Nano-segmentation℠: ¿De qué se trata todo este alboroto?

En la conferencia RSA de la semana pasada, Illumio presentó la nanosegmentación, nuestra última innovación en la seguridad de aplicaciones de varios niveles que se ejecutan en centros de datos y nubes. Illumio Adaptive Security Platform (ASP)^TM ahora extiende la segmentación de aplicaciones desde el detalle de las cargas de trabajo individuales hasta los procesos que se ejecutan dentro de las cargas de trabajo.

Los asistentes a RSA que vieron las presentaciones del teatro Illumio vieron el poder de la nanosegmentación para reducir significativamente la exposición de la compañía a las amenazas y restringir el "radio de explosión" de los ataques. Mostramos cómo la nanosegmentación podría poner en cuarentena un servidor comprometido mediante una simple operación de arrastrar y soltar, una primicia en la industria. La segmentación del centro de datos para separar las aplicaciones (desarrollo, prueba, producción, etc.) o para aislar las aplicaciones (por ejemplo, para el cumplimiento de PCI ) es necesaria para manejar la seguridad de los entornos informáticos dinámicos distribuidos en centros de datos y nubes. Pero no toda la segmentación es igual. Déjame explicarte.

No todas las segmentaciones son iguales.

La mayoría de nosotros estamos familiarizados con el término "microsegmentación", que fue introducido por los proveedores de SDN hace unos años. La microsegmentación se promovió como una forma para que las compañías aislaran las aplicaciones que se ejecutan en entornos virtuales. Sin embargo, las soluciones actuales para la microsegmentación vienen con un serial de condiciones adjuntas: están vinculadas al hipervisor, construcciones de red (VLAN, subredes, zonas de seguridad, etc.) u otro hardware (conmutadores, enrutadores, etc.). La mayoría de las soluciones no abordan la segmentación de aplicaciones en la nube o aplicaciones que incluyen servidores sin sistema operativo. El objetivo de la seguridad a través de la segmentación de aplicaciones es bien intencionado, pero las soluciones existentes se quedan cortas.

Ingrese a la nanosegmentación  

El primer paso para lograr la segmentación más granular para las aplicaciones del centro de datos es reducir la superficie de ataque a unidades individuales de computación (cualquier VM o servidor dedicado) en centros de datos y nubes. Illumio ASP hace esto programando dinámicamente reglas de seguridad de entrada y salida precisas en cada carga de trabajo. Esto permite que la plataforma cree un perímetro adaptable alrededor de cada instancia informática (en cualquier centro de datos o nube), creando efectivamente un segmento de uno. Cuando se combina con el modelo de políticas dinámico de lista blanca de Illumio ASP, permite a los administradores especificar completamente las interacciones de carga de trabajo permitidas para aplicaciones sin ninguna dependencia de la red. Con el último lanzamiento del producto, Illumio llevó esto un paso más allá al permitir la segmentación de múltiples aplicaciones hasta procesos en un solo host. Por ejemplo, dos instancias del proceso de Apache en una sola carga de trabajo podrían segmentar en dos aplicaciones diferentes.

¿Qué pasa con el nombre?

¿Nos permitimos un poco de superioridad de marketing con un nombre como nanosegmentación? Lejos de eso, es deliberado y está respaldado por puntos de prueba. La nanosegmentación, como su nombre lo indica, permite a las compañías segmentar las aplicaciones de la manera más granular posible. Queríamos que las compañías supieran que hay una manera de "tener su pastel y comérselo también": pueden segmentar las aplicaciones en los centros de datos y las nubes mientras mantienen la seguridad intacta. Más importante aún, la función permite que la segmentación de aplicaciones sea igualmente efectiva en cualquier entorno informático.

Y una cosa más: el término "Nano" da crédito al principio de Illumio de seguridad independiente de la red. Es un acrónimo de "Never Again Network-Oriented".