.png)
Vereinfachen Sie SDN- und Firewall-Bereitstellungen mit hostbasierter Mikrosegmentierung
Software-Defined Networking (SDN) und Segmentierung werden oft gleichzeitig diskutiert, da beide der Automatisierung Vorrang einräumen. SDN automatisiert viele Aufgaben, die mit Netzwerken verbunden sind, und da die meisten modernen Sicherheitsverletzungen automatisiert sind, sollten Segmentierungstools einem ähnlichen Beispiel folgen. Darüber hinaus wurden Vertrauensgrenzen traditionell so verstanden, dass sie sich in der Netzwerkschicht jeder Cloud-Architektur befinden. Da SDN-Controller die zentrale Verwaltung und Orchestrierung großer Netzwerkarchitekturen ermöglichen, ist es sinnvoll, diese Controller zur besseren Orchestrierung zu segmentieren.
Davon abgesehen sollten Sie bedenken, dass das "N" in SDN für Netzwerk steht. Daher wird jede Segmentierung, die von einem SDN-Controller bereitgestellt wird, so implementiert, dass sie sich auf die Netzwerkherausforderungen und nicht auf die Hostherausforderungen konzentriert. SDN-Controller betrachten Hosts auf herkömmliche Weise als Knoten, die an die Netzwerk-Fabric angehängt sind, und Anwendungen, die auf diesen Hosts ausgeführt werden, werden mit hostzentrierten Tools und nicht mit netzwerkzentrierten Tools verwaltet. Netzwerktools verwalten selten Aufgaben, die für jeden einzelnen Host oder jede einzelne Anwendung spezifisch sind. Controller erstellen Netzwerksegmente, um Entscheidungen zur Weiterleitung des Datenverkehrs in der Netzwerkstruktur zu erzwingen, und diese Entscheidungen werden gemäß den Metriken getroffen, die für Router und Switches am relevantesten sind, einschließlich Netzwerklast, Latenz, Verbindungsfehler und Kosten für dynamische Routingprotokolle. Diese Metriken sind für hostspezifische Segmentierungsanforderungen selten relevant.
Netzwerksegmentierung und hostbasierte Mikrosegmentierung
Beim Definieren von Vertrauensgrenzen führt die Entscheidung, wo relevante Segmente erstellt werden sollen, zu zwei parallelen Unterhaltungen: eine zwischen dem Team, das Hostworkloads verwaltet, und eine zwischen dem Team, das das Netzwerk verwaltet. Beide Teams verwenden den gleichen Begriff – "Segmentierung" oder "Mikrosegmentierung" – aber sie bedeuten unterschiedliche Dinge. Wenn die beiden Teams ihre eigenen Tools verwenden, um jede Art von Segment bereitzustellen und zu verwalten, anstatt zusammenzuarbeiten, führt dies zu einem isolierten Ansatz, der mit zunehmender Größe der Architektur zu betrieblichen Grenzen führt.
Möglicherweise hat Ihr Netzwerkteam beispielsweise Cisco ACI als SDN-Lösung für das Rechenzentrum bereitgestellt. ACI verwendet seine eigenen Mechanismen, um Segmente zu erstellen, wie z. B. Bridge-Domänen und Endpunktgruppen (EPGs). Workloads werden innerhalb von EPGs bereitgestellt und können in kleinere "Mikro-EPGs" aufgeteilt werden, um detailliertere Netzwerksegmente zu erstellen.
Dabei handelt es sich jedoch immer noch um netzwerkzentrierte Segmentierungskonzepte. Wenn Sie beispielsweise zehn Hosts in Ihrem Rechenzentrum haben, können Sie einfach zehn EPG-Segmente in Cisco ACI erstellen, um auf jedem Host eine Vertrauensgrenze durchzusetzen. Wenn Sie jedoch über 100 oder 1.000 Workloads verfügen, ist es betrieblich unrealistisch, 100 oder 1.000 EPG-Segmente für jeden Host zu erstellen. Die Verwendung des SDN-Controllers zum Erstellen einer gleichen Anzahl von Netzwerksegmenten und Hosts lässt sich einfach nicht skalieren.
SDN-Lösungen erstellen ihre eigenen Segmente, um die Prioritäten der Netzwerksegmentierung zu berücksichtigen, aber um einzelne Hosts zu segmentieren, sollten Sie einen hostbasierten Ansatz in Betracht ziehen.
