.png)
Sicherheit im Rechenzentrum – die große Kluft
Da Rechenzentren immer komplexer und dynamischer werden, sehen sich Unternehmen mit einem Strudel von Sicherheitsrisiken konfrontiert. Wir können uns nicht mehr darauf verlassen, dass eine magische Grenze unsere Rechenzentren schützt.
Vor etwa neun Jahren arbeitete ich als angesehener Ingenieur für Juniper, eines der führenden Netzwerksicherheitsunternehmen der Welt. Je länger ich dort arbeitete, desto mehr bröckelten die Netzwerkperimeter meiner Kunden langsam. Infrastructure-as-a-Service und Cloud-Alternativen machten die Implementierung herkömmlicher Sicherheitsdienste unmöglich. Aber erst als ich ging, konnte ich die Kluft zwischen dieser alten und der neuen Welt, in der es ständig Veränderungen gibt, vollständig angehen.
Das adaptive Sicherheitssystem von Illumio weist den Weg vom statischen Sicherheitsmodell der Vergangenheit zum zunehmend dynamischen Rechenzentrum von heute.
In dieser neuen Welt beschleunigt die Virtualisierung von Rechenzentren die Einführung von Rechen-, Speicher- und Netzwerkdiensten. Self-Service-IT und die DevOps-Kultur der kontinuierlichen Bereitstellung erhöhen das Tempo zusätzlich. Doch bei all diesen Fortschritten blieb die Sicherheit auf der Strecke, was den Fortschritt oft verzögerte. Die SecOps-Leute sind nun in die wenig beneidenswerte Lage gezwungen, Nein zu Cloud-Architekturen sagen zu müssen, während alle anderen Ja sagen.
Illumio wurde aus diesem Chaos geboren.
Es geht uns nicht darum, das Netzwerk oder die Infrastruktur besser (oder virtuell) zu machen – wir sind von diesen Einschränkungen grundlegend abgekoppelt. Das adaptive Sicherheitssystem von Illumio weist den Weg vom statischen Sicherheitsmodell der Vergangenheit zum zunehmend dynamischen Rechenzentrum von heute. Hier wird es spannend.
Drei Wahrheiten und die große Kluft
1. Wir leben in einer Welt des ständigen Wandels. Wir müssen dies mit all seinen Herausforderungen und Vorteilen annehmen.
Rechenzentren in der Vergangenheit waren sehr stark an ihre physische Umgebung gebunden. Die Anwendungen liefen direkt auf Bare-Metal, mit direkt angeschlossenem Speicher und physischen Kabeln, die diese Maschinen miteinander verbanden. Diese Welt war statisch.
Unsere Rechenzentren müssen heute mit unzähligen Veränderungen Schritt halten. Mit der kontinuierlichen Anwendungsbereitstellung werden neue Versionen schneller als je zuvor bereitgestellt. Durch die Servervirtualisierung können Workloads einfacher und häufiger verschoben und dynamisch skaliert werden. Infrastructure-as-a-Service ermöglicht es nahezu jedem, Server und Anwendungen bereitzustellen und bereitzustellen.
Durch ein Sicherheitssystem, das sich an unsere Entscheidungen anpasst, sind wir produktiver, wir können Dinge überall platzieren und wir sind von zentralisierter Kontrolle und starren Organisationen befreit.
Traditionell waren wir für die Zuverlässigkeit auf die Infrastruktur angewiesen, aber wenn wir größere und komplexere Rechenzentren bauen, kann ein Ausfall der Infrastruktur nicht vermieden werden. Aus diesem Grund hat Google vor langer Zeit die Philosophie übernommen, dass neue Softwarearchitekturen entwickelt werden müssen, um zuverlässige Anwendungen auf einer grundlegend unzuverlässigen Infrastruktur auszuführen.
Während das Rechenzentrum all diese Veränderungen durchlaufen hat, wurde die Sicherheit an statische und Engpassmodelle gefesselt. Und es hält uns zurück. Wir realisieren nicht den vollen Nutzen unserer Technologieinvestitionen in das dynamische Rechenzentrum.
Wir wussten, dass die Sicherheitsarchitektur von Illumio den Wandel annehmen und ermöglichen musste.
Durch ein Sicherheitssystem, das sich an unsere Entscheidungen anpasst, sind wir produktiver, wir können Dinge überall platzieren und wir sind von zentralisierter Kontrolle und starren Organisationen befreit. Wir können einfacher skalieren.
Um dies zu erreichen, wussten wir, dass unser System vom Netzwerk und der Infrastruktur entkoppelt werden musste. Die Entkopplung ermöglicht es uns, eine Sicherheitslösung zu liefern, die jederzeit konsistent funktioniert, und zwar über alle Arten von Änderungen in der Rechenzentrumsumgebung hinweg.
Wir wussten auch, dass das System vollständig verteilt sein musste.Herkömmliche Netzwerksicherheitssysteme lenken den Datenverkehr oft zu einem zentralen Engpass, der wenig bis gar keinen Kontext hat. Aufgrund umfangreicher Anforderungen kann oft nur ein Teil Ihrer Workloads tatsächlich verarbeitet und gesichert werden. Dieser Brute-Force-Mechanismus führt auch zu blinden Flecken, Fehlalarmen und einer größeren Angriffsfläche.
