Guia de um arquiteto para implantar a microsegmentação: gerenciando o processo de implantação
Parte 1 e parte 2 desta série explora as implicações de alterar seu modelo de segurança e os recursos necessários para o sucesso com sua implantação de microssegmentação.
Na parte 3, examinaremos a melhor forma de gerenciar o processo de implantação com pontos de verificação específicos para adicionar ao seu plano.
De muitas maneiras, a implantação da microssegmentação é apenas mais um projeto de TI. Há trabalho técnico, trabalho político e trabalho de coordenação, assim como em qualquer projeto. Abaixo, destacarei as considerações especiais que tornam a implantação da microssegmentação o mais fácil possível. Essas são as “melhores práticas” que extraímos de muitas implantações corporativas de grande escala e podem ser adaptadas para implantações de qualquer tamanho.
Garanta um amplo treinamento de visão geral para toda a equipe do projeto
Consiga o maior número possível de pessoas por meio da aula de treinamento de visão geral do fornecedor. Isso fundamenta os participantes na arquitetura, na linguagem política e nos principais conceitos de microssegmentação. Quando toda a equipe do projeto faz isso em conjunto, todo o processo de design se torna mais robusto. Cada membro da equipe multifuncional listada acima tem uma visão diferente da TI e entende as restrições e a arquitetura existente de um ponto de vista exclusivo.
Quando cada pessoa sabe o suficiente sobre a implantação da microssegmentação para verbalizar onde as complicações podem surgir, os testes ou a certificação obtidos e outros detalhes desse tipo, é muito mais fácil criar um plano de implantação completo. Quanto mais cedo essas perspectivas forem ouvidas no processo de planejamento, melhor. Se a equipe for contratada uma a uma à medida que o projeto avança, muitos itens do “caminho crítico” só serão descobertos semanas depois. Esse aviso antecipado dá a toda a organização mais tempo para planejar e reagir.
Espere resultados de design completos
Uma implantação de microssegmentação tem vários conceitos novos, como observamos acima. Isso precisa ser refletido no plano e no cronograma do projeto. Se o plano do projeto tiver apenas marcos técnicos e perder a coordenação, as notificações entre equipes e outros pontos de contato, o projeto demorará várias semanas até o final do projeto. Toda empresa organiza e acompanha projetos com sabor local, mas cada projeto deve ter:
- Um plano de implantação detalhado. Um fornecedor deve fornecer um modelo do “trabalho a ser feito” que contenha todas as “lições aprendidas” e as “melhores práticas”. Isso deve ser integrado a um plano de implantação acionável, com nomes e datas atribuídos conforme apropriado. O plano deve ser aprovado pelas equipes que o executam e o patrocinador executivo deve esperar uma cadência de relatórios sobre o progresso.
- Um plano de rotulagem e metadados. Como a política de microssegmentação é baseada em nomes e rótulos em vez de endereços IP, a equipe precisará avaliar as fontes de dados atuais e identificar lacunas. Para operações contínuas, pode ser necessário criar ou aprimorar políticas e fluxos de trabalho sobre como os metadados são criados e mantidos à medida que os aplicativos vêm e vão.
- Uma política de segurança inicial detalhada. Nossas implantações mais rápidas ocorreram quando a equipe de implantação tinha um objetivo político claro no início do projeto. A microssegmentação é capaz de oferecer mais granularidade do que as empresas tinham no passado. Para a maioria dos nossos clientes, a microssegmentação oferece muito mais do que o necessário inicialmente. A equipe inteligente do projeto cumprirá primeiro as metas do projeto e não se envolverá em tudo o que eventualmente será possível com a plataforma. É melhor detalhar a política inicial e fazer com que a equipe se esforce para atingir esse objetivo. Depois que todas as cargas de trabalho estiverem protegidas pela política de segurança inicial, a restrição poderá ser feita de acordo com as necessidades da empresa, ajustada ao risco. Evite “tentar ferver o oceano”.
