Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
segmentação
Christer Swartz
Diretor de marketing de soluções
Illumio Editorial
13 de maio de 2020
23 minutos. ler

Não deixe sua rede ser um obstáculo para a segmentação da carga de trabalho

A segurança e a rede sempre foram uma fonte de prioridades conflitantes. Ao projetar um data center tradicional ou uma malha de nuvem híbrida, a prioridade da arquitetura de rede é a entrega confiável e resiliente de tráfego. A rede é, talvez, o recurso mais crítico em qualquer arquitetura de data center ou nuvem. Afinal, cargas de trabalho, clientes e bancos de dados não podem se comunicar entre si, a menos que haja uma rede entre eles. E todas as redes operam tomando decisões de encaminhamento com base na análise dos cabeçalhos dos pacotes e em várias outras métricas. Além disso, roteadores e switches trocam informações sobre os conceitos da camada 2 e da camada 3, ambos amplamente independentes dos detalhes específicos do aplicativo contidos na carga útil de dados dos pacotes. As redes se concentram principalmente em mover o tráfego de forma confiável e rápida, em vez de nos dados do aplicativo contidos nesse tráfego.

Então, quando se trata de proteger esses aplicativos — e suas cargas de trabalho — por que ainda consideramos abordagens vinculadas à rede? Vamos explorar como desenvolver sua abordagem para que a rede não seja mais um obstáculo para a entrega ágil de cargas de trabalho, automação e segurança.

Funcionamento interno das cargas de trabalho modernas

As cargas de trabalho, que se comunicam em qualquer rede, são projetadas para fazer isso com base nas prioridades específicas do aplicativo. O que uma carga de trabalho está fazendo é mais importante do que a aparência da malha de rede subjacente. Os clientes se comunicam com cargas de trabalho e as cargas de trabalho se comunicam com bancos de dados com base em conceitos que geralmente não dependem dos detalhes contidos nos cabeçalhos dos pacotes de rede.

Diferentemente das cargas de trabalho tradicionais de bare-metal, as cargas de trabalho modernas são amplamente abstraídas acima dos recursos subjacentes da rede ou do servidor. Supõe-se que a presença de uma carga de trabalho em qualquer recurso subjacente seja transitória e possa ser migrada dinamicamente ao vivo entre hosts, data centers e nuvens. Essas migrações geralmente ocorrem dinamicamente, sem orientação humana manual. Devido a essa abstração das cargas de trabalho acima dos recursos subjacentes, não é mais realista considerar o endereço IP de uma carga de trabalho como uma forma útil de identidade durante a vida útil dessa carga de trabalho. Uma carga de trabalho pode ter muitos endereços IP diferentes ao longo de seu ciclo de vida, e isso afeta diretamente a forma como os limites de segurança são definidos nas redes modernas.

Segmentação de rede e firewalls tradicionais

As mudanças nas redes são tradicionalmente lentas, por design, devido à natureza crítica das estruturas de rede. Muitas redes de data centers são em grande parte planas e muitas estruturas de rede de nuvem pública contêm apenas níveis grosseiros de segmentação. Quando as redes são segmentadas em qualquer ambiente, isso geralmente é feito para prioridades específicas da rede, como criar isolamento em amplas categorias de recursos, como uma DMZ, um segmento de WAN, um segmento de campus ou os segmentos tradicionais de Web/App/Dev. Outros motivos para segmentar uma rede são otimizar o desempenho da rede, aumentar a taxa de transferência, implementar redundância de caminhos ou tornar tarefas como resumo de rotas, Spanning Tree e ECMP mais eficientes.

Tradicionalmente, os segmentos de rede são implementados por meio da criação de VLANs e sub-redes, seja em redes “subjacentes” legadas ou em redes “sobrepostas”, implementadas usando controladores SDN e tunelamento, como VXLAN. Independentemente de a topologia ser subjacente ou sobreposta, todos esses segmentos de rede terminam em roteadores ou switches, sejam eles de hardware ou virtuais. E a implementação da segurança nesses segmentos geralmente é feita usando firewalls de rede.

Tradicionalmente, os firewalls consideram qualquer segmento como um grupo de intervalos de IP juntamente com as portas TCP/UDP associadas ou como zonas, que são uma coleção de segmentos, juntamente com as portas a serem bloqueadas ou permitidas entre os intervalos de IP relevantes. Os firewalls de rede não implementam segurança com base no conteúdo específico da aplicação presente na carga útil de dados de um pacote. Os firewalls consideram o endereço IP de origem ou destino e a porta de um pacote como a identidade de uma carga de trabalho. Mesmo com os modernos firewalls de "próxima geração", capazes de tomar decisões com base em dados de aplicativos contidos no interior do pacote, a maioria das regras de firewall ainda é configurada com base em intervalos tradicionais de IP e porta. Velhos hábitos são difíceis de morrer.

