5 razones por las que a su equipo de firewall le encantará la microsegmentación

Nunca olvidaré un incidente que ocurrió al principio de la historia de nuestros clientes. Acabábamos de completar la capacitación con los equipos de implementación y arquitectura de firewall de un gran cliente. Uno de los administradores principales del firewall levantó la mano y dijo: "Entonces, si entiendo esto correctamente, nunca tendré que volver a escribir una regla de firewall". Sonreí y dije: "Así es".

Seis meses después, estábamos parados juntos en el ascensor y me dijo con entusiasmo cuánto le gustaba la microsegmentación. Le pregunté por qué, y él respondió: "Tenías razón. Ya no escribo ACL y nuestra política es mucho más estricta".

Ese fue un gran momento, pero el simple hecho es que la microsegmentación es excelente para los equipos de operaciones de firewall. Aquí hay cinco razones principales por las cuales.

1. No más ACL manuales. Conceptualmente, escribir reglas de firewall es "fácil": simplemente escriba las reglas para lo que desea que se permita y todo lo demás será denegado. Es cierto a un alto nivel de abstracción, pero cerca de la obra, es una simplificación excesiva significativa. En un firewall tradicional, cada deseo de política debe traducir de la forma en que los propietarios de aplicaciones hablan sobre sus sistemas al idioma de las direcciones IP, subredes y zonas. Con la microsegmentación, el punto de aplicación se mueve a la propia instancia de aplicación, lo que significa que la segmentación no depende de ninguna construcción de red para la aplicación. Cuando se combina con un poderoso motor de computación de políticas, el administrador puede escribir políticas en lenguaje sencillo: "El servidor sitio web se comunica con el servidor de aplicaciones; que a su vez habla con la base de datos. Los servidores sitio web nunca se comunican entre sí ni directamente con la base de datos". Una política simple se puede convertir en una base de reglas aplicable sin que ningún humano necesite conocer una dirección IP, subred o zona. La microsegmentación libera a los administradores de firewall de escribir ACL.
    
2. Obtenga un modelo de directiva escalable. Si bien los firewalls vienen listos para usar con una denegación predeterminada en la parte inferior de la tabla de reglas, crecen rápidamente para tener una combinación compleja de declaraciones de licencia y denegación. Estas directivas mixtas de lista de bloqueados y lista de permitidos escalan mal porque hay una herencia limitada. Siempre que las reglas se mezclen en declaraciones de licencia y denegación, el orden de las reglas importa y eso limita la herencia, ¿qué orden debe observar una política combinada? La microsegmentación funciona con un modelo puro de Zero Trust . Dado que solo hay declaraciones de licencia, la herencia de políticas es fácil: todo lo que puede suceder es que algo se permita más de una vez. Esto facilita la especificación de políticas en cualquier nivel arbitrario de abstracción. Un servidor determinado podría heredar la directiva tanto de una directiva para todo el centro de datos como de una directiva para el entorno de producción y las bases de datos en general. Cuando grandes franjas de la política se originan en plantillas, el trabajo de escribir la política se simplifica y escala mucho mejor.
    
3. Sepa que la política es correcta. Desarrollar una política de firewall no es fácil. Todo el tráfico de aplicaciones debe caracterizar hasta el puerto y el protocolo. Esta información a menudo se encuentra fuera de las manos de los equipos de infraestructura y seguridad. Peor aún, incluso el equipo de la aplicación a menudo no lo sabe, ya que la aplicación puede ser instalada por un proveedor o contratista que ya no está involucrado. La microsegmentación proporciona un rico mapa de dependencias de aplicaciones que todo el equipo puede entender. Dado que el mapa solo muestra datos de la aplicación y no dispositivos de red, los equipos de aplicaciones y DevOps pueden comprender fácilmente los flujos que genera su aplicación y lo que debe proteger. La microsegmentación facilita llegar a un consenso sobre la protección de aplicaciones críticas y proporciona información precisa al equipo de políticas.
    
4. Sepa que la póliza es segura. ¿Cómo se prueba una regla de firewall? Tú no. Los firewall no funcionan de esa manera: escribimos las reglas y, si hay un problema, suena el teléfono. En 2021, eso ya no es suficiente. Con una aplicación completamente nueva, hay espacio para ir y venir con el equipo de la aplicación para ponerla en producción. Pero con las aplicaciones existentes, cualquier error en la política de segmentación provoca una interrupción. La microsegmentación ofrece una mejor manera. Las directivas se mueven a través de un ciclo de vida que incluye etapas discretas de compilación, prueba y aplicación. De esta manera, todos, desde el propietario de la aplicación hasta los equipos de seguridad e infraestructura, pueden validar que la política es "tal como está diseñada" y que la política cubre todas las comunicaciones necesarias. El sencillo mapa de dependencias de aplicaciones facilita saber que la directiva es segura y se puede aplicar a la aplicación.
    
5. Obtenga ayuda de los propietarios de aplicaciones. En cada organización hay muchas más personas en el equipo de aplicaciones que en el equipo de seguridad. Y si consideramos el número de solicitudes frente al número de autores de políticas de segmentación, el contraste sería aún mayor. Dada esta disparidad, siempre es un desafío tratar de ayudar a cada equipo a comprender lo que necesita el equipo de firewall y obtenerlo de manera oportuna. La microsegmentación proporciona visualizaciones y flujos de trabajo diseñados para que los propietarios de aplicaciones formen parte del proceso. Cuando el equipo de la aplicación está involucrado en el proyecto de microsegmentación, es mucho más fácil para ellos respaldar los objetivos de los equipos de seguridad e infraestructura para la aplicación. Genera confianza y elimina el juego de culpas cuando todos pueden ver cómo funciona la aplicación y la interacción de la política de segmentación con esos flujos. Los propietarios de aplicaciones pueden validar fácilmente tanto los flujos como la parte de la aplicación de la directiva, lo que acelera el progreso hacia la aplicación.

La microsegmentación es ideal para los administradores de firewall. Intercambie reglas de firewall manuales para una directiva de lenguaje natural simple que no requiere ningún conocimiento de red. Obtenga un verdadero modelo de política de Confianza cero que se escala fácilmente con herencia completa. Todas las políticas de segmentación deben ser correctas y completas. La microsegmentación hace que este sea un proceso gráfico simple en el que los propietarios de la aplicación pueden participar. Con ellos de su lado, el proyecto de segmentación se vuelve más rápido, fácil y agradable. La microsegmentación es la actualización que los administradores de firewall estuvieron esperando.