.png)
Was ist wichtig bei einem Richtlinienmodell für Mikrosegmentierung?
Von allen Funktionen, die in einer Mikrosegmentierungslösung besprochen werden müssen, würden die meisten Anbieter nicht mit dem Richtlinienmodell beginnen. In Bezug auf das potenzielle Ergebnis, das eine bestimmte Lösung erzielen könnte, bestimmt das Politikmodell, was möglich ist. Daher ist das Nachdenken darüber, was in einem Policenmodell notwendig ist, eine hervorragende Vorbereitung auf eine qualitativ hochwertige Kaufentscheidung mit geringem Bedauern. Lassen Sie uns jede der wichtigen Komponenten eines wünschenswerten Mikrosegmentierungsrichtlinienmodells untersuchen.
Mehrdimensionale Etiketten
Mikrosegmentierungsrichtlinien verwenden Labels, um die Segmentierung von der zugrunde liegenden Netzwerkadressierung und den Geräten zu abstrahieren. Im Idealfall sind diese Etiketten "sinnvoll mehrdimensional". Ein flacher Namensraum mit unbegrenzten Bezeichnungen ist nicht nützlich. Es bietet keine Zusammenfassung oder Struktur zum Aufhängen von Richtlinienanweisungen, die viele Computer betreffen. Wenn Sie jedes System in einem flachen Namespace bezeichnen, ist dies kaum besser, als nur IP-Adressen zum Angeben der Richtlinie zu verwenden. Interessanterweise sollte zwar die Anzahl der Bezeichnungen innerhalb einer bestimmten Richtliniendimension nicht begrenzt werden, das Einschränken von Richtliniendimensionen hat sich jedoch bei umfangreichen Bereitstellungen als nützlich erwiesen.
Wir Menschen können uns leicht vier Dimensionen vorstellen: drei physische Dimensionen plus Zeit zum Beispiel. Aber wenn die Physiker Recht haben und wir in einem 11- oder 13-dimensionalen Raum leben, kann nur die Mathematik diese Dimensionen erfassen. Sie sind in unserem Gehirn unmöglich zu visualisieren. Dies hat praktische Konsequenzen für die Mikrosegmentierung. Sie können einen Computer so programmieren, dass er eine 11-dimensionale Richtlinie versteht und berechnet, aber kein Mensch wird in der Lage sein, sie zu verstehen. Menschen müssen in der Lage sein, Mikrosegmentierungsrichtlinien zu inspizieren, zu prüfen und zu verstehen.
Unserer Erfahrung nach können vier Dimensionen selbst die größten Netzwerke der Welt für politische Zwecke effektiv modellieren, während wir gleichzeitig unsere Fähigkeit bewahren, das Modell zu verstehen. Suchen Sie also nach einem Richtlinienmodell, das mehr als nur Flat-Tag- oder Label-Space bietet. Die Struktur einiger weniger Dimensionen funktioniert auf der Skala von Hunderttausenden von Systemen, bleibt aber leicht zu verstehen und zu handhaben. Sehen Sie sich dieses Video an, um mehr über die Leistungsfähigkeit von Etiketten zu erfahren.
Modell mit umfangreichen Objekten
Eine Sprache für Qualitätsrichtlinien verfügt über ein ausreichend reichhaltiges Objektmodell. Ein Hyperscale-Unternehmensrechenzentrum ist ein komplexer Ort. Es liegt auf der Hand, dass das Modell alles aufnehmen muss, was geschützt werden muss: Server, VMs, Container, Cloud-Instanzen usw. Aber diese geschützten Systeme reichen nicht aus, um alle nützlichen politischen Primitive zu abstrahieren. Sie benötigen Objekte für Dienst-/Portzuordnungen und IP-Adressbereiche. Innerhalb von gemeinsam genutzten Servern – z. B. eines Servers mit mehreren Datenbankinstanzen – müssen Sie in der Lage sein, diese Instanzen als eigenständige virtuelle Dienste voneinander zu abstrahieren. Container und Containerhosts sollten sowohl "Bürger erster Klasse" sein, die in allen Visualisierungen angezeigt werden, als auch Teil von Richtlinienanweisungen. Interessanterweise ist es auch wichtig, das Objektmodell um ungeschützte Systeme zu ergänzen – vor allem in den frühen Phasen des Deployments, wenn mehr Dinge ungeschützt als geschützt sind und diese Systeme miteinander kommunizieren. Die Möglichkeit, alle Flows sauber darzustellen, macht es viel einfacher, die gewünschte Richtlinie anzugeben. Die besten Lösungen sind sogar in der Lage, Richtlinien für die nicht verwalteten Objekte zu erstellen, wenn Sie sie für den Export und eine mögliche Implementierung zur Verfügung haben möchten.
