Lo que necesita para el descubrimiento de políticas de confianza cero

La verdad fundamental sobre la microsegmentación es que nunca será más granular que nuestra comprensión del tráfico que se debe proteger. Realmente no podemos segmentar lo que no podemos ver.

La mayoría de los proveedores de segmentación ahora ofrecen algún tipo de mapa de aplicaciones que coloca una aplicación en una especie de "burbuja" para mostrar su posible aislamiento. Si bien es una gran mejora con respecto a la alternativa (sin visualizaciones), en realidad, esto no es suficiente para escribir una política estable de Zero Trust. Necesario, pero insuficiente. ¿Qué más necesitamos?

Como se discutió en la introducción de este serial, el éxito de la microsegmentación de Zero Trust está determinado por la efectividad del proceso de gestión de políticas. Escribir reglas de segmentación no es una tarea, es una variedad de pasos analíticos y de toma de decisiones. Por lo tanto, mejorar la segmentación requiere un profundo nivel de comprensión y debe reflejar en la visibilidad y el flujo de trabajo adecuados para cada paso; No hay posibilidad de que una sola visualización simple funcione para todas las tareas y puntos de decisión.

La detección de directivas es el conjunto de tareas por las que pasa una organización para comprender una aplicación y su contexto lo suficientemente bien como para escribir una directiva de Confianza cero. Incluye información a nivel de servicio, host y aplicación, pero también muchas otras cosas.

Contexto completo de la aplicación

El contexto completo de una aplicación va más allá de su funcionamiento interno. Puede comunicar con otras aplicaciones, probablemente se conecte a 20-30 servicios centrales comunes, tenga usuarios provenientes de ubicaciones corporativas y VPN, y puede interactuar con servicios SaaS u otros espacios de direcciones remotas. ¡Simplemente tirar todo esto en un mapa sin organización es una receta para la confusión que ralentizará el progreso!

Es importante resumir la conectividad externa en los rangos de direcciones con nombre normales que pueden estar en el sistema de administración de IP. De esta manera, es fácil detectar subredes de usuario, tráfico DMZ, etc. Especialmente en los primeros días de una implementación de microsegmentación, hay más sistemas "desprotegidos" que sistemas "protegidos". ¿Cómo se muestran, organizan y clasifican estos sistemas? Cuando estos sistemas son objetos en el modelo de políticas y se muestran como tales en el mapa, la complejidad y la redacción de reglas se simplifican. Finalmente, la mayoría de las aplicaciones existen para los usuarios. ¿Cómo se entiende, se muestra y está disponible para la acción ese contexto de usuario?

En última instancia, el descubrimiento de políticas requiere un contexto de aplicación completo, y eso implica más que simples dibujos de aplicaciones con cien o más líneas a direcciones IP o nombres de host externos.

Flujos de trabajo micro vs. macro

Los centros de datos o entornos en la nube son lugares complejos, con mucho más que aplicaciones a considerar. Los mapas de dependencia de aplicaciones son fundamentales para comprender las aplicaciones, pero ¿qué pasa con la posibilidad de ver construcciones más grandes? ¿Cómo es posible saber qué tráfico pasa entre Dev y Prod? ¿Cómo se puede ver todo el tráfico de la base de datos en el puerto 3306 en todo el entorno para cerciorar de que no se pierda ninguno? ¿Qué hay de ver el "alcance" de un servicio central como LDAP o RDP para comprender la actividad actual?

La experiencia de Illumio en la seguridad de múltiples entornos de más de 100.000 nodos se refleja en la existencia de visualizaciones y herramientas de exploración para el entorno macro, además del contexto de la aplicación. La redacción de políticas efectivas basadas en etiquetas abstractas también requiere la capacidad de visualizar e inspeccionar las comunicaciones en todos los niveles de abstracción que ofrece el modelo de política. Curiosamente, las burbujas de aplicación tan útiles para las vistas de aplicaciones son de poca utilidad en este contexto. Las mejores soluciones de descubrimiento de políticas tendrán formas claras de mostrar las comunicaciones en todos los niveles de abstracción y no solo volcados de bases de datos de datos de flujo recopilados.

Requerir una solución de microsegmentación que proporcione las vistas de nivel macro esenciales para abordar rápidamente grandes franjas de tráfico a través de la redacción masiva o agregada de políticas.

Diferentes puntos de vista para diferentes partes interesadas

El equipo de firewall no será el único en inspeccionar flujos y políticas durante las actividades de detección de políticas. A medida que el límite de segmentación se mueve hacia el servidor de aplicaciones o el host del contenedor, los equipos de operaciones y aplicaciones se interesarán mucho en cerciorar de que todos los servicios que necesitan se aprovisionaron correctamente. Para estos colegas de trabajo, sus preguntas se responden mejor mediante vistas especialmente diseñadas adaptadas a la necesidad de inspeccionar rápidamente una política y validar la funcionalidad. Muchos de los detalles del desarrollo de políticas no son necesarios y, de hecho, distraen de las preocupaciones centrales de los equipos de aplicaciones y operaciones.

Busque un producto de microsegmentación que tenga visualizaciones y flujos de trabajo cuidadosamente construidos para los equipos de aplicaciones y operaciones. Forman parte del flujo de trabajo de la política y deben tener herramientas que respalden sus necesidades. Una vista filtrada RBAC es esencial, por supuesto, pero espere más: obtenga visualizaciones específicas del propietario de la aplicación para acelerar el proceso de detección de políticas.

En resumen

¡Nadie puede escribir políticas más rápido de lo que entiende lo que se requiere! La detección de directivas es la primera parte de cualquier flujo de trabajo de administración de directivas. Las demandas de políticas de una aplicación moderna o una colección de microservicios en contenedores requieren un contexto de aplicación completo, mucho más allá de una simple burbuja de aplicación. La representación de rangos de IP, sistemas no gestionados, servicios principales y más son esenciales para comprender un servicio de aplicación en contexto.

Cualquier buen modelo de política ofrecerá abstraer las comunicaciones en varios niveles o "etiquetas", por lo que también es importante tener visualizaciones que respalden estos objetivos de política de orden superior. Luego de todo, la política masiva es una política rápida, por lo que tener las capacidades adecuadas acelerará radicalmente el desarrollo de políticas.

Finalmente, la microsegmentación involucra a múltiples organizaciones. El descubrimiento de políticas es un deporte de equipo: cerciorar de que todos tengan vistas de descubrimiento personalizadas para que cada equipo funcione de la manera más eficiente posible.

El descubrimiento rápido y eficiente de políticas conduce a una creación de políticas rápida y eficiente. Unir a nosotros la próxima semana mientras discutimos lo que se necesita para acelerar la creación de políticas.