.png)
Qu'est-ce qui est important dans un modèle de politique pour la microsegmentation ?
De toutes les caractéristiques à discuter dans une solution de microsegmentation, la plupart des fournisseurs ne commenceraient pas par le modèle de politique. Toutefois, en ce qui concerne les résultats potentiels d'une solution donnée, le modèle politique détermine ce qui est possible. Par conséquent, réfléchir à ce qui est nécessaire dans un modèle de politique est une excellente préparation pour prendre une décision d'achat de haute qualité et sans regret. Examinons chacun des composants importants d'un modèle de politique de microsegmentation souhaitable.
Étiquettes multidimensionnelles
Les politiques de microsegmentation utilisent des étiquettes pour isoler la segmentation de l'adressage et des dispositifs sous-jacents du réseau. Idéalement, ces étiquettes seront "utilement multidimensionnelles". Un espace de noms plat avec un nombre illimité d'étiquettes n'est pas utile ; il n'offre aucune synthèse ou structure pour suspendre les déclarations de politique qui affectent de nombreuses machines. Si vous étiquetez chaque système dans un espace de noms plat, c'est à peine mieux que d'utiliser les adresses IP pour spécifier la politique. Il est intéressant de noter que, bien qu'aucune limite ne doive être imposée au nombre d'étiquettes dans une dimension de politique donnée, le fait de contraindre les dimensions de politique s'est avéré utile dans les déploiements à grande échelle.
Nous, les humains, pouvons facilement nous représenter quatre dimensions : trois dimensions physiques plus le temps, par exemple. Mais si les physiciens ont raison et que nous vivons dans un espace à 11 ou 13 dimensions, seules les mathématiques peuvent rendre compte de ces dimensions. Il est impossible de les visualiser dans notre cerveau. Cela a des conséquences pratiques pour la microsegmentation. Vous pouvez programmer un ordinateur pour qu'il comprenne et calcule une politique à 11 dimensions, mais aucun humain ne sera capable de la comprendre. Les humains doivent être en mesure d'inspecter, d'auditer et de comprendre les politiques de microsegmentation.
D'après notre expérience, quatre dimensions permettent de modéliser efficacement même les plus grands réseaux de la planète à des fins politiques, tout en préservant notre capacité à comprendre le modèle. Recherchez donc un modèle de politique qui ne se limite pas à un espace plat ou à un espace d'étiquetage. La structure à quelques dimensions fonctionne à l'échelle de centaines de milliers de systèmes, mais reste facile à comprendre et à utiliser. Regardez cette vidéo pour en savoir plus sur le pouvoir des étiquettes.
Modèle de l'objet riche
Un langage politique de qualité aura un modèle d'objet suffisamment riche. Le centre de données d'une entreprise à grande échelle est un lieu complexe. Il est évident que le modèle doit s'adapter à tout ce qui doit être protégé : serveurs, VM, conteneurs, instances en nuage, etc. Mais ces systèmes protégés ne suffisent pas à abstraire toutes les primitives politiques utiles. Vous devez disposer d'objets pour les mappages service/port et les plages d'adresses IP. Au sein des serveurs partagés - par exemple un serveur avec plusieurs instances de base de données - vous devez être en mesure d'isoler ces instances les unes des autres en tant que services virtuels distincts. Les conteneurs et les hôtes de conteneurs devraient être à la fois des "citoyens de première classe" qui apparaissent sur toutes les visualisations et une partie des déclarations de politique. Il est intéressant de noter qu'il est également important d'ajouter des systèmes non protégés au modèle d'objet, en particulier dans les premières phases du déploiement, lorsque le nombre d'éléments non protégés est supérieur au nombre d'éléments protégés et que ces systèmes communiquent les uns avec les autres. Le fait de pouvoir représenter tous les flux de manière claire facilite grandement la définition de la politique souhaitée. Les meilleures solutions seront même capables d'élaborer des politiques pour les objets non gérés si vous souhaitez les exporter et les mettre en œuvre.
Héritage
L'héritage des politiques est le seul moyen de faire évoluer la politique de microsegmentation pour couvrir un centre de données existant. Si environ 80 % du trafic circule à l'intérieur du centre de données, cela signifie que les règles du pare-feu périmétrique existant ne couvrent que 20 % du trafic. Cela signifie que le centre de données peut contenir cinq fois plus de règles qu'il n'y en a actuellement dans tous les pare-feux ! Les abstractions fournies par le modèle de politique et sa dimensionnalité utile doivent être combinées avec un modèle de politique de liste d'autorisation pure. Ce n'est qu'ainsi qu'une politique peut être rédigée une seule fois pour s'appliquer dans de nombreux cas. L'héritage et l'automatisation intelligente des politiques de microsegmentation communes, comme le cloisonnement des applications, se combinent pour former le seul moyen éprouvé de segmenter avec succès des dizaines de milliers de systèmes.