Um diese Einschränkungen zu überwinden und eine ausreichende Abdeckung mit genügend Flexibilität zu bieten, haben wir die Sicherheit an Orten platziert, die traditionell schwierig waren. Wir können nun in Orte sehen, die vorher verborgen waren. Das ist in etwa so, als hätte man eine Matrix von Bodyguards in jedem Zimmer eines Hotels, anstatt nur die Sicherheitskräfte an der Haustür – es ist ein Kollektiv, das alle unter einer Reihe von Richtlinien zusammenarbeitet.
2. Automatisierung reicht nicht aus. Intelligente Systeme treiben uns voran.
Automatisierung maskiert nur die Komplexität. In der IT gibt es viele Systeme, die interagieren, und die meisten von uns wenden viel Energie darauf auf, alles zum Laufen zu bringen. Wir fügen Automatisierungs- und Abstraktionsebenen hinzu, um Probleme zu verbergen oder zu bewältigen. Diese Schichten stapeln sich übereinander und bilden ein schwaches Fundament, das das Wachstum nicht tragen kann.
Die einfache Virtualisierung des alten Modells in der neuen Welt würde nicht ausreichen. Der Weg nach vorn musste ein völlig anderer sein. Es musste intelligent genug sein, um sich an diese völlig andere Welt anzupassen, in der Geschwindigkeit und Reaktionsfähigkeit die neuen Herausforderungen sind.
Damit ein intelligentes System effektiv handeln kann, braucht es gute Daten als Grundlage. Sie braucht ein umfassendes Verständnis der Welt, in der sie tätig ist. Es braucht Kontext.
Es sind viele Formen von Kontext erforderlich, und sie müssen kombiniert werden, um ein vollständiges Bild zu zeichnen. Unser System sammelt Kontext über die Workload selbst, die Beziehungen und die Kommunikation zwischen den Workloads und der Umgebung, in der die Workload ausgeführt wird.
Als Nächstes wussten wir, dass die Lösung ein dynamisches und reaktionsschnelles System erforderte.
Wir haben ein Sprach- und Richtlinienmodell entwickelt, das sich an die Funktionsweise von Benutzern und Rechenzentren anpasst: ein einfaches, aber leistungsstarkes, deklaratives, labelbasiertes System. Dies ist keine zusätzliche Schicht gegenüber dem Modell der alten Welt, sondern ein brandneuer Ansatz.
Das Illumio-System speist kontinuierlich Kontext- und Beziehungsdaten in das deklarative Richtlinienmodell ein und berechnet das Diagramm neu, um eine konsistente Sicherheitsrichtlinie zu gewährleisten. Wir entlasten den Benutzer von der Implementierung jeder Änderung... Denn in einer so dynamischen Welt wäre es absurd, von einem Menschen zu erwarten, dass er bei jeder Veränderung alle Abhängigkeiten und Zusammenhänge versteht und neu abbildet. Bei Illumio legen die Menschen die Richtlinie fest und unsere Sicherheitsplattform setzt sie um.
3. Die Welt ist hybrid. Sicherheit muss überall funktionieren.
Da Software und Dinge, die "as-a-Service" sind, immer wichtiger werden, verbinden APIs unzählige verschiedene Umgebungen und schaffen eine Vielzahl von Sicherheitsherausforderungen.
Wir alle wissen, dass Systeme, die an eine Plattform gebunden sind oder in einem einzigen Ökosystem arbeiten, in dieser heterogenen und hybriden Welt nicht erfolgreich sind. Wir brauchen die Freiheit, die richtigen Tools und Systeme zu wählen. Und wir brauchen diese, um nahtlos und bedarfsgerecht zu funktionieren, ohne dass wir uns Sorgen machen müssen, dass sich Divergenzen, Inkonsistenzen und Fehler einschleichen.
Das heutige Sicherheitssystem muss mit uns arbeiten, nicht gegen uns. Er sollte dorthin gehen, wo wir hinwollen, und das tun, was wir brauchen.
Wir haben unser System so entwickelt, dass es auf jeder Computerplattform funktioniert, einschließlich Bare-Metal-Servern und virtuellen Maschinen. Das System funktioniert auch in jeder Umgebung, einschließlich Unternehmensrechenzentren, Amazon Web Services, Google Compute Engine, Microsoft Azure und OpenStack.
Das beste Werkzeug für die Reise ist ein intelligentes System, das ein einheitliches Erlebnis bietet und die Fortschritte im Rechenzentrum optimal nutzt.
Die große Kluft durchqueren
Diese drei grundlegenden Wahrheiten sind in alles, was wir bei Illumio tun, eingewoben. Wir haben die große Kluft überwunden, und die Vorteile sind enorm. Das beste Werkzeug für die Reise ist ein intelligentes System, das ein einheitliches Erlebnis bietet und die Fortschritte im Rechenzentrum optimal nutzt.
Das Team hier bei Illumio ist sehr stolz auf das, was wir heute auf den Markt bringen, und ich freue mich darauf, mehr darüber zu berichten, während wir weiterhin Lösungen für die neue Welt liefern.
