.png)
Una mirada más profunda a la integración de Illumio con Palo Alto Networks
La microsegmentación y los firewalls ayudan a las compañías a reducir su superficie de ataque y limitar la exposición al ransomware, malware y otras amenazas que se mueven lateralmente o se propagan rápidamente a través de los flujos de tráfico Este-Oeste dentro del centro de datos y los entornos de nube. Pero como sabemos, las compañías de hoy en día están altamente distribuidas por naturaleza, con usuarios, dispositivos y cargas de trabajo cada vez más en todas partes. Para abordar esto, las compañías deben buscar implementar seguridad tanto en la red como en la carga de trabajo.
Las cargas de trabajo son efímeras y a la mayoría de las cargas de trabajo se les asigna una variedad de direcciones IP diferentes a medida que se activan y se desactivan entre estructuras de red o se cambian sus direcciones IP por una variedad de razones mediante un controlador que asigna dinámicamente los recursos informáticos. Esto es especialmente cierto en las arquitecturas de microservicios modernas alojadas en estructuras de nube pública, donde las cargas de trabajo mueren constantemente, resucitan y se mueven por la red de forma dinámica. El uso de una dirección IP para identificar estáticamente una carga de trabajo, en cualquier forma, es una reliquia del pasado. Por lo tanto, es importante mapear el contexto en tiempo real para aplicar una seguridad eficaz de la carga de trabajo a lo largo de su ciclo de vida.
Debido a su naturaleza dinámica, a menudo es difícil para las organizaciones asignar y aplicar políticas de microsegmentación a las cargas de trabajo en todos los lugares donde se ejecutan. Mientras que las cargas de trabajo de las aplicaciones se comunican entre sí principalmente a través de flujos de tráfico Este-Oeste, el tráfico que entra y sale del centro de datos o de los entornos de nube está protegido a través del tráfico Norte-Sur en el perímetro. Para lograr una microsegmentación eficaz, debe implementar actualizaciones de políticas en tiempo real para las cargas de trabajo dondequiera que se muevan: a través de la estructura de red a los firewalls de próxima generación (NGFW), así como a través de la infraestructura del host donde pueden ser aplicadas por soluciones basadas en agentes que operan a nivel de carga de trabajo. El mapeo de políticas de seguridad para cargas de trabajo dinámicas en Este-Oeste y Norte-Sur es complejo y difícil de gestionar a escala. Pueden producir incoherencias si los cambios en la política de seguridad se gestionan en aislamiento en las herramientas de microsegmentación basadas en NGFW y agentes.
Automatice la seguridad dinámica mediante metadatos
Illumio Core emplea metadatos en forma de etiquetas para identificar cargas de trabajo, en lugar de depender del direccionamiento de red. El administrador puede asignar diferentes etiquetas a diferentes cargas de trabajo y, a continuación, estas etiquetas se pueden usar para definir la directiva. Mediante el uso de agentes de nodo de cumplimiento virtual (VEN) implementados en cada carga de trabajo, Illumio Core realiza un seguimiento de las direcciones IP cambiantes de esa carga de trabajo en segundo plano. Incluso si una carga de trabajo cambia su dirección IP diez veces a lo largo de su ciclo de vida, la etiqueta sigue siendo coherente. El resultado es que la política se define independientemente de cómo se diseñe la red subyacente. El reenvío de paquetes todavía se realiza a través de búsquedas de IP, pero esto sucede detrás de escena. Las etiquetas se convierten en la construcción empleada para identificar diferentes cargas de trabajo y, dado que la política se escribe con estas etiquetas, el resultado son etiquetas que se leen más como una oración humana, en lugar de una lista de IP y puertos.
Palo Alto Networks tiene una filosofía similar en torno al uso de metadatos en forma de etiquetas para identificar cargas de trabajo dentro de grupos de direcciones dinámicas (DAG) en NGFW de Panorama o Palo Alto Networks, como la serie PA-7000, la serie PA-5200, la serie PA-3200 y el firewall virtual de próxima generación del serial VM. El firewall puede crear un grupo de direcciones y definirlo como estático o dinámico, y estos se pueden usar para definir la política. El resultado es una regla de firewall que también se lee más como una oración humana, que define quién puede hacer qué a quién, empleando los nombres de DAG en lugar de direcciones IP específicas. Un DAG es algo así como un "cubo vacío" sin direcciones IP asignadas. Si se trata de un grupo de direcciones dinámico, este bucket vacío se rellena con direcciones IP de alguna entidad externa.
Al incorporar Illumio Core para la microsegmentación basada en agentes, los usuarios pueden obtener contexto en tiempo real de sus cargas de trabajo enviadas directamente a los DAG dentro de Panorama o en los NGFW de Palo Alto Networks. Esta solución ayuda a los usuarios de Palo Alto Networks a cerciorar de que sus políticas basadas en DAG estén completamente actualizadas con los últimos cambios en las políticas de carga de trabajo. A medida que Illumio realiza un seguimiento de las direcciones IP cambiantes para todas las cargas de trabajo, puede enviar estas asignaciones de cargas de trabajo etiquetadas a Palo Alto Networks. Por lo tanto, si Illumio Core asigna diez cargas de trabajo como cargas de trabajo de "aplicación" y el firewall de Palo Alto Networks creó un DAG también llamado "Aplicación" y usa ese DAG en un conjunto de políticas, el firewall tendrá ese DAG poblado por Illumio. A medida que a una carga de trabajo etiquetada se le asigna una dirección IP, o si se libera o cambia, todos estos cambios se pueden enviar al firewall de Palo Alto Networks.
