Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Es un pájaro, es un avión, es... ¡Supercúmulo!

Illumio Editorial
Illumio Editorial
November 4, 2018
23 min. leer

Las grandes organizaciones suelen tener centros de datos ubicados en diferentes regiones geográficas. Los centros de datos distribuidos permiten a estas organizaciones ubicar sus aplicaciones cerca de sus clientes y empleados, cumplir con los requisitos de residencia de datos y proporcionar recuperación ante desastres para sus aplicaciones comerciales críticas. La adopción de la nube pública está facilitando aún más a las organizaciones de todos los tamaños la distribución de sus cargas de trabajo en varias regiones. Por ejemplo, AWS ahora abarca 18 regiones geográficas de todo el mundo.   

Nos complace presentar PCE Supercluster para proporcionar visibilidad completa, administración centralizada y federada, y aplicación coherente de políticas de microsegmentación en infraestructura multirregión, a gran escala. En esta publicación se exploran los requisitos clave para proteger la infraestructura de varias regiones y por qué diseñamos PCE Supercluster con una arquitectura federada.

Requisitos para una solución de microsegmentación multirregión

Si tiene una infraestructura distribuida globalmente, existen varios requisitos clave para una solución de microsegmentación. Es importante tener en cuenta estos requisitos por adelantado, incluso si su implementación inicial de microsegmentación se limita a una sola ubicación.

  • Resiliencia: la solución de microsegmentación debe continuar operando y proteger la infraestructura en caso de una falla del centro de datos o una interrupción de la red entre regiones.
  • Escalabilidad: la solución de microsegmentación debe escalar con la cantidad de cargas de trabajo en cada centro de datos y la cantidad total de cargas de trabajo en todo el mundo.
  • Capacidad de administración: la solución de microsegmentación debe ser administrable por equipos de aplicaciones y seguridad globales y regionales.
  • Eficiencia del ancho de banda: El ancho de banda de red entre regiones es costoso, por lo que la solución no debe consumir grandes cantidades de ancho de banda.

Arquitecturas para una solución de microsegmentación multirregión

Policy Compute Engine (PCE) de Illumio es un controlador basado en software que es responsable de orquestar la política de microsegmentación en las cargas de trabajo y otros puntos de aplicación de la infraestructura. El PCE también recopila datos de telemetría de la infraestructura, como información de flujo de red e información sobre los procesos que se ejecutan en las cargas de trabajo.

Hay varios enfoques posibles para diseñar el PCE, o cualquier solución de microsegmentación basada en software, para proteger las cargas de trabajo ubicadas en diferentes regiones geográficas.

A continuación, se muestra un desglose de los diversos enfoques de arquitectura y cómo se asignan a los requisitos descritos anteriormente.

Arquitectura centralizada : el controlador reside en una sola ubicación.

  • Resistencia: una arquitectura centralizada crea un único punto de falla y proporciona una resistencia limitada.
  • Escalabilidad: una arquitectura centralizada puede escalar tanto vertical como horizontalmente para admitir el número total de cargas de trabajo en todo el mundo.
  • Capacidad de administración: una arquitectura centralizada facilita a los equipos globales de seguridad y aplicaciones la configuración y aplicación de políticas de microsegmentación en toda la infraestructura. El control de acceso basado en roles (RBAC) se puede usar para proporcionar a los equipos regionales acceso limitado para ver y modificar la directiva solo para las aplicaciones de su región. 
  • Eficiencia del ancho de banda: una arquitectura centralizada usa más ancho de banda porque todos los datos de flujo de red y otros datos de telemetría deben enviar de vuelta al controlador. El ancho de banda aumenta con el número de cargas de trabajo por región y el número de conexiones entre estas cargas de trabajo.
     

Arquitectura distribuida : coloca un controlador en cada centro de datos y los controladores son completamente independientes entre sí.

  • Resistencia: una arquitectura distribuida es altamente resistente. Un error en un controlador en una región no afecta a las otras regiones.
  • Escalabilidad: una arquitectura distribuida puede escalar con la cantidad de cargas de trabajo en cada centro de datos y la cantidad total de cargas de trabajo en todo el mundo mediante la implementación de más controladores.
  • Capacidad de administración: una arquitectura distribuida permite a los equipos regionales crear políticas locales, pero esta arquitectura crea desafíos para aplicar políticas globales, ya que deben replicar manualmente en cada región. Además, no hay forma de visualizar todas las aplicaciones en un solo lugar y ver las dependencias entre regiones.
  • Eficiencia del ancho de banda: Una arquitectura distribuida es más eficiente en cuanto al ancho de banda, ya que todos los datos permanecen locales en la región.


Arquitectura federada : coloca un controlador en cada centro de datos y los controladores se comunican entre sí para compartir información sobre la política de seguridad de la organización y las cargas de trabajo que se están protegiendo.

