C'est un oiseau, c'est un avion, c'est... un superamas !

Les grandes entreprises disposent souvent de centres de données situés dans différentes régions géographiques. Les centres de données répartis permettent à ces organisations d'installer leurs applications à proximité de leurs clients et de leurs employés, de se conformer aux exigences en matière de résidence des données et d'assurer la reprise après sinistre de leurs applications commerciales essentielles. L'adoption de l'informatique dématérialisée permet aux entreprises de toutes tailles de répartir plus facilement leurs charges de travail entre plusieurs régions. Par exemple, AWS couvre aujourd'hui 18 régions géographiques dans le monde.   

Nous sommes ravis de présenter PCE Supercluster qui offre une visibilité totale, une gestion centralisée et fédérée, et une application cohérente des politiques de microsegmentation dans une infrastructure multirégionale - à très grande échelle. Ce billet explore les principales exigences en matière de sécurisation des infrastructures multirégionales et explique pourquoi nous avons conçu PCE Supercluster avec une architecture fédérée.

Exigences pour une solution de microsegmentation multirégionale

Si vous disposez d'une infrastructure distribuée à l'échelle mondiale, une solution de microsegmentation doit répondre à plusieurs exigences clés. Il est important de prendre en compte ces exigences dès le départ, même si votre déploiement initial de microsegmentation se limite à un seul site.

• Résilience: La solution de microsegmentation doit continuer à fonctionner et à sécuriser l'infrastructure en cas de défaillance du centre de données ou de panne du réseau entre les régions.
• Évolutivité: La solution de microsegmentation doit s'adapter au nombre de charges de travail dans chaque centre de données et au nombre total de charges de travail dans le monde.
• Facilité de gestion: La solution de microsegmentation doit pouvoir être gérée par les équipes de sécurité et d'application mondiales et régionales.
• Efficacité de la bande passante: La bande passante du réseau entre les régions est coûteuse. La solution ne doit donc pas consommer de grandes quantités de bande passante.

Architectures pour une solution de microsegmentation multirégionale

Le moteur de calcul des politiques (PCE) d'Illumio est un contrôleur logiciel chargé d'orchestrer les politiques de microsegmentation entre les charges de travail et d'autres points d'application dans l'infrastructure. Le PCE recueille également des données télémétriques de l'infrastructure, telles que des informations sur le flux du réseau et des informations sur les processus en cours d'exécution sur les charges de travail.

Il existe plusieurs approches possibles pour architecturer l'ECP - ou toute solution de microsegmentation logicielle - afin de sécuriser les charges de travail situées dans différentes régions géographiques.

Voici une analyse des différentes approches architecturales et de leur correspondance avec les exigences décrites ci-dessus.

Architecture centralisée - le contrôleur se trouve à un seul endroit.

• Résilience : Une architecture centralisée crée un point de défaillance unique et offre une résilience limitée.
• Évolutivité : Une architecture centralisée peut évoluer verticalement et horizontalement pour prendre en charge le nombre total de charges de travail dans le monde.
• Facilité de gestion : Une architecture centralisée permet aux équipes de sécurité et d'application de configurer et d'appliquer facilement la politique de microsegmentation à l'ensemble de l'infrastructure. Le contrôle d'accès basé sur les rôles (RBAC) peut être utilisé pour fournir aux équipes régionales un accès limité à la visualisation et à la modification de la politique pour les seules applications de leur région. 
• Efficacité de la bande passante : Une architecture centralisée utilise plus de bande passante car toutes les données de flux du réseau et autres télémétries doivent être renvoyées au contrôleur. La largeur de bande augmente avec le nombre de charges de travail par région et le nombre de connexions entre ces charges de travail.
   

Architecture distribuée - place un contrôleur dans chaque centre de données et les contrôleurs sont complètement indépendants les uns des autres.

• La résilience : Une architecture distribuée est très résiliente. La défaillance d'un contrôleur dans une région n'affecte pas les autres régions.
• Évolutivité : Une architecture distribuée peut évoluer en fonction du nombre de charges de travail dans chaque centre de données et du nombre total de charges de travail dans le monde en déployant davantage de contrôleurs.
• La facilité de gestion : Une architecture distribuée permet aux équipes régionales de créer des politiques locales, mais cette architecture pose des problèmes pour l'application des politiques globales, car celles-ci doivent être répliquées manuellement dans chaque région. En outre, il n'existe aucun moyen de visualiser toutes les applications en un seul endroit et de voir les dépendances interrégionales.
• Efficacité de la bande passante : Une architecture distribuée est plus efficace en termes de bande passante, car toutes les données restent localisées dans la région.

Architecture fédérée - place un contrôleur dans chaque centre de données et les contrôleurs communiquent entre eux pour partager des informations sur la politique de sécurité de l'organisation et les charges de travail qui sont sécurisées.

• Résilience : Une architecture fédérée est très résiliente. La défaillance d'un contrôleur dans une région n'affecte pas les autres régions.
• Évolutivité : Une architecture fédérée peut évoluer en fonction du nombre de charges de travail dans chaque centre de données et du nombre total de charges de travail dans le monde en déployant davantage de contrôleurs.
• Facilité de gestion : Une architecture fédérée facilite la configuration et l'application d'une politique de microsegmentation dans l'ensemble de l'infrastructure par les équipes chargées de la sécurité et des applications au niveau mondial. Le système RBAC peut être utilisé pour fournir aux équipes régionales un accès limité à la visualisation et à la modification de la politique pour les seules applications de leur région.
• Efficacité de la bande passante : Une architecture fédérée est plus efficace en termes de bande passante, à condition que seule la quantité minimale d'informations soit partagée entre les contrôleurs pour que le système fonctionne.

Le tableau suivant résume les trois architectures de microsegmentation de l'infrastructure multirégionale :

CentraliséDistribuéFédéré Résilience -++ Évolutivité +++ Gérabilité +-+ Efficacité de la bande passante -++

Présentation de PCE Supercluster : la microsegmentation multirégionale dans les règles de l'art

Compte tenu des avantages évidents, PCE Supercluster a été conçu avec une architecture fédérée. Dans un supercluster, la politique de sécurité globale est gérée à partir d'un PCE leader désigné. Les solides capacités RBAC d'Illumio sont prises en charge sur Supercluster, ce qui permet aux équipes mondiales et régionales d'accéder à l'ECP du chef de file selon le principe du moindre privilège. La politique est ensuite automatiquement répliquée vers les autres PCE qui traduisent les politiques basées sur les étiquettes en instructions utilisées pour programmer les pare-feu hôtes sur les charges de travail et d'autres points d'application dans l'infrastructure. Cette conception garantit que la politique globale sera appliquée en permanence, même si une région est isolée du reste du supercluster.

Illumio a reconnu très tôt que la visibilité est la clé de la microsegmentation, car vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir. Supercluster fournit une carte de dépendance des applications(Illumination) sur le leader pour visualiser les dépendances des applications intra- et inter-régions et la couverture des politiques. La visibilité en temps réel des systèmes à haute valeur ajoutée et des connexions et flux autorisés entre ces applications est une première étape essentielle pour concevoir les micro-périmètres de l'organisation et créer des politiques de microsegmentation qui ne briseront pas les applications.

Supercluster ajoute un niveau d'échelle pour soutenir les plus grandes organisations du monde.

Un seul PCE peut déjà être déployé en tant que grappe à plusieurs nœuds pour prendre en charge des dizaines de milliers de charges de travail. En permettant à plusieurs PCE d'être réunis, Supercluster ajoute un autre niveau d'échelle pour soutenir les plus grandes organisations du monde.

Nous avons consacré beaucoup d'énergie à la conception de Supercluster afin de minimiser la consommation de bande passante entre les PCE. Seule la quantité minimale de données relatives à la charge de travail nécessaire au calcul de la politique est répliquée entre les régions. En outre, les données de flux du réseau sont prétraitées au niveau régional par chaque PCE et seules les informations minimales nécessaires pour dessiner la carte de dépendance de l'application en direct sont répliquées sur le réseau.

Avec PCE Supercluster, les organisations peuvent :

• Obtenir une visibilité en temps réel de leur environnement de centre de données distribué à l'échelle mondiale.
• Concevez en toute confiance des micro-périmètres et créez des politiques de microsegmentation qui prennent en charge le trafic interrégional et appliquent la microsegmentation à grande échelle, sans interrompre les applications.
• atteindre leurs objectifs de microsegmentation et, en même temps, réaliser des économies de bande passante sur le réseau et prendre en charge la reprise après sinistre et la haute disponibilité.