Correctement communiqué et doté de ressources, un déploiement de microsegmentation permettra aux propriétaires de l'application d'interagir en toute sécurité avec le projet. Les meilleures équipes de projet les invitent également à considérer la microsegmentation comme un service disponible piloté par API, au même titre que les autres services SaaS qu'elles utilisent régulièrement. Lorsque la microsegmentation avancée est facile à utiliser, sûre à utiliser et sous leur capacité à contrôler et à influencer, vous trouverez les équipes chargées des applications prêtes à vous aider à protéger leurs systèmes contre les menaces que personne ne souhaite voir affecter.

En savoir plus sur segmentation des applications aujourd'hui.