- Uma lista e uma descrição de toda a automação necessária e quem a escreverá. A implantação em massa de agentes, a importação de rótulos e metadados e muitas outras coisas provavelmente serão feitas por meio da automação. Dependendo de qual equipe assumir a posição de líder técnico, esse trabalho pode ser feito por outras equipes. Isso exigirá agendamento e coordenação extras. Saber com antecedência exatamente o que é necessário e até quando ajudará cada equipe a evitar surpresas e a se manter no caminho certo.
- Uma lista e uma descrição de todos os pontos de integração necessários e quem fará isso. No mínimo, os registros operacionais e de segurança provavelmente serão enviados para um SIEM ou uma plataforma de análise de big data. Personalização adicional, painéis e outras ferramentas podem ser necessárias. Muitas vezes, essa é uma área que envolve outras equipes além da equipe líder do projeto. Seu fornecedor terá engenheiros de serviços profissionais com experiência específica e precisará usar os recursos certos para seu projeto. É importante descobrir quem está fazendo qual trabalho no início do projeto para que os cronogramas se alinhem.
- Uma lista dos processos e fluxos de trabalho internos que serão afetados pela implantação da microssegmentação. A microsegmentação muda a forma como sua organização cria políticas de segurança. Se alguém alterar rótulos ou metadados, isso alterará a política de segurança aplicada a uma carga de trabalho. Em teoria, isso não é diferente de solicitar uma alteração na regra do firewall. No entanto, a maioria das organizações descobre que há fluxos de trabalho importantes que precisam ser aplicados ou estendidos para que as salvaguardas existentes sejam aplicadas. Espere que a equipe os identifique e os eleve aos níveis apropriados de coordenação e aprovação. Isso é fundamental para facilitar a propriedade a longo prazo de uma solução de microssegmentação e um trabalho que não pode ser feito sem a aprovação e a coordenação do nível gerencial.
Cadência de relatórios
As implantações de microssegmentação acontecem sem problemas quando há três níveis de relatórios, cada um com sua própria cadência:
- Status técnico do projeto: O líder da equipe, os engenheiros de serviços profissionais do fornecedor e outras pessoas profundamente engajadas no nível do trabalho precisam se comunicar regularmente. Freqüentemente, vemos isso em horários tão curtos quanto diários até em uma chamada de status semanal no final. Essas chamadas normalmente são conduzidas pelos PMs e pelo líder técnico e se concentram diretamente no trabalho. Uma grande variedade de pessoas é convidada para esta chamada e participa conforme necessário.
- Status do projeto: Esta é uma chamada com a participação dos PMs, do líder da equipe e dos gerentes e diretores interessados de ambos os lados. Normalmente, isso é quinzenal ou uma vez por mês. Ele foi projetado para comunicar o status geral de vermelho e verde, identificar lacunas, solicitar escalações ou recursos adicionais, etc. Não é uma chamada técnica, mas uma chamada de gerenciamento de projetos projetada para manter o fornecedor e a empresa informados sobre o status.
- Status executivo: As empresas implantam a microssegmentação para obter benefícios comerciais específicos. Uma cadência mensal ou trimestral com o patrocinador executivo, os executivos do fornecedor e o gerente de contas garante que o projeto ainda esteja alinhado com as metas e prioridades gerais do negócio. Ele fornece um fórum permanente para ambas as equipes interagirem e priorizarem adequadamente para o sucesso do projeto. Normalmente, essa é uma reunião de 30 minutos, mas pode se estender por mais tempo antes de marcos importantes, como entrar na fiscalização pela primeira vez.
E é isso. No centro de toda implantação bem-sucedida de microssegmentação está a comunicação. Quando todos os membros da equipe são devidamente treinados, os resultados são definidos e cumpridos e a cadência dos relatórios é acordada e mantida, uma implantação eficaz de microssegmentação não só é possível, mas mais fácil do que você imagina.
Confira a parte 4 desta série, na qual discutiremos cinco lugares onde “se apoiar” para acelerar o sucesso com sua implantação de microssegmentação.