  • Resistencia: una arquitectura federada es altamente resistente. El error en un controlador en una región no afecta a las otras regiones.
  • Escalabilidad: una arquitectura federada puede escalar con la cantidad de cargas de trabajo en cada centro de datos y la cantidad total de cargas de trabajo en todo el mundo mediante la implementación de más controladores.
  • Capacidad de administración: una arquitectura federada facilita a los equipos globales de seguridad y aplicaciones la configuración y aplicación de políticas de microsegmentación en toda la infraestructura. RBAC se puede usar para proporcionar a los equipos regionales acceso limitado para ver y modificar la directiva solo para las aplicaciones de su región.
  • Eficiencia del ancho de banda: Una arquitectura federada es más eficiente en cuanto al ancho de banda siempre que solo se comparta la cantidad mínima de información entre los controladores para que el sistema funcione.

En la tabla siguiente se resumen las tres arquitecturas para microsegmentar la infraestructura de varias regiones:

CentralizadoDistribuidoFederado Resiliencia -++ Escalabilidad +++ Capacidad de administración +-+ Eficiencia de ancho de banda -++

Presentamos PCE Supercluster: microsegmentación multirregional bien hecha

Dadas los claros beneficios, PCE Supercluster fue diseñado con una arquitectura federada. En un superclúster, la política de seguridad global se gestiona desde un PCE líder designado. Las estables capacidades RBAC de Illumio son compatibles con Supercluster, lo que permite a los equipos globales y regionales acceder al PCE líder de la manera menos privilegiada. A continuación, la directiva se replica automáticamente en los otros PCE que traducen las directivas basadas en etiquetas en instrucciones empleadas para programar firewalls de host en cargas de trabajo y otros puntos de aplicación de la infraestructura. Este diseño garantiza que la política global se aplicará continuamente, incluso si una región se aísla del resto del Supercluster.

Illumio reconoció desde el principio que la visibilidad es clave para la microsegmentación porque no se puede cerciorar lo que no se puede ver. Supercluster proporciona un mapa completo de dependencias de aplicaciones en tiempo real (Illumination) en el líder para visualizar las dependencias de aplicaciones dentro y entre regiones y la cobertura de políticas. La visibilidad en tiempo real de los sistemas de alto valor y las conexiones y flujos autorizados a través de estas aplicaciones es un primer paso crítico para diseñar los microperímetros de la organización y crear políticas de microsegmentación que no rompan las aplicaciones.

Supercluster agrega un nivel de escala para respaldar a las organizaciones más grandes del mundo.

Un solo PCE ya se puede implementar como un clúster de varios nodos para admitir decenas de miles de cargas de trabajo. Al permitir que se unan múltiples PCE, Supercluster agrega otro nivel de escala para respaldar a las organizaciones más grandes del mundo.

Gastamos una gran cantidad de energía en el diseño de Supercluster para minimizar el consumo de ancho de banda entre PCE. Solo se replica entre regiones la cantidad mínima de datos de carga de trabajo necesarios para calcular la directiva. Además, los datos de flujo de red son preprocesados en región por cada PCE y solo la información mínima necesaria para dibujar el mapa de dependencia de la aplicación en tiempo real se replica en toda la red.

Con PCE Supercluster, las organizaciones pueden:

  • Obtenga visibilidad en tiempo real de su entorno de centro de datos distribuido globalmente.
  • Diseñe con confianza microperímetros y cree políticas de microsegmentación que admitan el tráfico interregional y apliquen la microsegmentación a una escala significativa, sin interrumpir las aplicaciones.
  • Lograr sus objetivos de microsegmentación y, al mismo tiempo, lograr eficiencias de ancho de banda de red y respaldar la recuperación ante desastres y el alta disponibilidad.

Temas relacionados

microsegmentación

Artículos relacionados

Mapeo de Illumio en el Top 20 de la CEI
Segmentación de confianza cero

Mapeo de Illumio en el Top 20 de la CEI

¿Desea comprender mejor cómo Illumio ayuda a habilitar su iniciativa de controles de seguridad de CIS? Siga leyendo para obtener más información.

Read more
Illumio nombrado entre los proveedores notables en el panorama de microsegmentación de Forrester, Q2 2024
Segmentación de confianza cero

Illumio nombrado entre los proveedores notables en el panorama de microsegmentación de Forrester, Q2 2024

Vea cómo la plataforma de segmentación Zero Trust de Illumio se alinea con todos los casos de uso principales y extendidos de la descripción general de Forrester en nuestra opinión.

Read more
¿Se puede medir la eficacia de la microsegmentación?
Segmentación de confianza cero

¿Se puede medir la eficacia de la microsegmentación?

Illumio y Bishop Fox llevaron a cabo y documentaron un plan pionero en la industria sobre cómo medir la eficacia de la microsegmentación.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more