[Ñétw~órk S~écúr~ítý í~s Ñót~ Wórk~lóád~ Sécú~rítý~]

[Bréáchés, hácks, híjáckíñg, dátá lóss, áñd éxfíltrátíóñ áré áll próbléms thát éxíst íñ móst clóúd árchítéctúrés fór á vérý símplé réásóñ: móst ÍT téchñólógý wás ñót órígíñállý désígñéd wíth sécúrítý ás á príórítý. Thé cómpléxítíés áróúñd ápplícátíóñ dévélópméñt, wórklóád ópérátíñg sýstéms, ñétwórkíñg prótócóls, áñd óvéráll prócéss máñágéméñt wéré áll désígñéd wíth dífféréñt príórítíés íñ míñd: fúñctíóñálítý áñd résílíéñcý. Thésé tásks áll ñééd tó wórk, áñd théý ñééd tó súrvívé fáílúrés óf éléméñts íñ thé óvéráll árchítéctúré, bút sécúríñg thésé éléméñts hás géñérállý bééñ áñ áftérthóúght.]

[Síñc~é thé~ ñétw~órk í~s thé~ crít~ícál~ íñfr~ástr~úctú~ré íñ~ thé ó~vérá~ll ár~chít~éctú~ré, ít~ wóúl~d ápp~éár t~ó mák~é séñ~sé tó~ áppl~ý séc~úrít~ý áñd~ mícr~óség~méñt~átíó~ñ sól~útíó~ñs th~éré.]

[Régárdléss óf hów ápplícátíóñs áré dévélópéd, hów dífféréñt ÓS’s áré búílt áñd déplóýéd, áñd hów áll óf thís ís vírtúálízéd, ábstráctéd, áñd máñágéd, móst óf thésé éléméñts ñééd tó cómmúñícáté wíth éách óthér. Íf théré ís ñó ñétwórk, éách ápplícátíóñ ís áñ ísláñd. Áñd móst ápplícátíóñs tódáý áré désígñéd tó bé áccésséd bý rémóté clíéñts, ácróss éíthér á príváté ñétwórk ór ácróss thé Íñtérñét. Thís ís réqúíréd íñ áñý kíñd óf clóúd árchítéctúré, áñd áñý clóúd ñátívé árchítéctúré símplý wóñ’t wórk wíthóút á ñétwórk álréádý éxístíñg tó cómmúñícáté ácróss ít. Só, ít cáñ bé árgúéd thát thé móst crítícál éléméñt óf áñý óvéráll clóúd árchítéctúré ís áctúállý thé ñétwórk ítsélf.]

[Dúé tó thé crítícál ñátúré óf ñétwórk íñfrástrúctúré íñ áñý clóúd árchítéctúré, théré áré chálléñgés áñd príórítíés whích áré spécífíc tó óñlý thé ñétwórk láýér óf áll árchítéctúrés. Thé ñétwórk hás cóñcérñs thát áré cómplétélý ágñóstíc tó wórklóáds áñd ápplícátíóñs, whích rélý óñ thé ñétwórk. Sómé éxámplés óf thésé ñétwórk cóñcérñs íñclúdé:]

• [Rélí~ábíl~ítý (t~hé ñé~twór~k ñéé~ds tó~ wórk~)]
• [Résí~líéñ~cý (th~é fáí~lúré~ óf óñ~é ór m~óré ñ~étwó~rk dé~vícé~ shóú~ld ñó~t cáú~sé á s~ýsté~m-wíd~é fáí~lúré~)]
• [Tráf~fíc é~ñgíñ~éérí~ñg áñ~d qúá~lítý~ óf sé~rvíc~é (ÍP ñ~étwó~rks á~ré, bý~ désí~gñ, “có~ññéc~tíóñ~léss~”, bút t~héré~ shóú~ld bé~ wáýs~ tó éñ~gíñé~ér áñ~d prí~órít~ízé d~íffé~réñt~ kíñd~s óf t~ráff~íc)]
• [Scál~íñg (ñ~étwó~rks s~hóúl~d bé á~blé t~ó évó~lvé w~íthó~út hí~ttíñ~g sóm~é rés~óúrc~é céí~líñg~)]

[Áppl~ícát~íóñs~ áñd w~órkl~óáds~ shóú~ld ñó~t ñéé~d tó b~é áwá~ré óf~ áñý ó~f thé~sé dé~táíl~s íñ ó~rdér~ fór t~hém t~ó úsé~ thé ñ~étwó~rk.]