Erbschaft
Die Richtlinienvererbung ist die einzige Möglichkeit, Mikrosegmentierungsrichtlinien zu skalieren, um ein vorhandenes Rechenzentrum abzudecken. Wenn etwa 80 Prozent des Datenverkehrs innerhalb des Rechenzentrums fließen, bedeutet dies, dass die vorhandenen Perimeter-Firewall-Regeln nur 20 Prozent des Datenverkehrs abdecken. Das bedeutet, dass innerhalb des Rechenzentrums das Potenzial für fünfmal so viele Regeln vorhanden ist, wie derzeit in allen Firewalls vorhanden sind! Die vom Richtlinienmodell bereitgestellten Abstraktionen und seine nützliche Dimensionalität müssen mit einem reinen Zulassungslisten-Richtlinienmodell kombiniert werden. Nur auf diese Weise kann eine Richtlinie einmal geschrieben werden, um sie in vielen Fällen anzuwenden. Vererbung und intelligente Richtlinienautomatisierung rund um gängige Mikrosegmentierungsrichtlinien, wie z. B. Anwendungs-Ringfencing, bilden zusammen die einzige bewährte Methode, um Zehntausende von Systemen erfolgreich zu segmentieren.
Deklarativ vs. Imperativ
Das einzige Richtlinienmodell, mit dem mehr als 100.000 Workloads erfolgreich mikrosegmentiert werden können, verwendet eine deklarative Methode, um den Wunsch nach Segmentierung auszudrücken. Bei einem deklarativen Richtlinienmodell muss nur das gewünschte Ergebnis angegeben werden. Ein imperatives Politikmodell erfordert, dass die Lösung genau spezifiziert wird, um das Ergebnis zu erzielen. Ein traditionelles Firewall-Regelwerk ist unerlässlich: Jede Anweisung muss in perfekter Reihenfolge und mit perfekter Genauigkeit vorhanden sein, damit der gewünschte Schutz vorhanden ist. Dies führt zu endlosen Schwierigkeiten und Komplexitäten. Die ideale Mikrosegmentierungsrichtlinie verwendet jedoch ausschließlich deklarative Sprache: "Ich möchte die Anwendung "Bestellung" in meiner Produktionsumgebung abgrenzen." Wie dies erreicht wird, ist die Aufgabe der Policy Compute Engine hinter der Richtliniensprache. Auf diese Weise ist die Richtlinie immer leicht zu spezifizieren, leicht zu verstehen und leicht zu entwickeln. Angesichts des Umfangs der zu erledigenden Arbeit wird alles andere zum Scheitern führen.
Konsequente Anwendung
Wenn alle notwendigen Primitive vorhanden sind, werden sie von den besten Mikrosegmentierungslösungen in jedem Bereich des Produkts konsistent eingesetzt. Bezeichnungen dienen nicht nur der Richtlinienerstellung, sondern müssen auch die Sichtbarkeit, die Richtlinienverteilung und die Richtliniendurchsetzung beeinflussen. Die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) sollte der Label-Struktur genau folgen, damit Anwendungsbesitzer, DevOps und andere auf alles zugreifen können, was sie benötigen, aber nicht auf mehr. Insbesondere die Absicherung automatisierter Deployments erfordert genau diese Delegationsfähigkeit. Eine nützliche, klare und einfache Etikettenstruktur schafft ein mentales Modell, wenn sie konsequent angewendet wird. Fast sofort verstehen Administratoren intuitiv, wie die Lösung funktioniert, und können Ergebnisse vorhersehen. Diese Intuition verwandelt sich schnell in Geschwindigkeit, Geschwindigkeit in Meisterschaft und Meisterschaft in abgeschlossene Projekte. Einfachheit, Klarheit und Konsistenz sind die Lösung für komplexe Rechenzentrumsumgebungen.