Déclaratif ou impératif
Le seul modèle de politique ayant réussi à microsegmenter plus de 100 000 charges de travail utilise une méthode déclarative pour exprimer les souhaits de segmentation. Un modèle déclaratif de politique ne nécessite que la spécification du résultat souhaité. Un modèle politique impératif exige que la solution soit spécifiée exactement pour créer le résultat. Un ensemble de règles de pare-feu traditionnel est impératif : chaque énoncé doit être présent dans un ordre parfait et avec une précision parfaite pour que la protection souhaitée existe. Cette situation est source de difficultés et de complexité. Cependant, la politique de microsegmentation idéale utilise exclusivement un langage déclaratif : "Je veux cloisonner l'application de commande à l'intérieur de mon environnement de production. La manière d'y parvenir est l'affaire du moteur de calcul des politiques (Policy Compute Engine) qui se trouve derrière le langage des politiques. De cette manière, la politique est toujours facile à spécifier, à comprendre et à développer. Compte tenu de l'ampleur du travail à accomplir, toute autre solution est vouée à l'échec.
Application cohérente
Lorsque toutes les primitives nécessaires existent, les meilleures solutions de microsegmentation les utilisent de manière cohérente dans tous les domaines du produit. Les étiquettes ne servent pas uniquement à la création de politiques, elles doivent également informer sur la visibilité, la distribution et l'application des politiques. Le contrôle d'accès basé sur les rôles (RBAC) doit suivre exactement la structure de l'étiquette afin que les propriétaires d'applications, DevOps et autres puissent accéder à tout ce dont ils ont besoin, mais pas plus. La sécurisation des déploiements automatisés, en particulier, exige cette capacité de délégation précise. Une structure d'étiquetage utile, claire et simple crée un modèle mental lorsqu'elle est appliquée de manière cohérente. Presque immédiatement, les administrateurs comprennent intuitivement le fonctionnement de la solution et peuvent anticiper les résultats. Cette intuition se transforme rapidement en vitesse, la vitesse en maîtrise, et la maîtrise en projets finis. La simplicité, la clarté et la cohérence sont la solution pour les environnements complexes des centres de données.
Abstraction complète
J'aime à dire que l'automatisation mange les métadonnées au petit déjeuner. L'automatisation ne peut aller plus vite que l'abstraction. Un modèle de politique efficace doit faire abstraction de tout vestige d'adressage de réseau et du mécanisme d'application lui-même. La politique ne doit porter que sur ce qui est souhaité. De cette manière, l'automatisation peut facilement énoncer le résultat : "Web doit parler à App". Les règles requises pour que cela soit vrai seront en constante évolution dans un environnement dynamique en nuage ou automatisé, et cette complexité ne peut pas être exposée au cadre d'automatisation si l'on veut qu'il soit évolutif. Une politique reposant sur les adresses IP, aussi bien intentionnée soit-elle, ne pourra tout simplement pas être mise en œuvre. De même, le mécanisme d'application doit être caché. Une fois le souhait exprimé, le moteur de politique de microsegmentation doit trouver le meilleur moyen de mettre en œuvre cette politique en fonction des ressources qu'il connaît. Ainsi, au fur et à mesure de l'évolution des systèmes, le nombre de points d'application évoluera, tout comme la base de règles et de politiques. Seule une politique entièrement abstraite donnera aux architectes DevOps et cloud les capacités dont ils ont besoin pour s'interfacer de manière transparente avec la solution de microsegmentation.
Politique à grande échelle
Il y a bien longtemps, la mégafaune dominait la Terre. Des versions géantes de plantes et d'animaux se trouvaient sur tous les continents et dépassaient en hauteur les espèces que nous connaissons aujourd'hui. Les meilleurs modèles politiques incluent des facteurs d'échelle qui dépassent les simples descriptions des applications individuelles. La possibilité de regrouper n'importe quelle étiquette à travers n'importe quelle dimension de politique permet à des politiques uniques d'affecter des systèmes dans plusieurs centres de données, environnements ou applications. Lors de la rédaction de politiques pour l'entreprise à grande échelle, ces "mégapolitiques" se déplacent avec une portée, une vitesse et une efficacité étonnantes pour couvrir l'entreprise avec des politiques de microsegmentation.
Un modèle de politique peut sembler un concept abstrait et sans importance. Mais pour un déploiement réussi de la microsegmentation, rien n'est plus éloigné de la vérité. Le modèle politique détermine ce qu'il sera possible ou non d'exprimer et dans quelle mesure il sera facile ou difficile de le faire. Une entreprise peut rapidement changer la couleur de son interface utilisateur, mais elle aura du mal à corriger un modèle de politique défectueux ou mal conçu. Le modèle de politique de microsegmentation le plus éprouvé au monde permet une abstraction totale des points d'adressage et d'application du réseau grâce à un modèle d'étiquettes "à dimension utile". Ce modèle est appliqué de manière cohérente à toutes les fonctions du produit. Lorsque les modèles d'objets complets se combinent à l'héritage et aux modèles déclaratifs, il est possible d'énoncer facilement et rapidement le résultat souhaité et de faire en sorte qu'il se réalise dans le monde. La microsegmentation ne réussit à l'échelle de centaines de milliers de charges de travail que grâce à un modèle de politique mature, complet et bien conçu.
Dans la suite de cette série de questions sur la microsegmentation que vous ne savez pas poser, nous verrons ce qu'il faut faire pour automatiser la politique de microsegmentation.
