Guia de um arquiteto para implantar a microssegmentação: cinco lugares para “se apoiar”
Na Illumio, vimos que alguns dos mais bem-sucedidos microsegmentação as implantações resultam de uma visão clara das considerações de design, do processo e da equipe necessária com antecedência. Mais informações levam a implantações mais fáceis, e é por isso que documentei as lições aprendidas e as melhores práticas comprovadas ao trabalhar em centenas de implantações de clientes para ajudá-lo em sua jornada de microssegmentação.
Para uma rápida retrospectiva, aqui está onde você pode encontrar:
- Parte 1, que discute as implicações de alterar seu modelo de segurança (ou seja, implantar a microssegmentação em vez de continuar com os firewalls tradicionais de leste a oeste).
- Parte 2, que explora a estrutura de equipe recomendada para implantações ideais de microssegmentação.
- Parte 3, onde examinamos os pontos de verificação específicos a serem observados durante o processo de implantação para evitar possíveis obstáculos.
Percorremos um longo caminho e aqui levaremos essa discussão um passo adiante.
Toda organização tem barreiras não oficiais e oficiais ao implantar uma nova tecnologia ou adotar uma nova abordagem para proteger sua organização. Cada membro da equipe responsável internalizou o que é aceitável que eles façam e quando precisam de alguma aprovação, “cobertura aérea” ou permissão para agir. Se a equipe não o tiver, o progresso será interrompido e é muito fácil perder uma semana ou mais se os horários de viagem atrasarem as reuniões internas necessárias para resolver os problemas.
Em minha experiência, há cinco lugares em que o patrocinador executivo ou delegado de confiança (conforme discutido na parte 2 desta série) pode “se apoiar” e acelerar o projeto com uma decisão, que descrevi abaixo.
Cada um desses também é o ponto em que algo pode dar errado com consequências reais. A equipe naturalmente ficará avessa ao risco nesses momentos e ficará grata quando, depois de apresentar seus preparativos e precauções, for instruída a seguir em frente e fazer o que é planejado. Eles também são pontos no plano de implantação que a equipe de gerenciamento provavelmente receberá telefonemas, e-mails ou visitas da equipe do projeto para pedir ajuda, aprovação ou orientação, por isso é importante entender com antecedência para evitar atrasos óbvios posteriormente.
Cinco lugares para “se apoiar”
1. Permissão para instalar agentes de microsegmentação em massa
A equipe de servidor/OPS terá sensibilidade neste momento, mesmo após testes e validações completos. Muitas vezes, é útil ter um “push” ou uma consulta executiva para garantir que isso aconteça e que todas as notificações e processos corretos tenham sido seguidos.
2. Aprovando (e exigindo) a saída dos modos somente de monitor e lidando com quebras
Quando os agentes são movidos para o modo de criação de políticas, eles assumem o controle total do firewall do sistema operacional ou instalam o seu próprio. Embora seja extremamente improvável, dados os testes e a validação que terão ocorrido, ainda existe a possibilidade remota de afetar uma carga de trabalho. Em algum momento, a equipe precisará de liderança para seguir em frente e corrigir o que der errado em vez de analisar indefinidamente. Espere que seu fornecedor tenha orientação sobre como tornar isso o mais fácil possível.
3. Aprovação das diretrizes políticas iniciais e das regras resultantes
Conforme discutido acima, a definição inicial da política é uma meta importante para a equipe. Eles precisam saber se isso é correto e aceitável para que todos possam correr em direção a ele. Também será um ponto de encontro para o líder técnico evitar desvios no escopo do projeto. Psicologicamente, a maioria dos administradores de segurança está acostumada a programar em conjuntos de regras que foram minuciosamente examinados por um processo existente. Escrever o primeiro conjunto de regras provavelmente não usará esse processo, e ter uma política inicial definida e aprovada oferece cobertura aérea e conforto para que todos possam operar.
4. Garantir que o fluxo de trabalho e o processo internos sejam criados corretamente
Antes de entrar no ambiente PROD, é importante garantir que a equipe tenha coordenado com todas as pessoas, processos, aprovadores e partes interessadas certos. A surpresa é muito ruim quando os riscos são altos. É bom inspecionar o processo cuidadosamente e garantir que a equipe não tenha perdido ninguém ou nenhum colega executivo que precise saber.
5. Aprovando (e exigindo) uma mudança para a aplicação de políticas e lidando com as quebras
Semanas de implementação e teste cuidadosos da política inicial de microssegmentação farão com que a equipe se sinta confiante sobre a mudança para a aplicação da política. Na fiscalização, a microssegmentação bloqueará todo o tráfego que não seja expressamente permitido. Isso é “um grande passo”. É por isso que muitas organizações compraram a microssegmentação e, muitas vezes, os auditores inspecionam os resultados. Em um grande projeto, é quase certo que algo será perdido, desconhecido ou não explicado. Nos dias ou semanas seguintes, algo será bloqueado e chamadas telefônicas serão feitas.
Isso é verdade com firewalls de hardware e com microssegmentação. Em algum momento do projeto, o patrocinador executivo saberá que todos os preparativos razoáveis foram feitos. Nesse ponto, a equipe precisará e desejará aprovação para prosseguir. Sem liderança e comunicação claras, a organização tenderá a se inclinar para a segurança de se mover para o lado, em vez do risco controlado de seguir em frente. A decisão executiva correta motivará o progresso e comunicará claramente a prioridade de seguir em frente.
Você pode evitar essas (e outras) armadilhas planejando cada instância com antecedência e se preparando adequadamente. Conforme mencionado acima, a transparência está no centro de toda essa discussão.
Na quinta e última parte desta série, explorarei a melhor forma de gerenciar seu relacionamento com o fornecedor e como manter a integridade operacional. Para saber mais, leia meu guia abrangente sobre o Medium hoje: https://medium.com/@nathanael.iversen/executive-guide-to-deploying-micro-segmentation-60391e7d1e30