Lo que necesita para distribuir una política de confianza cero

En este serial, analizamos el descubrimiento de políticas y la creación de políticas hasta ahora. Una vez que tenga una política para implementar, debe calcularla, convertirla en reglas y distribuirla a los puntos de aplicación. Luego de todo, ¡la política Zero Trust solo puede operar en los lugares a los que llega! Cerciorémonos de que podemos instrumentar esa política en tantos lugares y de la manera más efectiva posible.

Automatice la política en reglas

El primer paso para convertir una política legible por humanos (que se basa en etiquetas o metadatos) en una política de segmentación de confianza cero aplicada es traducirla en reglas que la infraestructura pueda entender. Discutimos lo importante que es para los humanos especificar políticas sin usar direcciones IP, ¡pero todos los puntos de aplicación las requieren! La función de cálculo de políticas tiene un papel fundamental que desempeñar.

Basar la política de segmentación de Confianza cero en etiquetas significa que las mismas instancias de aplicación que impulsan la automatización pueden impulsar la política de segmentación. Sin necesidad de conocer las direcciones IP, o incluso la cantidad de servicios de aplicaciones similares, la automatización de aplicaciones puede obtener la política correcta simplemente "indicando su nombre". Cuando la política legible por humanos se puede convertir automáticamente en reglas aplicables, la segmentación se convierte en un servicio, al igual que los propios componentes de la aplicación.

Hazlo dinámico y continuo

El cálculo de políticas debe ser dinámico y continuo. En un centro de datos moderno o en una implementación en la nube, la automatización ajusta las aplicaciones constantemente. Esto significa que las direcciones IP cambian, las instancias aparecen, hacen su trabajo y se eliminan. Los controladores de servicio SaaS cambian sin problemas la carga a una nueva dirección IP en un clúster de tamaño desconocido. Esto significa que las direcciones IP empleadas en cualquier conjunto de reglas deben actualizar a medida que evoluciona la infraestructura. El cálculo y la distribución de directivas deben ser continuos y casi instantáneos para mantener la precisión de la directiva definida en todos los puntos de aplicación.

Usar puntos de aplicación existentes

Una política de segmentación de confianza cero es tan buena como el número de lugares en los que opera. ¡Afortunadamente, ya posee todos los puntos de aplicación que necesitará! Cada sistema operativo moderno tiene un firewall con estado perfectamente útil incorporado. Se trata de IP-Tables o NetFilter si se trata de una máquina basada en Linux o de la plataforma de filtrado de Windows si se trata de una instancia basada en Windows. Existen firewalls similares basados en sistemas operativos para AIX, Solaris e incluso un mainframe IBM System Z. Los conmutadores de red de Cisco y Arista toman ACL, al igual que los equilibradores de carga de F5 Networks. No es exagerado decir que casi todos los dispositivos conectados a la red tienen la capacidad de tomar instrucciones de segmentación.

Por lo tanto, cualquier buena solución de microsegmentación debe emplear tantos de estos puntos de aplicación como sea posible. Luego de todo, ¿por qué confiar en un agente de proveedor para hacer cumplir la ley cuando el firewall del kernel es uno de los códigos más estables y de mayor rendimiento disponibles? Busque una solución capaz de programar instancias de firewall y redes de red y nube existentes. Los sistemas integrados y los dispositivos OT no tienen un firewall incorporado y no aceptarán un agente del proveedor, por lo que querrá una solución que emplee todos los puntos de aplicación disponibles.

Consideraciones de rendimiento y escala

El rendimiento y la escala deben tener al evaluar las soluciones de segmentación de Confianza cero . Las opciones arquitectónicas son importantes, al igual que con cualquier dispositivo de reenvío de hardware como un conmutador o enrutador. Calcular una sola póliza durante una prueba de concepto no es un desafío.

Pero, ¿qué sucede si tiene un centro de datos completamente automatizado donde se eliminan y reemplazan 40,000 instancias informáticas en un intervalo de 15 minutos en una ola que se extiende por un complejo de centro de datos global? De repente, el tiempo de cálculo importa.

La única forma de mantener la política correcta en un entorno de aplicaciones automatizadas es mantener al día con la automatización. Pero incluso una vez que se completa el cálculo, la política debe distribuir y luego aplicar. Este evento de convergencia no es diferente a los enrutadores de hardware que convergen sus tablas de enrutamiento.

¿Qué tan efectiva es la arquitectura de distribución de políticas de las soluciones que está considerando? Si tiene la mitad de un centro de datos que falla, iniciando un gran redireccionamiento del tráfico de recuperación ante desastres, la distribución oportuna de las actualizaciones de políticas de repente se volverá de vital importancia para mantener la disponibilidad de las aplicaciones.

Los proveedores líderes tienen experiencia en la convergencia de políticas completas de Zero Trust en hasta 500.000 objetos. Cerciorar de que los proveedores que está considerando puedan justificar las afirmaciones de conmutación por error de varias ubicaciones y convergencia simultánea de directivas.

Obtener una política definida calculada y luego distribuida supone la mayor carga de rendimiento para la solución de microsegmentación. Cualquier solución puede funcionar en un entorno de evaluación simple. Pero solo las soluciones a escala empresarial tienen la capacidad de soportar eventos de partición de red, escenarios de conmutación por error y recuperación ante desastres, por no hablar de las exigentes reconfiguraciones de automatización de aplicaciones.

Para tener una capacidad de distribución de directivas eficaz, querrá comprender completamente cómo una solución de proveedor automatiza la directiva legible por humanos en reglas. La política debe distribuir a tantos de sus puntos de aplicación existentes como sea posible, con firewalls de kernel maduros y estables preferidos a cualquier solución de proveedor propietario. Cuando se implementa el cálculo y la distribución de políticas continuas y dinámicas, la segmentación de confianza cero se convierte en un servicio de aplicaciones disponible y se puede automatizar completamente mediante la automatización de aplicaciones existente.

Unir a nosotros la próxima semana en nuestra última entrega mientras consideramos lo que se requiere para hacer cumplir una política de segmentación de confianza cero.