Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

¿Qué es importante en un modelo de política para la microsegmentación?

Illumio Editorial
Illumio Editorial
19de marzo de 2021
23 min. leer

De todas las características a discutir en una solución de microsegmentación, la mayoría de los proveedores no comenzarían con el modelo de política. Sin embargo, en términos del resultado potencial que podría crear una solución determinada, el modelo de directiva determina lo que es posible. Por lo tanto, pensar en lo que es necesario en un modelo de política es una excelente preparación para tomar una decisión de compra de alta calidad y bajo arrepentimiento. Examinemos cada uno de los componentes importantes de un modelo de política de microsegmentación deseable.

Etiquetas multidimensionales

Las directivas de microsegmentación emplean etiquetas para abstraer la segmentación del direccionamiento y los dispositivos de red subyacentes. Idealmente, estas etiquetas serán "útilmente multidimensionales". Un espacio de nombres plano de etiquetas ilimitadas no es útil; no ofrece ningún resumen ni estructura para colgar las declaraciones de política que afectan a muchas máquinas. Si etiqueta todos los sistemas en un espacio de nombres plano, es apenas mejor que simplemente usar direcciones IP para especificar la política. Curiosamente, aunque no se deben poner límites en el número de etiquetas dentro de una dimensión de directiva determinada, la restricción de las dimensiones de directiva demostró ser útil en implementaciones a gran escala.

Los humanos podemos visualizar fácilmente cuatro dimensiones: tres dimensiones físicas más tiempo, por ejemplo. Pero, si los físicos están en lo cierto y vivimos en un espacio de 11 o 13 dimensiones, solo las matemáticas pueden capturar esas dimensiones. Son imposibles de visualizar en nuestros cerebros. Esto tiene consecuencias prácticas para la microsegmentación. Puede programar una computadora para comprender y calcular una política de 11 dimensiones, pero ningún humano podrá entenderla. Los humanos deben poder inspeccionar, auditar y comprender las políticas de microsegmentación.

En nuestra experiencia, cuatro dimensiones pueden modelar eficazmente incluso las redes más grandes del planeta con fines políticos, al tiempo que preservan nuestra capacidad de comprender el modelo. Por lo tanto, busque un modelo de directiva que tenga más que una etiqueta plana o espacio de etiqueta. La estructura de unas pocas dimensiones funciona a la escala de cientos de miles de sistemas, pero sigue siendo fácil de entender y trabajar. Mira este video para obtener más información sobre el poder de las etiquetas.


Modelo de objetos enriquecidos

Un lenguaje de política de calidad tendrá un modelo de objetos suficientemente rico. Un centro de datos empresarial de hiperescala es un lugar complejo. Es obvio que el modelo debe acomodar todo lo que necesita ser protegido: servidores, VMs, contenedores, instancias en la nube, etc. Pero estos sistemas protegidos no son suficientes para abstraer todas las primitivas políticas útiles. Debe tener objetos para asignaciones de servicios/puertos e intervalos de direcciones IP. Dentro de los servidores compartidos, tal vez un servidor con varias instancias de base de datos, debe poder abstraer estas instancias entre sí como servicios virtuales distintos. Los contenedores y los hosts de contenedores deben ser "ciudadanos de primera clase" que aparezcan en todas las visualizaciones y formen parte de las declaraciones de directiva. Curiosamente, también es importante agregar sistemas desprotegidos al modelo de objetos, especialmente en las primeras fases de implementación, cuando hay más cosas desprotegidas que protegidas y estos sistemas se comunican entre sí. Ser capaz de representar todos los flujos de forma limpia hace que sea mucho más fácil especificar la política deseada. Las mejores soluciones incluso podrán crear políticas para los objetos no gestionados si desea tenerlos disponibles para su exportación y posible implementación.

Herencia

La herencia de políticas es la única forma de escalar la política de microsegmentación para cubrir un centro de datos existente. Si alrededor del 80 por ciento del tráfico fluye dentro del centro de datos, eso implica que las reglas de firewall perimetral existentes solo cubren el 20 por ciento del tráfico. ¡Eso significa que existe el potencial de cinco veces más reglas dentro del centro de datos que las que existen actualmente en todos los firewalls! Las abstracciones proporcionadas por el modelo de directiva y su dimensionalidad útil deben combinar con un modelo de directiva de lista de permitidos puro. Solo de esta manera se puede escribir una política una vez para que se aplique en muchos casos. La herencia y la automatización inteligente de políticas en torno a políticas comunes de microsegmentación, como la delimitación de aplicaciones, se combinan para formar la única forma comprobada de segmentar decenas de miles de sistemas con éxito.

Declarativo vs. imperativo

El único modelo de directiva que microsegmenta correctamente más de 100 000 cargas de trabajo emplea un método declarativo para expresar el deseo de segmentación. Un modelo de directiva declarativa solo requiere que uno especifique el resultado deseado. Un modelo de política imperativo requiere que la solución se especifique exactamente para crear el resultado. Un conjunto de reglas de firewall tradicional es imperativo: cada declaración debe estar presente en perfecto orden y con perfecta precisión para que exista la protección deseada. Esto causa un sinfín de dificultades y complejidades. Sin embargo, la política de microsegmentación ideal emplea exclusivamente un lenguaje declarativo: "Quiero delimitar la aplicación Ordering dentro de mi entorno de producción". Cómo se logra eso es asunto de Policy Compute Engine detrás del lenguaje de políticas. De esta manera, la política siempre es fácil de especificar, fácil de entender y fácil de desarrollar. Dada la escala del trabajo a realizar, cualquier otra cosa resultará en un fracaso.

