Nano-segmentação⟶: Por que toda essa confusão?

Na conferência RSA da semana passada, a Illumio apresentou a nanossegmentação, nossa inovação mais recente na proteção de aplicativos de várias camadas executados em data centers e nuvens. A Illumio Adaptive Security Platform (ASP)^TM agora estende a segmentação de aplicativos da granularidade de cargas de trabalho individuais para processos executados dentro das cargas de trabalho.

Os participantes da RSA que assistiram às apresentações teatrais da Illumio viram o poder da nanossegmentação para reduzir drasticamente a exposição da empresa às ameaças e restringir o “raio de explosão” dos ataques. Mostramos como a nanossegmentação pode colocar em quarentena um servidor comprometido usando uma operação simples de arrastar e soltar, uma novidade no setor. Segmentar o data center para separar aplicativos (desenvolvimento, teste, produção etc.) ou isolar aplicativos (por exemplo, para conformidade com PCI) é necessário para lidar com a segurança de ambientes de computação dinâmica distribuídos entre data centers e nuvens. Mas nem toda segmentação é criada da mesma forma. Deixe-me explicar.

Nem toda segmentação é criada da mesma forma.

A maioria de nós está familiarizada com o termo “microssegmentação”, que foi introduzido pelos fornecedores de SDN há alguns anos. A microssegmentação foi promovida como uma forma de as empresas isolarem aplicativos executados em ambientes virtuais. No entanto, as soluções atuais para microssegmentação vêm com várias restrições: elas estão vinculadas ao hipervisor, às construções de rede (VLANs, sub-redes, zonas de segurança etc.) ou a outro hardware (switches, roteadores etc.). A maioria das soluções não aborda a segmentação de aplicativos na nuvem ou aplicativos que incluem servidores bare-metal. O objetivo da segurança por meio da segmentação de aplicativos é bem intencionado, mas as soluções existentes são insuficientes.

Entre na nanossegmentação  

A primeira etapa para alcançar a segmentação mais granular para aplicativos de data center é reduzir a superfície de ataque até unidades individuais de computação (qualquer VM ou servidor bare metal) em data centers e nuvens. O Illumio ASP faz isso programando dinamicamente regras precisas de segurança de entrada e saída em cada carga de trabalho. Isso permite que a plataforma crie um perímetro adaptável em torno de cada instância de computação (em qualquer data center ou nuvem), criando efetivamente um segmento de uma. Quando combinado com o modelo de política dinâmico e de lista branca do Illumio ASP, ele permite que os administradores especifiquem totalmente as interações de carga de trabalho permitidas para aplicativos sem dependências na rede. Com o lançamento mais recente do produto, a Illumio deu um passo adiante ao permitir a segmentação de vários aplicativos até processos em um único host. Como exemplo, duas instâncias do processo Apache em uma única carga de trabalho podem ser segmentadas em dois aplicativos diferentes.

O que há com o nome?

Nós nos entregamos a uma pequena vantagem de marketing com um nome como nanossegmentação? Longe disso, é deliberado e apoiado por pontos de prova. A nanosegmentação, como o nome indica, permite que as empresas segmentem aplicativos da forma mais granular possível. Queríamos que as empresas soubessem que existe uma maneira de “comer seu bolo e comê-lo também”: elas podem segmentar aplicativos em data centers e nuvens, mantendo a segurança intacta. Mais importante ainda, o recurso permite que a segmentação de aplicativos seja igualmente eficaz em qualquer ambiente de computação.

E mais uma coisa: o termo “Nano” dá credibilidade ao princípio da Illumio de segurança independente de rede. É um acrônimo para “Never Again Network-Oriented”.