SDN- und Overlay-Netzwerke
Einer der Vorteile von SDN ist die Tatsache, dass Netzwerktopologien nicht mehr von der physischen Topologie von Routern und Switches abhängig sind. Zur Virtualisierung des Netzwerks werden Tunneling-Protokolle wie VXLAN oder GENEVE verwendet. Da das Netzwerk jetzt auf die gleiche Weise virtualisiert werden kann wie Rechen- und Speicherressourcen im Rechenzentrum, werden diese Tunneling-Methoden verwendet, um die programmatische Definition von Netzwerkpfaden und -verbindungen zu ermöglichen, sodass der Controller Netzwerktopologien bei Bedarf schnell neu konfigurieren kann, ohne dass Änderungen an der physischen Infrastruktur erforderlich sind. Auf diese Weise kann die Netzwerkstruktur in einem lokalen Rechenzentrum virtualisiert werden, ähnlich wie Netzwerke in öffentlichen Cloud-Netzwerkstrukturen virtualisiert werden.
Da Overlay-Netzwerke wie VXLAN über eine große Anzahl eindeutiger IDs – über 16 Millionen – verfügen, ist es verlockend, diese IDs zur Erstellung von Mikrosegmentierungsarchitekturen verwenden zu wollen, die es dem SDN-Controller ermöglichen, Segmente für jeden Host im Netzwerk zuzuweisen. SDN-Controller beenden VXLAN-Segmente jedoch nicht auf einzelnen Hosts. Alle diese eindeutigen IDs werden von SDN-Controllern verwendet, um Netzwerkherausforderungen zu lösen, wie z. B. die Kapselung von Layer-2-Paketen innerhalb von Layer-3-Frames. Um die Mikrosegmentierung auf jedem Host zu ermöglichen, muss der verwendete Mechanismus auf dem Host selbst aktiviert werden und nicht von einem externen SDN-Controller, der im Netzwerk eingesetzt wird und sich auf Netzwerkaufgaben konzentriert.
Wie können Tools auf Host-Ebene SDN unterstützen?
Eine Herausforderung für die meisten SDN-Lösungen ist die Transparenz der Anwendungsabläufe. In der Lage zu sein, das Anwendungsverhalten aus der Anwendungsperspektive zu bestimmen, ist eine Herausforderung für Netzwerktools. SDN-Controller haben einen umfassenden Einblick in Netzwerktopologien, Netzwerksegmente, IP-Adressen und Datenverkehrsmetriken, aber es ist oft nicht einfach, sich ein klares Bild vom Verhalten und den erforderlichen Netzwerkressourcen zwischen Ihren SQL-Servern und Ihren Webservern zu machen, z. B. mit SDN-Controllern. Die Kenntnis der dynamischen Anforderungen zwischen Anwendungen in einem Netzwerk ist notwendig, um eine skalierbare Cloud-Architektur zu entwerfen.
Wenn Sie hostbasierte Lösungen wie Illumio in einem Rechenzentrum bereitstellen, das eine SDN-Architektur verwendet, sollten Sie nach Mapping-Funktionen wie unserer Application Dependency Map Ausschau halten, um das Design von Netzwerkressourcen zu unterstützen, die hostspezifische Anforderungen erfüllen. Illumio koexistiert mit jeder SDN-Lösung, und während die Application Dependency Map zur Definition hostspezifischer Segmente verwendet wird, ermöglicht dieselbe Map ein klares Bild der Anwendungsanforderungen, wenn das Netzwerk vom SDN-Controller bereitgestellt und verwaltet wird.
Hostbasierte Mikrosegmentierung und Segmentierung auf Netzwerkebene können und sollten nebeneinander existieren, da sie jeweils eine unterschiedliche Anforderung erfüllen. Durch die Implementierung eines hostbasierten Ansatzes erhalten Sie die Transparenzfunktionen auf Anwendungsebene, die es SDN-Lösungen ermöglichen, Netzwerkressourcen in jeder Cloud-Architektur zu gewährleisten.
Weitere Informationen zum Ansatz von Illumio zur hostbasierten Mikrosegmentierung finden Sie unter https://www.illumio.com/solutions/micro-segmentation