Aplicación consistente

Cuando existan todas las primitivas necesarias, las mejores soluciones de microsegmentación las emplearán de manera consistente en todas las áreas del producto. Las etiquetas no son solo para la creación de directivas, sino que deben informar sobre la visibilidad, la distribución de directivas y la aplicación de directivas. El control de acceso basado en roles (RBAC) debe seguir la estructura de etiquetas exactamente para que los propietarios de aplicaciones, DevOps y otros puedan acceder a todo lo que necesitan, pero no más. La seguridad de las implementaciones automatizadas en individua exige esta capacidad de delegación precisa. Una estructura de etiquetas útil, clara y simple crea un modelo mental cuando se aplica de manera consistente. Casi de inmediato, los administradores comprenden intuitivamente cómo funciona la solución y pueden anticipar los resultados. Esta intuición se convierte rápidamente en velocidad, la velocidad en maestría y la maestría en proyectos terminados. La simplicidad, la claridad y la consistencia son la solución para entornos de centros de datos complejos.

Abstracción completa

Me gusta decir que la automatización se come metadatos para el desayuno. La automatización no puede avanzar más rápido de lo que se puede abstraer. Un modelo de política exitoso debe abstraer cualquier vestigio de direccionamiento de red y el mecanismo de aplicación en sí. La póliza debe tratar solo con lo que se desea. De esta manera, la automatización puede establecer fácilmente el resultado: "El sitio web debe hablar con la aplicación". Las reglas necesarias para que esto sea cierto cambiarán constantemente en una nube dinámica o en un entorno automatizado, y esa complejidad no puede exponer al marco de automatización si se va a escalar. Una política que se basa en direcciones IP, sin importar cuán bien intencionada sea, simplemente no escalará. Del mismo modo, el mecanismo de aplicación debe ocultar. Una vez que se expresó el deseo, el motor de políticas de microsegmentación debe encontrar la mejor manera de implementar esa política dados los recursos que conoce. De esta manera, a medida que los sistemas van y vienen, el número de puntos de aplicación se flexibilizará, al igual que la base de políticas y reglas. Solo una política completamente abstracta brindará a DevOps y a los arquitectos de la nube las capacidades que necesitan para interactuar sin problemas con la solución de microsegmentación.

Política a gran escala

Hace muchos años, la megafauna dominaba la Tierra. Versiones gigantes de plantas y animales estaban en todos los continentes, y se elevarían sobre las especies que tenemos hoy. Los mejores modelos de políticas incluyen factores de escala que se elevan sobre las descripciones simples de aplicaciones individuales. La capacidad de agrupar cualquier etiqueta en cualquier dimensión de política permite que las políticas únicas afecten a los sistemas en múltiples centros de datos, entornos o aplicaciones. Al escribir políticas para la compañía de hiperescala, estas "megapolíticas" se mueven con un alcance, velocidad y eficiencia asombrosos para cubrir la compañía con políticas de microsegmentación.

Un modelo de política puede parecer un concepto abstracto y sin importancia. Pero para una implementación exitosa de la microsegmentación, nada podría estar más lejos de la verdad. El modelo de política determina lo que será y no será posible expresar y qué tan fácil o difícil será hacerlo. Una compañía puede cambiar rápidamente el color de su interfaz de usuario, pero tendrá dificultades para arreglar un modelo de política roto o mal diseñado. El modelo de política de microsegmentación más probado en el mundo proporciona una abstracción completa de los puntos de direccionamiento y aplicación de la red a través de un modelo de etiqueta "útilmente dimensional". Este modelo se lleva a cabo de manera consistente en todas las funciones del producto. Cuando los modelos de objetos completos se combinan con modelos de herencia y declarativos, es posible establecer fácil y rápidamente el resultado deseado y hacer que sea cierto en el mundo. La microsegmentación tiene éxito a escala de cientos de miles de cargas de trabajo solo a través de un modelo de política maduro, completo y bien diseñado.

A continuación, en este serial sobre preguntas sobre microsegmentación que no sabe hacer, discutiremos lo que se necesita para automatizar la política de microsegmentación.

Temas relacionados

No items found.

Artículos relacionados

Cómo West Bend Mutual Insurance superó los desafíos de migración a la nube con Illumio
Segmentación de confianza cero

Cómo West Bend Mutual Insurance superó los desafíos de migración a la nube con Illumio

Alojado en SaaS, compatible con múltiples sistemas operativos y menos complejo que soluciones similares, así es como Illumio es el lado positivo de la ciberseguridad de West Bend.

Read more
Cómo QBE reduce la complejidad y el riesgo a nivel mundial con Illumio
Segmentación de confianza cero

Cómo QBE reduce la complejidad y el riesgo a nivel mundial con Illumio

Descubra cómo QBE implementó la segmentación en su camino hacia la confianza cero.

Read more
5 formas de resolver el dilema de la velocidad frente a la seguridad en Cloud DevOps
Segmentación de confianza cero

5 formas de resolver el dilema de la velocidad frente a la seguridad en Cloud DevOps

Conozca cinco recomendaciones sobre cómo encontrar el equilibrio entre el desarrollo rápido de la nube y la necesidad de mantener seguros sus entornos de nube.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more