.png)
Simplifique las implementaciones de SDN y firewall con microsegmentación basada en host
Las redes definidas por software (SDN) y la segmentación a menudo se discuten simultáneamente porque ambas priorizan la automatización. SDN automatiza muchas tareas relacionadas con las redes, y dado que la mayoría de las brechas de seguridad modernas están automatizadas, las herramientas de segmentación deberían seguir un ejemplo similar. Además, tradicionalmente se entendió que los límites de confianza residen en la capa de red de cualquier arquitectura en la nube. Debido a que los controladores SDN permiten que las arquitecturas de red a gran escala se gestionen y organicen de forma centralizada, tiene sentido agregar segmentación a esos controladores para una mejor orquestación.
Dicho esto, debe tener en cuenta que la "N" en SDN significa redes. Por lo tanto, cualquier segmentación implementada por cualquier controlador SDN se implementará para centrar en los desafíos de la red, no en los desafíos del host. Los controladores SDN ven los hosts de la manera tradicional, como nodos que se conectan a la estructura de red, y las aplicaciones que se ejecutan en esos hosts se gestionan mediante herramientas centradas en el host, no en herramientas centradas en la red. Las herramientas de red rara vez gestionan tareas específicas de cada host o aplicación. Los controladores crean segmentos de red para aplicar decisiones de reenvío de tráfico en la estructura de red, y estas decisiones se toman de acuerdo con las métricas que son más relevantes para enrutadores y conmutadores, incluida la carga de red, la latencia, las fallas de vínculo y los costos del protocolo de enrutamiento dinámico. Estas métricas rara vez son relevantes para los requisitos de segmentación específicos del host.
Segmentación de red y microsegmentación basada en host
Al definir los límites de confianza, decidir dónde crear segmentos relevantes dará como resultado dos conversaciones paralelas: una entre el equipo que gestiona las cargas de trabajo del host y otra entre el equipo que gestiona la red. Ambos equipos usarán el mismo término, "segmentación" o "microsegmentación", pero significarán cosas diferentes. Si los dos equipos emplean sus propias herramientas para implementar y gestionar cada tipo de segmento, en lugar de trabajar juntos, el resultado será un enfoque aislado que conducirá a límites operativos a medida que crezca la escala de la arquitectura.
Por ejemplo, su equipo de redes puede implementar Cisco ACI como su solución SDN de centro de datos. ACI emplea sus propios mecanismos para crear segmentos, como dominios de puente y grupos de puntos finales (EPG). Las cargas de trabajo se implementan dentro de las EPG y se pueden dividir en "micro EPG" más pequeñas para crear segmentos de red más granulares.
Sin embargo, estos siguen siendo conceptos de segmentación centrados en la red. Si tiene diez hosts en su centro de datos, por ejemplo, simplemente puede crear diez segmentos EPG en Cisco ACI para aplicar un límite de confianza en cada host. Pero si tiene 100 o 1.000 cargas de trabajo, no es realista desde el punto de vista operativo crear 100 o 1.000 segmentos de EPG para cada host. El uso del controlador SDN para crear un número igual de segmentos de red y hosts simplemente no se escalará.
Las soluciones SDN crearán sus propios segmentos para abordar las prioridades de segmentación de la red , pero para segmentar hosts individuales, debe considerar un enfoque basado en hosts.
SDN y redes superpuestas
Uno de los beneficios de SDN es el hecho de que las topologías de red ya no dependen de la topología física de enrutadores y conmutadores. Los protocolos de tunelización, como VXLAN o GENEVE, se emplean para virtualizar la red. Dado que la red ahora se puede virtualizar de la misma manera que los recursos informáticos y de almacenamiento del centro de datos, estos métodos de tunelización se emplean para permitir que las rutas y los enlaces de red se definan de manera programática, lo que permite al controlador reconfigurar rápidamente las topologías de red según sea necesario sin necesidad de cambios en la infraestructura física. Esto permite virtualizar la estructura de red en un centro de datos local, de manera similar a cómo se virtualizan las redes en las estructuras de red de nube pública.
Dado que las redes superpuestas, como VXLAN, tienen una gran cantidad de ID únicos, más de 16 millones, es tentador querer usar estos ID para crear arquitecturas de microsegmentación que permitan al controlador SDN asignar segmentos para cada host de la red. Pero los controladores SDN no terminan los segmentos VXLAN en hosts individuales. Todos estos ID únicos son empleados por los controladores SDN para resolver desafíos de red, como encapsular paquetes de capa 2 dentro de tramas de capa 3. Para habilitar la microsegmentación en cada host, el mecanismo empleado debe habilitar en el propio host y no en ningún controlador SDN externo que se implemente en la red y se centre en tareas de red.
¿Cómo pueden ayudar las herramientas de nivel de host a SDN?
Un desafío para la mayoría de las soluciones SDN es la visibilidad de los flujos de aplicaciones. Ser capaz de determinar el comportamiento de la aplicación desde la perspectiva de la aplicación es un desafío para las herramientas de red. Los controladores SDN tienen una visibilidad profunda de las topologías de red, los segmentos de red, las direcciones IP y las métricas de tráfico, pero obtener una imagen clara del comportamiento y los recursos de red necesarios entre los servidores SQL y los servidores sitio web, por ejemplo, a menudo no es fácil con los controladores SDN. Conocer los requisitos dinámicos entre aplicaciones en una red es necesario para diseñar una arquitectura de nube escalable.
Al implementar soluciones basadas en host, como Illumio, en un centro de datos que emplea una arquitectura SDN, debe buscar capacidades de asignación, como nuestro mapa de dependencia de aplicaciones, para ayudar en el diseño de recursos de red que aborden los requisitos específicos del host. Illumio coexiste con cualquier solución SDN, y aunque el mapa de dependencia de la aplicación se emplea para definir segmentos específicos del host, este mismo mapa permite una imagen clara de los requisitos de la aplicación cuando la red es implementada y gestionada por el controlador SDN.
La microsegmentación basada en host y la segmentación a nivel de red pueden y deben coexistir, ya que cada una aborda un requisito diferente. Al implementar un enfoque basado en host, se le otorgan las capacidades de visibilidad a nivel de aplicación que permiten que las soluciones SDN garanticen los recursos de red en cualquier arquitectura de nube.
Para obtener más información sobre el enfoque de Illumio para la microsegmentación basada en hosts, visite https:\/\/www.illumio.com\/solutions\/micro-segmentation
