O que você precisa para a descoberta da política Zero Trust

The fundamental truth about micro-segmentation is that it will never be more granular than our understanding of the traffic to be protected. We truly can’t segment what we can’t see.

A maioria dos fornecedores de segmentação agora fornece algum tipo de mapa de aplicativos que coloca um aplicativo em uma espécie de “bolha” para mostrar seu possível isolamento. Embora seja uma grande melhoria em relação à alternativa (sem visualizações), na realidade, isso não é suficiente para escrever uma política sólida de Zero Trust. Necessário — mas insuficiente. O que mais precisamos?

As discussed in the introduction to this series, Zero Trust micro-segmentation success is determined by the effectiveness of the policy management process. Writing segmentation rules isn’t one task – it is a variety of analytical and decision-making steps. Therefore, making segmentation better requires a deep level of understanding and must be reflected in the right visibility and workflow for each step; there is no possibility that a single simple visualization will work for all tasks and decision points.

A descoberta de políticas é o conjunto de tarefas pelas quais uma organização passa para entender um aplicativo e seu contexto bem o suficiente para escrever uma política de Zero Trust. Ele inclui informações em nível de serviço, host e aplicativo, mas também muitas outras coisas.

Contexto completo do aplicativo

O contexto completo de um aplicativo vai além de sua operação interna. Ele pode se comunicar com outros aplicativos, provavelmente se conectar a 20 a 30 serviços principais comuns, ter usuários provenientes de locais corporativos e de VPN e pode interagir com serviços SaaS ou outros espaços de endereço remotos. Simplesmente colocar tudo isso em um mapa sem organização é uma receita para confusão que retardará o progresso até ficar lento!

É importante resumir a conectividade externa nos intervalos de endereços nomeados normais que podem estar no sistema de gerenciamento de IP. Dessa forma, é fácil identificar sub-redes de usuários, tráfego de DMZ etc. Especialmente nos primeiros dias de uma implantação de microssegmentação, há mais sistemas “desprotegidos” do que sistemas “protegidos”. Como esses sistemas são exibidos, organizados e categorizados? Quando esses sistemas são objetos no modelo de política e exibidos como tal no mapa, a complexidade e a criação de regras são simplificadas. Finalmente, a maioria dos aplicativos existe para usuários. Como esse contexto de usuário é compreendido, exibido e disponível para ação?

Em última análise, a descoberta de políticas exige um contexto completo do aplicativo, e isso envolve mais do que simples desenhos de aplicativos com cem ou mais linhas para endereços IP externos ou nomes de host.

Fluxos de trabalho micro versus macro

Data centers or cloud environments are complex places, with much more than applications to consider. Application dependency maps are critical for understanding applications, but what about being able to see larger constructs? How is it possible to know what traffic is passing between Dev and Prod? How can one see all the database traffic on port 3306 across the whole environment to make sure none is missed? What about seeing the “reach” of a core service like LDAP or RDP to understand current activity?

A experiência da Illumio em proteger vários ambientes com mais de 100.000 nós se reflete em ter ferramentas de visualização e exploração para o ambiente macro, além do contexto do aplicativo. Escrever políticas eficazes baseadas em rótulos abstratos também requer a capacidade de visualizar e inspecionar as comunicações em todos os níveis de abstração oferecidos pelo modelo de política. Curiosamente, as bolhas de aplicativos tão úteis para visualizações de aplicativos são de pouca utilidade nesse contexto. As melhores soluções de descoberta de políticas terão maneiras claras de mostrar as comunicações em todos os níveis de abstração e não apenas os despejos de dados de fluxo coletados no banco de dados.

Exija uma solução de microssegmentação que forneça as visualizações em nível macro essenciais para lidar rapidamente com grandes faixas de tráfego por meio da elaboração de políticas em massa ou agregadas.

Visões diferentes para diferentes partes interessadas

A equipe de firewall não será a única a inspecionar fluxos e políticas durante as atividades de descoberta de políticas. À medida que o limite de segmentação passa para o servidor de aplicativos ou o host do contêiner, as equipes de operações e aplicativos terão um grande interesse em garantir que todos os serviços de que precisam sejam provisionados adequadamente. Para esses colegas de trabalho, suas perguntas são melhor respondidas por meio de visualizações específicas, adaptadas à necessidade de inspecionar rapidamente uma política e validar a funcionalidade. Muitos dos detalhes do desenvolvimento de políticas não são necessários e, na verdade, desviam a atenção das principais preocupações das equipes de aplicação e operações.

Look for a micro-segmentation product that has thoughtfully constructed visualizations and workflows for application and operations teams. They are part of the workflow for policy and should have tools that support their needs. An RBAC filtered view is essential, of course, but expect more – get application owner-specific visualizations to speed the policy discovery process.

Em resumo

Ninguém pode escrever uma política mais rápido do que entender o que é necessário! A descoberta de políticas é a primeira parte de qualquer fluxo de trabalho de gerenciamento de políticas. As demandas políticas de um aplicativo moderno ou de uma coleção conteinerizada de microsserviços exigem um contexto completo do aplicativo, muito além de uma simples bolha de aplicativos. Representar faixas de IP, sistemas não gerenciados, serviços principais e muito mais são essenciais para entender um serviço de aplicativo no contexto.

Qualquer bom modelo de política oferecerá a abstração das comunicações em vários níveis ou “rótulos”, por isso também é importante ter visualizações que apoiem esses objetivos políticos de alto nível. Afinal, a política em massa é uma política rápida, portanto, ter os recursos certos acelerará radicalmente o desenvolvimento de políticas.

Finalmente, a microssegmentação envolve várias organizações. A descoberta de políticas é um esporte coletivo — certifique-se de que todos tenham visões de descoberta personalizadas para que cada equipe trabalhe da forma mais eficiente possível.

A descoberta rápida e eficiente de políticas leva à criação rápida e eficiente de políticas. Junte-se a nós na próxima semana para discutirmos o que é necessário para acelerar a criação de políticas.