.png)
Lo que necesita para crear una directiva de segmentación de Confianza cero
La semana pasada, discutimos las capacidades necesarias para descubrir la aplicación y el contexto ambiental más amplio requerido para escribir una política de segmentación de Confianza cero. Una vez que sabemos lo que es obligatorio, debemos expresarlo en declaraciones de política. Cualquier buena solución de microsegmentación pasará sin problemas del descubrimiento a la creación y admitirá completamente todos los flujos de trabajo necesarios para escribir una política de segmentación detallada de manera eficiente. Analicemos qué acelera y respalda la política de segmentación de Zero Trust.
Di lo que quieras, no cómo hacerlo
Históricamente, escribir listas de control de acceso (ACL) requiere que sepamos lo que queremos y cómo hacerlo. Se obtienen tablas de reglas grandes y complejas. La segmentación de confianza cero funciona en un modelo de política declarativa, por el contrario, y crea una separación entre "política" y "reglas". La política es el resultado que deseamos, como separar los entornos DEV y PROD. Las reglas o ACL necesarias para que esa política sea verdadera son un resultado del motor de políticas, no del esfuerzo humano. Esto simplifica radicalmente la creación de políticas.
Si escribo una regla que permite que un dispositivo hable con otros tres, no necesito escribir cuatro reglas. Solo necesito escribir una política que diga que un servidor puede hablar con los otros tres. El motor de políticas crea todas las reglas para que esa política sea verdadera. Cuando se toma a escala de un centro de datos completo o una implementación en la nube, esta simplificación acelera el desarrollo de una política de segmentación de confianza cero.
Nombres familiares frente a direcciones IP
Escribir reglas de firewall tradicionales siempre será lento debido a la necesidad constante de traducir entre las direcciones IP que entiende la infraestructura y los nombres que le damos a los servidores en la conversación. La eliminación de esta traducción reduce radicalmente el tiempo para escribir una política de segmentación de confianza cero.
La mejor situación es cuando la organización puede reutilizar los nombres que ya existen dentro de CMDB, SIEM, sistemas de administración de direcciones IP, convenciones de nombres de host, nombres de servidores, etc. Cuando los nombres familiares etiquetan todos los sistemas en la visualización y proporcionan la abstracción para la escritura de directivas, de repente todos pueden comprender y escribir la directiva de Confianza cero. No se requiere traducción, y todo el equipo puede llegar rápidamente a un consenso sobre si la política escrita coincide con la necesidad descubierta a través de la visualización.
Uso de la herencia para reducir la carga de la directiva
Una vez que abstrajimos la política de segmentación de Zero Trust en nombres (o etiquetas), podemos aprovechar una de las mejores partes de una lista de permitidos de Zero Trust: la herencia de políticas. Una lista de permitidos pura no requiere atención al orden de las reglas, a diferencia de un firewall tradicional.
En un firewall, la combinación de reglas de lista de permitidos y de lista de bloqueados significa que las reglas deben estar en un orden estricto para funcionar según lo diseñado. En una lista de permitidos, debido a que las cosas solo están permitidas, no hay diferencia en el orden en que se permiten o si se permiten más de una vez.
Esto significa que la política de segmentación de confianza cero se puede heredar libremente. Puedo escribir una política una vez y reutilizarla tantas veces como sea necesario. Una carga de trabajo puede derivar parte de su política de la política de entorno PROD, la política de nivel de centro de datos y la política que escribimos para todas las bases de datos. Podemos definir la directiva para los servicios principales una vez y, a continuación, hacer que todas las cargas de trabajo del entorno asuman esa directiva. La herencia hace que la creación de directivas de Confianza cero sea mucho más fácil que los métodos tradicionales.
Distribuir la escritura de reglas para obtener escala
La escritura de reglas de firewall fue centralizada y gestionada durante mucho tiempo por un equipo de seguridad de red, ya que los dispositivos son efectivamente parte de la arquitectura de red. Esto creó conversaciones engorrosas en las que el equipo del firewall necesita que el equipo de la aplicación describa en direcciones IP cómo funcionan sus sistemas. Y solo entonces el equipo de firewall puede traducir eso en reglas. Pero, ¿por qué molestar con toda esa comunicación y traducción?
Con la segmentación de confianza cero y una estable capacidad de control de acceso basado en roles (RBAC), se puede distribuir la escritura de reglas. Cuando la solución de segmentación de confianza cero se diseñó para proporcionar vistas y capacidades específicas de la aplicación, es posible que los propietarios de la aplicación escriban o validen la directiva para el funcionamiento interno de su aplicación y, a continuación, que el equipo centralizado apruebe su trabajo y agregue las directivas para los servicios principales, el centro de datos y el acceso a Internet.
Una estable solución de segmentación de confianza cero proporciona agencia a los equipos de aplicaciones y DevOps durante todo el proceso de creación de políticas. Cuanto más quiera automatizar su organización, más importante será esta delegación. Cuando todo el equipo puede trabajar hacia objetivos compartidos, genera confianza, cohesión organizacional y acelera la entrega de una política de segmentación de confianza cero.
En resumen
Los centros de datos y los entornos de nube son complejos, y sería natural suponer que escribir una política de segmentación compartiría la misma complejidad. Pero las mejores soluciones de segmentación de confianza cero reemplazan el proceso tradicional de desarrollo de reglas de firewall con flujos de trabajo simples, escalables y efectivos. Un modelo de directiva declarativa significa que puede decir lo que quiera, no cómo hacerlo.
Los humanos son buenos para decir lo que quieren, y un motor de políticas inteligente puede convertir eso en reglas para la infraestructura. Cuando la directiva se basa en nombres conocidos y se puede reutilizar varias veces, reduce el trabajo de todo el equipo.
Y lo mejor de todo es que cuando todo el equipo puede colaborar, los muros ineficientes entre los equipos se rompen y toda la organización puede trabajar en conjunto para proteger los activos críticos. La segmentación de confianza cero mejora todos los aspectos de la política de segmentación, al mismo tiempo que restringe la segmentación y reduce la carga de la organización.