Vollständige Abstraktion
Ich sage gerne, dass die Automatisierung Metadaten zum Frühstück isst. Automatisierung kann nicht schneller ablaufen, als sie abstrahiert werden kann. Ein erfolgreiches Politikmodell muss alle Spuren der Netzwerkadressierung und des Durchsetzungsmechanismus selbst abstrahieren. Die Politik darf sich nur mit dem befassen, was gewünscht ist. Auf diese Weise kann die Automatisierung leicht das Ergebnis aussprechen: "Web must communicate to App". Die Regeln, die erforderlich sind, um dies zu erreichen, werden sich in einer dynamischen Cloud oder automatisierten Umgebung ständig ändern, und diese Komplexität kann dem Automatisierungsframework nicht zugänglich gemacht werden, wenn es skaliert werden soll. Eine Richtlinie, die sich auf IP-Adressen stützt, lässt sich einfach nicht skalieren, egal wie gut sie gemeint ist. Ebenso muss der Durchsetzungsmechanismus ausgeblendet werden. Sobald der Wunsch geäußert wurde, sollte die Mikrosegmentierungsrichtlinien-Engine herausfinden, wie diese Richtlinie unter Berücksichtigung der ihr bekannten Ressourcen am besten implementiert werden kann. Auf diese Weise ändert sich mit dem Kommen und Gehen von Systemen die Anzahl der Durchsetzungspunkte und damit auch die Richtlinien- und Regelbasis. Nur eine vollständig abstrahierte Richtlinie gibt DevOps und Cloud-Architekten die Fähigkeiten, die sie benötigen, um nahtlos mit der Mikrosegmentierungslösung zu interagieren.
Groß angelegte Politik
Vor vielen Jahren dominierte die Megafauna die Erde. Riesige Versionen von Pflanzen und Tieren gab es auf jedem Kontinent, und sie überragten die Arten, die wir heute haben. Die besten Richtlinienmodelle enthalten Skalenfaktoren, die über die einfachen Beschreibungen einzelner Anwendungen hinausgehen. Die Möglichkeit, beliebige Bezeichnungen über beliebige Richtliniendimensionen hinweg zu gruppieren, ermöglicht es, dass sich einzelne Richtlinien auf Systeme in mehreren Rechenzentren, Umgebungen oder Anwendungen auswirken. Bei der Erstellung von Richtlinien für Hyperscale-Unternehmen bewegen sich diese "Mega-Richtlinien" mit erstaunlicher Reichweite, Geschwindigkeit und Effizienz, um das Unternehmen mit Mikrosegmentierungsrichtlinien abzudecken.
Ein Politikmodell mag wie ein abstraktes und unwichtiges Konzept erscheinen. Aber für einen erfolgreichen Einsatz von Mikrosegmentierung könnte nichts weiter von der Wahrheit entfernt sein. Das Politikmodell bestimmt, was ausgedrückt werden kann und was nicht und wie einfach oder schwer es sein wird, dies zu tun. Ein Unternehmen kann die Farbe seiner Benutzeroberfläche schnell ändern, aber es wird Schwierigkeiten haben, ein defektes oder falsch gestaltetes Richtlinienmodell zu reparieren. Das weltweit bewährteste Modell für Mikrosegmentierungsrichtlinien bietet eine vollständige Abstraktion von Netzwerkadressierungs- und Durchsetzungspunkten durch ein "sinnvoll dimensionales" Label-Modell. Dieses Modell wird konsequent durch jede Funktion des Produkts getragen. Wenn vollständige Objektmodelle mit Vererbungs- und deklarativen Modellen kombiniert werden, ist es möglich, das Wunschergebnis einfach und schnell anzugeben und es in der Welt wahr zu machen. Die Mikrosegmentierung ist bei der Skalierung von Hunderttausenden von Workloads nur durch ein ausgereiftes, vollständiges und gut konzipiertes Richtlinienmodell erfolgreich.
Als Nächstes erörtern wir in dieser Serie Fragen zur Mikrosegmentierung, die Sie nicht stellen sollen, was es braucht, um die Mikrosegmentierungsrichtlinie zu automatisieren.