El beneficio real aquí es que los administradores pueden configurar el firewall una vez y luego no tendrán que tocarlo cada vez que haya un cambio de dirección IP. El firewall permanece silencioso, incluso si aumenta la escala de las cargas de trabajo. Si un DAG para cargas de trabajo de "aplicación" contiene 10 direcciones IP o 100 direcciones IP, no se requiere ningún proceso de control de cambios para modificar el firewall a medida que aumenta la escala de implementación. Illumio simplemente actualiza el firewall según sea necesario.
Como parte de la integración, las etiquetas y las direcciones IP de las cargas de trabajo en Illumio Core se asignan dinámicamente a los DAG de Palo Alto Networks. ¿El resultado? Los usuarios pueden eliminar el esfuerzo manual para gestionar los cambios de políticas de seguridad estáticas para cargas de trabajo dinámicas. Puede beneficiarse de la automatización y eliminar el elemento humano, que puede provocar errores de configuración y errores humanos al mantener actualizaciones de seguridad de cargas de trabajo en tiempo real.
Junto con Illumio y Palo Alto Networks, no necesita sacrificar la seguridad a medida que su red escala o evoluciona. Se beneficia de la actualización automática de los DAG en Panorama y sus NGFW con un contexto de carga de trabajo en tiempo real que puede ayudarlo a ahorrar tiempo, esfuerzo y el dolor de cabeza asociado con la orquestación de una política de microsegmentación efectiva para las cargas de trabajo cambiantes de sus aplicaciones.
El flujo de trabajo de la API entre Illumio y Palo Alto Networks
En Illumio Core, a las cargas de trabajo se les asignan las etiquetas de metadatos Rol, Aplicación, Entorno y Ubicación para proporcionar contexto adicional. Por ejemplo, a las cargas de trabajo de nivel sitio web que forman parte de una aplicación de pedidos implementada para el desarrollo en un centro de datos de Nueva York se les asignaría la etiqueta de rol Sitio web, la etiqueta de aplicación Ordenación, la etiqueta de entorno Desarrollo y la etiqueta de ubicación NY_DC.
En Palo Alto Networks Panorama, la política se puede crear mediante grupos de direcciones dinámicos (DAG) definidos por criterios de coincidencia mediante etiquetas. Los cambios de membresía a DAG son automáticos, lo que elimina la necesidad de gestión y aprobaciones de cambios.
La herramienta de integración basada en API "Illumio-Palo Alto Networks DAG Updater" registra y anula el registro de cargas de trabajo dinámicamente durante todo el ciclo de vida, incluidos los cambios de dirección IP (por ejemplo, migraciones de VM en un centro de datos o cambios de ENI en un host en la nube) y cambios de metadatos (por ejemplo, una carga de trabajo reetiquetada como Cuarentena). A medida que las cargas de trabajo se registran y no se registran dinámicamente, la pertenencia al DAG cambia y el conjunto correcto de directivas se aplica automáticamente a las cargas de trabajo.
La capacidad de actualizar la membresía de DAG automáticamente durante todo el ciclo de vida de una carga de trabajo permite políticas centradas en aplicaciones que pueden abarcar varios centros de datos y escalar fácilmente a través de arquitecturas de varios niveles.
Este es un ejemplo sencillo de segmentación ambiental entre cargas de trabajo en Desarrollo y Producción.
Arreglo
Las cargas de trabajo se emparejan con Illumio PCE y se asignan metadatos Rol, Aplicación, Entorno y Ubicación mediante etiquetas:
DAG se crea empleando criterios coincidentes: Desarrollo : todas las cargas de trabajo de desarrollo:
Un DAG se crea empleando criterios coincidentes: Producción : todas las cargas de trabajo de producción:
Directiva creada mediante el DAG para permitir el tráfico entre cargas de trabajo de desarrollo y el tráfico entre cargas de trabajo de producción :
Integración API
La herramienta de integración es parte de la herramienta Workloader de Illumio, que se puede descargar desde el Portal de soporte de Illumio:
Workloader envía etiquetas y direcciones IP emparejadas con cada carga de trabajo gestionada al firewall de Palo Alto Networks, al emitir el comando dag-sync :
El resultado se muestra en la pertenencia al DAG en el firewall de Palo Alto Networks, que muestra las direcciones IP recibidas de Illumio para las etiquetas asociadas:
Membresía actualizada de DAG Development:
¡Y eso es todo! La mejor parte de la integración es que a medida que el entorno se escala hacia arriba y hacia abajo, las cargas de trabajo se registran y no se registran dinámicamente, cambiando automáticamente la pertenencia al DAG, activando automáticamente las políticas de segmentación del entorno.
Asombroso, ¿no? Visite el portal de soporte de Illumio para descargar la herramienta de integración.
- Lea nuestra guía sobre Illumio + Palo Alto Networks
- Más información sobre la tecnología NextWave de Palo Alto Networks
.webp)
.webp)