Nano-Segmentierung℠: Was hat es mit der Aufregung auf sich?

Auf der RSA-Konferenz in der vergangenen Woche stellte Illumio die Nanosegmentierung vor, unsere neueste Innovation zur Sicherung von mehrschichtigen Anwendungen, die in Rechenzentren und Clouds ausgeführt werden. Die Illumio Adaptive Security Platform (ASP)^TM erweitert nun die Anwendungssegmentierung von der Granularität einzelner Workloads auf Prozesse, die innerhalb der Workloads ausgeführt werden.

RSA attendees watching the Illumio theater presentations saw the power of nano-segmentation to dramatically reduce the enterprise exposure to threats and constrain the “blast radius” of attacks. We showed how nano-segmentation could quarantine a compromised server using a simple drag-and-drop operation—an industry first. Segmenting the data center to separate applications (dev, test, production, etc.) or to isolate applications (e.g., for PCI compliance) is necessary to handle security for dynamic computing environments distributed across data centers and clouds. But not all segmentation is created equal. Let me explain.

Nicht alle Segmentierungen sind gleich.

Die meisten von uns kennen den Begriff "Mikrosegmentierung", der vor einigen Jahren von SDN-Anbietern eingeführt wurde. Die Mikrosegmentierung wurde als eine Möglichkeit für Unternehmen beworben, Anwendungen zu isolieren, die in virtuellen Umgebungen ausgeführt werden. Aktuelle Lösungen für die Mikrosegmentierung sind jedoch an eine Reihe von Bedingungen geknüpft: Sie sind entweder an den Hypervisor, Netzwerkkonstrukte (VLANs, Subnetze, Sicherheitszonen usw.) oder andere Hardware (Switches, Router usw.) gebunden. Die meisten Lösungen berücksichtigen nicht die Segmentierung von Anwendungen in der Cloud oder von Anwendungen, die Bare-Metal-Server enthalten. Das Ziel der Sicherheit durch Anwendungssegmentierung ist gut gemeint, aber bestehende Lösungen greifen zu kurz.

Hier kommt die Nanosegmentierung ins Spiel  

The first step to achieving the most granular segmentation for data center applications is to drive down the attack surface to individual units of computing (any VM or bare metal server) in data centers and clouds. Illumio ASP does this by dynamically programming precise inbound and outbound security rules on every single workload. This enables the platform to create an adaptive perimeter around every computing instance (in any data center or cloud), effectively creating a segment of one. When combined with the Illumio ASP dynamic, whitelisted policy model, it enables administrators to fully specify permitted workload interactions for applications without any dependencies on the network. With the latest product launch, Illumio took this a step further by enabling the segmentation of multiple applications down to processes on a single host. As an example, two instances of the Apache process on a single workload could be segmented across two different applications.

Was hat es mit dem Namen auf sich?

Haben wir uns mit einem Namen wie Nano-Segmentierung ein wenig Marketing-Überlegenheit gegönnt? Weit gefehlt – es ist absichtlich und wird durch Beweise gestützt. Die Nano-Segmentierung ermöglicht, wie der Name schon sagt, Unternehmen, Anwendungen so granular wie möglich zu segmentieren. Wir wollten, dass Unternehmen wissen, dass es einen Weg gibt, "ihren Kuchen zu haben und ihn auch zu essen" – sie können Anwendungen über Rechenzentren und Clouds hinweg segmentieren, während die Sicherheit intakt bleibt. Noch wichtiger ist, dass die Funktion die Anwendungssegmentierung in jeder Computerumgebung gleichermaßen effektiv macht.

Und noch etwas: Der Begriff "Nano" verleiht dem Illumio-Grundsatz der netzwerkunabhängigen Sicherheit Glaubwürdigkeit. Es ist ein Akronym für "Never Again Network-Oriented".