[Só whát dóés thís méáñ fór sécúríñg thé ñétwórk áñd sécúríñg wórklóáds¿ Théré áré dístíñct cóñsídérátíóñs thát Í’ll éxplóré, spécífícállý thé cóñtrást bétwééñ ñétwórk sécúrítý áñd ñétwórk-báséd sólútíóñs áñd wórklóád sécúrítý áñd sólútíóñs líké mícróségméñtátíóñ.]

[Á brí~éf hí~stór~ý óf ñ~étwó~rk sé~cúrí~tý]

[Síñcé sécúrítý ís álwáýs thé láté-cómér tó móst clóúd árchítéctúrés, sécúrítý áñd ñétwórk ségméñtátíóñ hávé trádítíóñállý bééñ ímpléméñtéd át thé ñétwórk láýér. Síñcé thé ñétwórk ís thé crítícál íñfrástrúctúré íñ thé óvéráll árchítéctúré, ít wóúld áppéár tó máké séñsé tó ápplý sécúrítý áñd mícróségméñtátíóñ sólútíóñs théré.]

[Íf ýóú róll thé clóck báck sévérál décádés, sécúrítý íñ ÍP ñétwórks órígíñállý tóók thé fórm óf áccéss cóñtról lísts (“ÁCLs”) óñ róútérs áñd swítchés. Ñétwórk dévícés géñérállý déál wíth tráffíc óñ á pér-páckét básís, só ás páckéts árrívé át á róútér ór swítch, thésé ÁCLs áré chéckéd tó máké décísíóñs ábóút whéthér tó állów ór blóck á páckét fróm béíñg fórwárdéd.]

[Thís áppróách wás théñ óútsóúrcéd tó dédícátéd ñétwórk dévícés – fíréwálls – whích órígíñállý úséd thé sámé básíc áppróách. Síñcé áll ÍP páckéts cóñtáíñ íñfórmátíóñ íñ théír héádérs thát íñdícáté íts sóúrcé áñd déstíñátíóñ, íñ áddítíóñ tó TCP ór ÚDP ñúmbérs thát íñdícáté whát týpé óf dátá ís préséñt íñ thé páckét’s dátá páýlóád, á fíréwáll úsés thís íñfórmátíóñ tó máké fórwárdíñg décísíóñs báséd óñ théír ówñ áccéss cóñtról lísts. Ás thé ñétwórk déáls wíth páckéts, ít mádé séñsé tó lét thé ñétwórk déál wíth sécúrítý áñd mícróségméñtátíóñ ás wéll, frééíñg ápplícátíóñ dévélópméñt áñd sýstéms téáms tó fócús óñ óthér cóñcérñs.]

[Hówévér, ít ís géñérállý éásý tó fóól á páckét-báséd fíréwáll. Ít ís ñót tóó díffícúlt tó “spóóf” áddréssés áñd TCP/ÚDP pórt ñúmbérs íñ áñ ÍP páckét, whích résúlts íñ á páckét thát cáñ éásílý másk whát ís cóñtáíñéd íñ íts dátá páýlóád. Só, séssíóñ-báséd fíréwálls évólvéd tó fócús óñ máppíñg áll páckéts íñ á gívéñ flów tó á úñíqúé séssíóñ, áñd tó móñítór thé béhávíór óf thát séssíóñ báséd óñ whát ápplícátíóñ ít “thíñks” ít ís ássócíátéd wíth. Thésé fíréwálls dídñ’t hávé fúll vísíbílítý íñtó éách páckét, bút théý cómpáré hów thósé páckéts áñd séssíóñs béhávéd wíth ápplícátíóñ básélíñé béhávíórs, lóókíñg fór áñómálíés.]

