Preguntas sobre la microsegmentación que no sabe hacer: ¿Qué se necesita para que su equipo de aplicaciones se sume?

Los propietarios de aplicaciones están acostumbrados a una relación distante con sus equipos de seguridad y red. Se supone que la red "simplemente funciona" y los firewalls son un dolor de cabeza que se soporta con poca frecuencia. Luego de todo, la infraestructura no se siente "cercana" al propietario promedio de la aplicación. Pero cuando los equipos de seguridad e infraestructura anuncian que quieren trasladar el límite de aplicación al sistema operativo o delimitar la aplicación, de repente los conceptos abstractos adquieren una nueva realidad.

El principal temor es que la implementación de los controles sea incompleta, causando interrupciones, o tal vez que degraden el rendimiento o causen dolores de cabeza que no existían antes. También es cierto que en las instancias del servidor de aplicaciones, el equipo de aplicaciones ejerce un control considerable y, a menudo, puede retrasar las implementaciones si no se abordan sus preocupaciones. Entonces, ¿cómo desarrollamos una relación duradera y basada en la confianza con nuestros propietarios de aplicaciones, DevOps y equipos de nube?

Toma el juramento hipocrático

Para los propietarios de aplicaciones, la disponibilidad del servicio está en la parte superior de su lista y, a menudo, comprende una parte de sus MBO o bonificaciones de rendimiento. Cualquier cosa que amenace el tiempo de actividad de la aplicación encontrará resistencia inmediata. Por esta razón, es importante que los equipos de aplicaciones y automatización sepan que tomó efectivamente el juramento hipocrático: no permitirá que su aplicación se vea perjudicada en el desarrollo de la política de microsegmentación. Recuerde que fueron condicionados por las reconfiguraciones y las reconfiguraciones del firewall para esperar roturas cada vez que se ajustan las reglas de microsegmentación. Pero no tiene por qué ser así. Al elegir una solución con una estable metodología de "Construir, Probar, Aplicar", toda la política de microsegmentación se probará minuciosamente durante el tiempo que sea necesario para garantizar la corrección.

Durante la implementación inicial, no intente acelerar las solicitudes pasadas para probar o certificar agentes basados en host. Cualquier agente de calidad pasará por las pruebas. Elija un agente que no esté en línea con el tráfico, que no sea un adaptador de red virtual y que no modifique el kernel y la aceptación del propietario de la aplicación se disparará. Evite los agentes en línea que no se abren (sin directiva de firewall) o se cierran (la aplicación se interrumpe). Elija un agente que esté certificado para ejecutar en entornos de misión crítica, como Oracle Exadata, y habrá muy pocas dudas de que el agente no es seguro. Cuando combina un agente seguro con una ruta segura para la aplicación, los propietarios de la aplicación y los equipos operativos pueden comprender que comparte su preocupación por la seguridad y el tiempo de actividad de la aplicación.

Empodéralos para que participen

Pero cualquier solución de segmentación de confianza cero de calidad irá mucho más allá de las garantías de seguridad y ofrecerá la posibilidad de que los propietarios de las aplicaciones participen de manera significativa. Como mínimo, proporcione a los propietarios de aplicaciones acceso a la visualización de su aplicación mediante el control de acceso basado en roles (RBAC). Tan pronto como vea el mapa de dependencias de la aplicación, el propietario de la aplicación puede comprobar que los flujos observados son esperados y deben permitir. A medida que se desarrolla la directiva, el propietario de la aplicación puede ver que se permiten los servicios principales, las conexiones de base de datos y los métodos de acceso de usuario necesarios. Pueden ser parte de la cadena de aprobación para garantizar que la política proteja y habilite. Algunas organizaciones van más allá y dan a los propietarios de la aplicación el control para crear la directiva de aplicación interna. Cuando se proporciona bajo estrictos controles RBAC, cada propietario de la aplicación solo puede ver su propia aplicación, y el control de políticas se puede delegar y limitar según se desee. Con la aprobación final reservada para los equipos de seguridad e infraestructura, esto da una verdadera propiedad a los equipos de operaciones y aumenta la confianza y la conexión con el resultado.

Proporcionar la capacidad de automatizar

Casi todas las aplicaciones creadas en los últimos años están automatizadas en gran medida. Se ponen de pie empleando scripts proporcionados por el proveedor. Ofrecen API y, a menudo, se integran con SaaS, instancias en la nube, contenedores u otras tecnologías avanzadas de alojamiento de aplicaciones. Para los equipos de DevOps, ¡cualquier cosa que carezca de una API bien podría no existir!

Históricamente, los equipos de aplicaciones se sintieron frustrados con el ritmo lento de las reglas de microsegmentación escritas manualmente y los procesos que las rodean. Por lo tanto, ¡ofrezca segmentación como servicio! Dales claves API para tu solución de segmentación de confianza cero. Pídales que usen sus metadatos como fuente de abstracción de etiquetas/etiquetas/políticas. Si sus metadatos se convierten en el punto de partida para la visualización y la política, la microsegmentación puede aplicar simplemente desde la API y automatizar desde el primer día. Muestre a los equipos de aplicaciones cómo acceder a la segmentación como servicio: anímelos a incorporarlo en sus runbooks e imágenes maestras y luego hablará su idioma nativo. Todos se benefician cuando la política de microsegmentación se actualiza continuamente a lo largo del ciclo de vida de la aplicación.

El negocio depende de las aplicaciones, y los equipos que las proporcionan y las respaldan no están acostumbrados a las solicitudes técnicas detalladas que tradicionalmente requiere un equipo de firewall. Pero la segmentación de confianza cero no tiene por qué empantanarlos ni hacer que pongan obstáculos. Con una comunicación y recursos adecuados, una implementación de microsegmentación permitirá a los propietarios de la aplicación interactuar de forma segura con el proyecto. Los mejores equipos de proyecto los invitan además a considerar la microsegmentación como un servicio disponible basado en API, al igual que los otros servicios SaaS que consumen de manera regular. Cuando la microsegmentación avanzada es fácil de consumir, segura de operar y bajo su capacidad de control e influencia, encontrará que los equipos de aplicaciones están dispuestos a ayudarlo a proteger sus sistemas de las amenazas que nadie quiere que afecten sus sistemas.

Obtenga más información sobre la segmentación de aplicaciones hoy mismo.