Rompendo com as tradições

A filosofia DevOps dá grande ênfase à velocidade de implantação e à automação. E, como já foi mencionado, as alterações em segmentos de rede e firewalls geralmente são lentas e manuais. A automatização de alterações em redes e segurança muitas vezes esbarra em barreiras operacionais, que podem ser difíceis de modificar. O resultado é que a segurança muitas vezes é uma reflexão tardia, já que simplesmente torna os processos mais lentos. Normalmente, as cargas de trabalho são implementadas de forma rápida e ágil, e a segurança volta a ser uma prioridade somente após a ocorrência de uma violação e quando a empresa enfrenta processos judiciais. Ninguém quer ser a pessoa que tem que explicar ao CEO por que a segurança não era uma prioridade e por que sua empresa agora está sendo processada.

A Amazon expressou esse conflito de prioridades entre a agilidade da carga de trabalho e as mudanças na rede de forma memorável em 2012, dizendo: "A rede está no meu caminho". A rede, e as constantes mudanças em seus segmentos, são obstáculos para a implantação ágil de cargas de trabalho. Assim, a segmentação de rede muitas vezes não é feita, ou é feita de forma muito superficial pelas equipes de rede.

Mas e se a segmentação e a segurança da rede pudessem ser implementadas diretamente de dentro da carga de trabalho? Chega de esperar que as operações de rede implementem a segmentação na malha de rede subjacente.

Em vez disso, e se você pudesse implementar os segmentos necessários diretamente do mesmo processo ágil da implantação de uma carga de trabalho por meio do processo de DevOps?

E, mais importante, e se a segurança entre esses segmentos pudesse ser definida usando a política de linguagem natural, em vez de depender de regras desatualizadas de firewall de IP/porta? Não há mais políticas definidas em relação ao IP de origem e às portas que apontam para o IP e as portas de destino, pois elas não estão mais vinculadas às cargas de trabalho durante todo o ciclo de vida.

Em vez disso, e se você pudesse escrever uma política que refletisse a forma como os usuários percebem os recursos, como “Somente servidores Web implantados em Nova York podem se comunicar com servidores de banco de dados em Londres?”

E se você pudesse definir isso em uma abordagem granular, alcançando uma verdadeira abordagem de Zero Trust “microsegmentada”, como “Somente o Webserver-1 pode conversar com o Webserver-2 no mesmo local”?

Há quatro camadas amplas em uma arquitetura de rede nas quais a política pode ser aplicada, conforme ilustrado neste diagrama:

Opções de segurança

À medida que você sobe nas camadas, a política é expressa em uma linguagem mais natural, independente das camadas inferiores. A aplicação da política de carga de trabalho diretamente nas cargas de trabalho libera as camadas inferiores para se concentrarem nas prioridades da rede.

Permitir que as ferramentas da camada de carga de trabalho definam a segmentação e a aplicação de regras entre cargas de trabalho, de uma forma abstraída acima da estrutura de rede subjacente, libera as equipes de operações de rede da influência dos requisitos de aplicativos no projeto da rede. Ao transferir a segmentação e a aplicação de aplicações para a camada de carga de trabalho
as equipes
operações de rede podem projetar estruturas de rede de acordo com as prioridades da rede.Os firewalls continuarão sendo usados para criar segmentos amplos na rede, como sempre foi feito, mas não há mais necessidade de criar um número excessivo de VLANs ou sub-redes para atender aos requisitos de segmentação de aplicativos. Em vez disso, os arquitetos de rede podem se concentrar nas prioridades da rede ao projetar a segmentação de rede, como taxa de transferência, redundância, sumarização de rotas, Spanning Tree e ECMP. A segmentação de aplicações não precisa mais ser um problema adicional no projeto de redes. Fazer com que as cargas de trabalho criem e imponham limites de segmentação também libera a rede da necessidade de ser a primeira a ser considerada na busca de causas durante a resolução de problemas de segurança.