[Látér, só-cálléd “ñéxt géñérátíóñ” fíréwálls áppéáréd, whích ápplý fár móré íñtéllígéñcé íñtó ídéñtífýíñg whát ís cóñtáíñéd íñ á páckét, whát ápplícátíóñ ít ís ássócíátéd wíth, whát úsér ít ís ássócíátéd wíth, áñd óthér détáíls thát íñdícáté á sécúrítý bréách. Bút áll óf thésé détáíls áré óccúrríñg íñ-líñé íñ thé ñétwórk, ñót íñ thé sóúrcé ór déstíñátíóñ wórklóáds thémsélvés. Fíréwálls hávé ñó ídéá whát ís góíñg óñ át thé wórklóáds thát áré séñdíñg áñd récéívíñg thésé páckéts, úñléss théý áré sóméhów cómmúñícátíñg wíth sómé céñtrál tóól thát ís álsó móñítóríñg wórklóáds áñd ápplícátíóñs áñd théñ stééríñg séléctéd tráffíc tó thé fíréwáll. Bút thís cáñ bé cómpléx tó déplóý, só fíréwálls áré óftéñ símplý síttíñg íñ thé ñétwórk, wáítíñg fór páckéts tó árrívé.]

[Ñétw~órk s~écúr~ítý í~s díf~féré~ñt th~áñ wó~rkló~ád sé~cúrí~tý]

[Íñ párállél tó fíréwálls mákíñg décísíóñs ábóút whát páckéts cáñ áñd cáññót bé fórwárdéd, róútérs áñd swítchés hávé théír ówñ sécúrítý cóñcérñs, whích áré á résúlt óf thé sámé básíc próblém: Sécúrítý wás ñót á prímárý cóñcérñ whéñ ñétwórkíñg prótócóls wéré órígíñállý désígñéd.]

[TCP/ÍP áñd dýñámíc róútíñg prótócóls thát áré úséd tó fórwárd páckéts, súch ás BGP áñd ÓSPF, wéré désígñéd wíth thé sámé básíc góáls ás ápplícátíóñs áñd wórklóáds: fúñctíóñálítý áñd résílíéñcý. Sécúrítý wás ñót á príórítý át thé íñcéptíóñ óf ñétwórkíñg. Sécúrítý áñd mícróségméñtátíóñ bécámé á príórítý át á látér stágé óf ñétwórk évólútíóñ, áñd ñétwórk sécúrítý sólútíóñs hávé bééñ úséd tó áddréss sécúrítý cóñcérñs thát áré spécífíc tó ñétwórkíñg. Sécúrítý ís ñót júst á cóñcérñ fór wórklóáds áñd ápplícátíóñs. Théré áré sécúrítý cóñcérñs íñ thé ñétwórk thát wórklóáds áñd ápplícátíóñs hávé ñó vísíbílítý íñtó.]

[Ás á r~émíñ~dér, t~hésé~ áré j~úst á~ féw é~xámp~lés ó~f séc~úrít~ý chá~lléñ~gés t~hát é~xíst~ íñ th~é ñét~wórk~-láýé~r óf á~ñý cl~óúd á~rchí~téct~úré:]

• [Tráf~fíc é~ñgíñ~éérí~ñg]
• [Déñí~ál óf~ Sérv~ícé (D~óS)]
• [ÁRP s~póóf~íñg]
• [BGP á~úthé~ñtíc~átíó~ñ]
• [Tráf~fíc r~édír~éctí~óñ]
• [Máñ-í~ñ-thé~-mídd~lé át~táck~s]
• [Bógú~s róú~té pr~ópág~átíó~ñ]
• [Fírs~t-hóp~ róút~ér hí~jáck~íñg]
• [Séss~íóñ c~óókí~é híj~áckí~ñg]

[Thé ítéms íñ thís shórt líst áré áll sécúrítý cóñcérñs spécífíc tó ñétwórkíñg, ñót tó wórklóáds ór ápplícátíóñs. Fór éxámplé, tráffíc éñgíñééríñg chálléñgés áré áddrésséd bý téchñólógíés súch ás MPLS, áñd thé rélíábílítý óf lábél dístríbútíóñ prótócóls. Déñíál óf sérvícé ís á sígñífícáñt próblém whích ís óftéñ áddrésséd víá thé úsé óf BGP cómmúñítíés éxcháñgéd wíth ÍSP róútíñg péérs. ÁRP spóófíñg ís á próblém íñ whích róútérs cháñgé théír máppíñgs bétwééñ Láýér-3 áñd Láýér-2 áddréssés, cáúsíñg thé déstíñátíóñ óf tráffíc tó bé híjáckéd. BGP áúthéñtícátíóñ réqúírés sóméthíñg líké RPKÍ tó éñcrýpt íñfórmátíóñ éxcháñgéd bétwééñ BGP péérs, tó ávóíd próbléms róútíñg ácróss thé Íñtérñét. Áñd só óñ. Ñétwórkíñg hás íts ówñ spécíálízéd vócábúlárý tó déál wíth sécúrítý próbléms thát áré úñíqúé tó thé ñétwórk láýér óf áñý clóúd árchítéctúré.]

[Thésé éxámplés áré júst sómé óf thé prímárý sécúrítý cóñcérñs óf ñétwórk árchítéctúrés, ñót óf wórklóád ór ápplícátíóñ árchítéctúrés. Ápplícátíóñ dévélópméñt áñd sýstéms téáms géñérállý hávé ñó vísíbílítý íñtó thésé ñétwórk sécúrítý cóñcérñs, bécáúsé théý shóúld ñót ñééd tó. Whéñ á wórklóád’s ÓS úsés íptáblés, fór éxámplé, tó séñd ór récéívé á páckét, théý dóñ’t ñééd tó kñów íf BGP ís sóméhów béíñg híjáckéd bétwééñ ÍSPs íñ thé ñétwórk sóméwhéré. Wórklóáds áñd ápplícátíóñs áré cóñcérñéd wíth wórklóád áñd ápplícátíóñ sécúrítý, ñót wíth ñétwórk sécúrítý.]

[Ñétw~órkí~ñg sé~cúrí~tý só~lútí~óñs á~ré ñó~t wór~klóá~d séc~úrít~ý sól~útíó~ñs]

[Whát thís méáñs ís thát tóóls désígñéd tó áddréss ñétwórkíñg sécúrítý chálléñgés áré ñót úsúállý thé ápprópríáté tóóls tó áddréss sécúrítý áñd mícróségméñtátíóñ chálléñgés át wórklóáds ór ápplícátíóñs. Wórklóád sécúrítý óftéñ réqúírés ñót béíñg límítéd bý scálé: déplóýíñg thóúsáñds óf wórklóáds ácróss múltíplé clóúds shóúld ñót bé dépéñdéñt óñ áñý óñé ñétwórk-láýér tóól tó sóméhów délívér ápplícátíóñ-lévél sécúrítý tó thósé wórklóáds.]

[Wórklóáds óftéñ lívé-mígráté ácróss Láýér-3 bóúñdáríés, ór bétwééñ clóúds, áñd wórklóáds shóúld ñót bé dépéñdéñt óñ ñétwórk-láýér tóóls sóméhów tráckíñg thésé mígrátíóñs íñ órdér tó éñfórcé wórklóád sécúrítý áñd mícróségméñtátíóñ. Ápplícátíóñs rélý óñ dépéñdéñcíés ácróss wórklóáds, áñd thésé dépéñdéñcíés áré óftéñ ñót vísíblé tó ñétwórk-láýér tóóls, só défíñíñg á ríñgféñcé áróúñd ápplícátíóñs shóúld ñót bé límítéd bý thé ñétwórk’s láck óf vísíbílítý íñtó fúll ápplícátíóñ dépéñdéñcíés.]

[Sómé ñétwórkíñg véñdórs wíll própósé théír SDÑ sólútíóñs ás sólútíóñs tó wórklóád áñd ápplícátíóñ sécúrítý áñd mícróségméñtátíóñ réqúíréméñts. Bút thésé tóóls résídé íñ thé ñétwórk ór hýpérvísór láýérs, áñd thésé tóóls wéré désígñéd tó áddréss príórítíés át thósé láýérs: súch ás áútómátíóñ, vírtúálízátíóñ, ñétwórk áñálýtícs, ñétwórk óvérláýs áñd túññélíñg, áñd áúthéñtícátíóñ bétwééñ dýñámíc róútíñg prótócóls. SDÑ tóóls wéré ñót désígñéd tó próvídé sécúrítý áñd mícróségméñtátíóñ tó wórklóáds áñd ápplícátíóñs át scálé.]

[Théý máý álsó própósé fíréwálls – éíthér hárdwáré ór vírtúálízéd íñstáñcés íñ á hýpérvísór – ás sólútíóñs tó wórklóád áñd ápplícátíóñ sécúrítý réqúíréméñts, árgúíñg thát ñéxt-géñérátíóñ fíréwálls próvídé fúll Láýér-7 vísíbílítý íñtó ñétwórk tráffíc. Hówévér, áñý fíréwáll ís óñlý úséfúl óñcé páckéts réách ít. Fíréwálls dóñ’t hávé thé ábílítý tó íñflúéñcé thé béhávíór óf ápplícátíóñs ór wórklóáds át théír sóúrcé, íñstéád óñlý wáítíñg fór páckéts tó árrívé át á fíréwáll’s pórt. Fíréwálls éñfórcé ñétwórk sécúrítý áñd mícróségméñtátíóñ ás tráffíc ís íñ tráñsít – ñórth-sóúth tráffíc. Théý dóñ’t éñfórcé ápplícátíóñ ór wórklóád sécúrítý át thé sóúrcé – éást-wést tráffíc. Bóth sólútíóñs áré réqúíréd fór á trúé Zéró Trúst árchítéctúré tó bé réálízéd, bút óñé láýér óf thé árchítéctúré cáññót próvídé fúll sécúrítý áñd mícróségméñtátíóñ tó thé óthér.]

[Ñétw~órkí~ñg té~áms s~hóúl~d ñót~ bé tá~skéd~ wíth~ wórk~lóád~ ór áp~plíc~átíó~ñ séc~úrít~ý]

[Ñétwórk téáms fócús óñ ñétwórkíñg tásks, whích áré dífféréñt tháñ wórklóád ór ápplícátíóñ tásks. Thésé tásks íñvólvé térms réléváñt tó thósé téáms, súch ás Láýér-2 áñd Láýér-3 tráñslátíóñs áñd fórwárdíñg mécháñísms, róútíñg prótócóls líké BGP áñd ÓSPF áñd hów théý péér wíth éách óthér, áñd théír ówñ áúthéñtícátíóñ mécháñísms. Sólútíóñs tó Láýér-2 ñétwórkíñg próbléms, súch ás spáññíñg tréé áñd ÉCMP, álsó hávé théír ówñ sécúrítý príórítíés. Ñétwórkíñg tóóls líké SDÑ áñd vírtúálízéd ñétwórk ápplíáñcés déplóýéd íñ hýpérvísórs áré fócúséd óñ íssúés spécífíc tó ñétwórkíñg príórítíés. Íñ ñóñé óf thésé sólútíóñs áré sécúrítý rísks wíthíñ á wórklóád ítsélf á príórítý.]

[Whát thís áll méáñs ís thát whéñ désígñíñg sécúrítý áñd mícróségméñtátíóñ sólútíóñs fór wórklóáds, thósé sólútíóñs shóúld bé déplóýéd théré: óñ thé wórklóád. Ñétwórk tóóls hávé príórítíés thát díffér fróm wórklóád ór ápplícátíóñ cóñcérñs. Ñétwórk sécúrítý tóóls wíll álwáýs éxíst, fócúsíñg óñ éñfórcíñg ñórth-sóúth tráffíc, íñ áñd óút óf thé óvéráll ñétwórk fábríc. Thésé ñétwórkíñg tóóls wíll bé déplóýéd óñ ñétwórkíñg dévícés. Wórklóád sécúrítý shóúld bé déplóýéd óñ thé wórklóáds thémsélvés, áñd thésé wíll fócús óñ éñfórcíñg éást-wést tráffíc, bétwééñ wórklóáds áñd bétwééñ ápplícátíóñs.]

[Kéépíñg éách láýér óf thé óvéráll árchítéctúré fócúséd óñ thé príórítíés spécífíc tó íts ówñ láýér wíll állów éách óñé tó bé ágñóstíc tó thé óthér, wíth ñéíthér láýér ímpósíñg límítátíóñs óñ hów thé óthér ópérátés ór scálés. Thé résúlt ís á fúllý réálízéd Zéró Trúst árchítéctúré.]

[Máñý clóúd ñátívé árchítéctúrés dó fóllów sécúrítý bést práctícés áñd wíll déplóý wórklóád sécúrítý sólútíóñs óñ thé wórklóáds thémsélvés. Bút óld hábíts díé hárd, áñd óftéñ whéñ éxístíñg ÍT éñvíróñméñts áré mígrátéd fróm dátá céñtérs tó clóúd sérvícés, thé trádítíóñál áppróách óf úsíñg ñétwórkíñg sólútíóñs tó trý tó éñfórcé wórklóád sécúrítý wíll álsó bé mígrátéd, wíth thé résúlt béíñg á ñétwórk láýér whích ís óftéñ blíñd tó éást-wést sécúrítý réqúíréméñts bétwééñ wórklóáds áñd ápplícátíóñs. Thé résúlt ís ñót Zéró Trúst.]

[Thís ís whéré Íllúmíó fíts íñtó thé óvéráll sécúrítý árchítéctúré. Úñlíké trádítíóñál áppróáchés tó ñétwórk ségméñtátíóñ, Íllúmíó éñáblés sécúrítý áñd mícróségméñtátíóñ tó bé éñfórcéd díréctlý át thé éñtítý ýóú áré trýíñg tó sécúré áñd ségméñt: thé wórklóád ítsélf. Dóíñg só állóws wórklóád áñd ápplícátíóñ sécúrítý áñd mícróségméñtátíóñ tó scálé áñd évólvé wíthóút áñý dépéñdéñcý óñ whéré thésé résídé óñ thé ñétwórk. Áñd thís állóws wórklóáds tó résídé ór mígráté áñýwhéré ácróss óñ-prémísé dátá céñtérs ór ácróss clóúd próvídérs.]

[Á múltí-clóúd árchítéctúré wíll créáté óñé bróád ñétwórk fábríc, wíth réáchábílítý ácróss áll óf thé úñdérlýíñg ñétwórkíñg tópólógíés. Sécúrítý áñd mícróségméñtátíóñ shóúld fóllów thé sámé gúídélíñé, próvídíñg óñé cóñsístéñt áñd scáláblé sólútíóñ ácróss thé sámé ñétwórk fábríc, éñd-tó-éñd. Zéró Trúst méáñs thát thé sécúrítý trúst-bóúñdárý ís púshéd óút tó évérý síñglé wórklóád áñd ápplícátíóñ thát ñééds tó bé prótéctéd, áñd thát góál shóúld ñót bé límítéd bý trýíñg tó éñáblé thís góál íñ áñý dífféréñt láýér óf thé clóúd árchítéctúré.]

[Tó lé~árñ m~óré á~bóút~ thés~é tóp~ícs á~ñd hó~w Íll~úmíó~ sólv~és wó~rkló~ád áñ~d ápp~lícá~tíóñ~ sécú~rítý~:]

• [Wátc~h thí~s qúí~ck óv~érví~éw ví~déó ó~ñ Thé~ Évól~útíó~ñ óf S~égmé~ñtát~íóñ]
• [Chéc~k óút~ thís~ óñ-dé~máñd~ wébí~ñár: Ú~ñlóc~k Séc~úrít~ý fró~m thé~ Ñétw~órk: S~égmé~ñtát~íóñ M~ádé S~ímpl~é]