Segmentação moderna para cargas de trabalho modernas

A Plataforma de Segurança Adaptativa (ASP) da Illumio permite a microsegmentação entre cargas de trabalho, essencial para a construção de uma verdadeira arquitetura de Confiança Zero, e utiliza expressões em linguagem natural para definir políticas entre essas cargas de trabalho. Ele fornece um mapa de dependências de aplicativos que oferece uma visão clara de quais cargas de trabalho estão se comunicando entre si e quem está iniciando conexões com quem – em toda a sua estrutura de nuvem híbrida. Embora você tenha visibilidade completa do endereçamento IP usado pelas cargas de trabalho, a política não é – e não deve ser – definida com base no endereçamento IP, visto que a associação entre endereçamento de rede e aplicativos é transitória.

A Illumio usa rótulos para identificar cargas de trabalho com base em critérios que são resumidos acima de qualquer segmento dos segmentos subjacentes da rede de nuvem híbrida em que elas estejam hospedadas:

  • Esses rótulos incluem metadados associados às cargas de trabalho, independentemente do endereço IP atual.
  • Os rótulos são Função, Aplicação, Ambiente e Localização (“RAEL”).
  • Eles são usados para definir segmentos entre cargas de trabalho, e a imposição entre essas cargas de trabalho rotuladas é definida usando expressões de linguagem natural, como cargas de trabalho da Web que podem se comunicar com cargas de trabalho de aplicativos, mas somente cargas de trabalho de aplicativos podem se comunicar com cargas de trabalho de bancos de dados. A política não é específica para endereçamento IP.
  • Em seguida, a Illumio traduz essas regras de política baseadas em rótulos em configurações específicas para os recursos de filtragem de rede de qualquer sistema operacional que esteja executando essas cargas de trabalho no momento — Linux iptables e ipsets, Windows Filtering Platform (WFP) ou a tabela de estados IPFilter para cargas de trabalho Solaris e AIX.

Como o Illumio permite que você defina políticas de uma forma totalmente abstrata de como e onde uma carga de trabalho é hospedada, o resultado é que as prioridades de rede e as prioridades de aplicativos não estão mais em conflito.

Resumindo

Nas arquiteturas modernas de data center e rede de nuvem híbrida, o perímetro é simplesmente definido como onde sua carga de trabalho está hospedada atualmente, e essa carga de trabalho pode se mover dinamicamente em qualquer segmento da nuvem. A definição antiga do perímetro como estando entre o data center e a Internet não é mais relevante, e é difícil escalar tentar arquitetar a malha de rede para permitir a microssegmentação entre os limites do aplicativo. As soluções SDN usando controladores e redes sobrepostas que terminam em hipervisores movem efetivamente a fronteira entre a rede e as cargas de trabalho para o host, mas ainda dependem da definição de segmentos “de baixo para cima”: da camada de rede para resolver um problema na camada de carga de trabalho.

Uma abordagem muito mais escalável em arquiteturas de nuvem modernas é acessar a carga de trabalho para criar microsegmentos e aplicar políticas relevantes para essas cargas, liberando assim a segmentação de rede para ser definida de acordo com prioridades relevantes para o projeto da rede. A rede deixou de ser um obstáculo à agilidade e segurança das cargas de trabalho das aplicações . E a rede deixa de ser a primeira prioridade quando ocorre a resolução de problemas de segurança de aplicativos , o que reduz a troca de acusações durante as respostas a incidentes.

Confira este vídeo para uma breve visão geral da evolução da segmentação e saiba mais sobre nossa solução aqui.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Prepare-se para o Gartner ITIOCS NA 2024 com o Illumio!
segmentação

Prepare-se para o Gartner ITIOCS NA 2024 com o Illumio!

Descubra como preparar sua estratégia de segurança cibernética para o futuro com a Illumio no estande 206 da Gartner ITIOCS North America 2024, de 10 a 12 de dezembro, no Venetian, em Las Vegas.

Leia mais
Como a Western Union construiu confiança zero escalável com a segmentação Illumio
segmentação

Como a Western Union construiu confiança zero escalável com a segmentação Illumio

Saiba como a Western Union usou o Illumio para implementar o Zero Trust e a microssegmentação escalável para conformidade com PCI, segurança de fusões e aquisições e visibilidade em tempo real.

Leia mais
5 razões pelas quais os CNApps estão limitando sua segurança na nuvem
segmentação

5 razões pelas quais os CNApps estão limitando sua segurança na nuvem

Saiba por que o CNApps só pode levar sua segurança até certo ponto e como a segmentação Zero Trust pode ajudar.

Leia mais
Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais