Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

Simplifique las implementaciones de SDN y Firewall con microsegmentación basada en host

Christer Swartz
,
Director de Mercadotecnia de Soluciones
November 13, 2020
23 min. lectura

Redes definidas por software (SDN) y la segmentación a menudo se discuten simultáneamente porque ambos priorizan la automatización. SDN automatiza muchas tareas relacionadas con las redes, y dado que la mayoría de las brechas de seguridad modernas están automatizadas, las herramientas de segmentación deben seguir un ejemplo similar. Además, tradicionalmente se ha entendido que los límites de confianza residen en la capa de red de cualquier arquitectura de nube. Debido a que los controladores SDN permiten que las arquitecturas de red a gran escala se administren y se orquesten centralmente, tiene sentido agregar segmentación a esos controladores para una mejor orquestación.

Dicho esto, debes tener en cuenta que la “N” en SDN significa networking. Por lo tanto, cualquier segmentación implementada por cualquier controlador SDN se implementará para enfocarse en los desafíos de la red, no en los desafíos del host. Los controladores SDN ven los hosts de la manera tradicional, como nodos que se conectan a la estructura de red, y las aplicaciones que se ejecutan en esos hosts se administran mediante herramientas centradas en el host, no herramientas centradas en la red. Las herramientas de red rara vez administran tareas específicas para cada host o aplicación. Los controladores crean segmentos de red para hacer cumplir las decisiones de reenvío de tráfico en la estructura de la red, y estas decisiones se toman de acuerdo con las métricas que son más relevantes para los routers y switches, incluida la carga de la red, la latencia, las fallas de enlace y los costos del protocolo de enrutamiento dinámico. Estas métricas rara vez son relevantes para los requerimientos de segmentación específicos del host.

Segmentación de red y microsegmentación basada en host

Al definir límites de confianza, decidir dónde crear segmentos relevantes dará lugar a dos conversaciones paralelas: una entre el equipo que administra las cargas de trabajo del host y otra entre el equipo que administra la red. Ambos equipos usarán el mismo término — “segmentación” o “microsegmentación” — pero significarán cosas diferentes. Si los dos equipos utilizan sus propias herramientas para implementar y administrar cada tipo de segmento, en lugar de trabajar juntos, el resultado será un enfoque en silos que conducirá a límites operacionales a medida que crezca la escala de la arquitectura.

Por ejemplo, su equipo de redes puede haber implementado Cisco ACI como su solución SDN para centros de datos. ACI utiliza sus propios mecanismos para crear segmentos, como dominios puente y grupos de punto final (EPG). Las cargas de trabajo se implementan dentro de EPG y se pueden dividir en “micro EPG” más pequeños para crear segmentos de red más granulares.

Sin embargo, estos siguen siendo conceptos de segmentación centrados en la red. Si tiene diez hosts en su centro de datos, por ejemplo, simplemente puede crear diez segmentos EPG en Cisco ACI para imponer un límite de confianza en cada host. Pero si tiene 100 o 1,000 cargas de trabajo, no es operacionalmente realista crear 100 o 1,000 segmentos EPG para cada host. El uso del controlador SDN para crear un número igual de segmentos de red y hosts simplemente no escalará.

Las soluciones SDN crearán sus propios segmentos para abordar segmentación de red prioridades, pero para segmentar hosts individuales, debe considerar un enfoque basado en host.

Redes SDN y superposición

Uno de los beneficios de SDN es el hecho de que las topologías de red ya no dependen de la topología física de routers y switches. Los protocolos de tunelización, como VXLAN o GENEVE, se utilizan para virtualizar la red. Dado que la red ahora se puede virtualizar de la misma manera que los recursos de computación y almacenamiento de información del centro de datos, estos métodos de tunelización se utilizan para permitir que los paths y enlaces de red se definan de manera programática, lo que permite que el controlador reconfigure rápidamente las topologías de red según sea necesario sin necesidad de cambios en la infraestructura física. Esto permite virtualizar la estructura de red en un data center local, de manera similar a como se virtualizan las redes en las estructuras de redes de nube pública.

Dado que las redes superpuestos, como VXLAN, tienen una gran cantidad de ID únicos (más de 16 millones), es tentador querer usar estos IDs para crear arquitecturas de microsegmentación que permitan al controlador SDN asignar segmentos para cada host de la red. Pero los controladores SDN no terminan los segmentos de VXLAN en hosts individuales. Todos estos ID únicos son utilizados por los controladores SDN para resolver desafíos de redes, como encapsular paquetes de capa 2 dentro de tramas de capa 3. Para permitir la microsegmentación en cada host, el mecanismo utilizado debe habilitarse en el propio host, y no por ningún controlador SDN externo que se implemente en la red y se centre en las tareas de red.

¿Cómo pueden ayudar las herramientas a nivel de host a SDN?

Un desafío para la mayoría de las soluciones SDN es la visibilidad de los flujos de aplicaciones. Ser capaz de determinar el comportamiento de las aplicaciones desde una perspectiva de aplicación es un desafío para las herramientas de networking. Los controladores SDN tienen una visibilidad profunda de topologías de red, segmentos de red, direcciones IP y métricas de tráfico, pero obtener una imagen clara del comportamiento y los recursos de red requeridos entre sus servidores SQL y sus servidores web, por ejemplo, a menudo no es fácil con los controladores SDN. Conocer los requerimientos dinámicos entre aplicaciones en una red es necesario para diseñar una arquitectura de nube escalable.

Al implementar soluciones basadas en host, como Illumio, en un centro de datos que utiliza una arquitectura SDN, debe buscar capacidades de mapeo, como nuestra mapa de dependencia de aplicaciones, para ayudar en el diseño de recursos de red que atiendan los requerimientos específicos del host. Illumio coexiste con cualquier solución SDN y, aunque el mapa de dependencia de aplicaciones se utiliza para definir segmentos específicos del host, este mismo mapa permite una imagen clara de los requerimientos de las aplicaciones cuando la red es implementada y administrada por el controlador SDN.

La microsegmentación basada en host y la segmentación a nivel de red pueden y deben coexistir, ya que cada una de ellas aborda un requisito diferente. Al implementar un enfoque basado en host, se le ofrecen las capacidades de visibilidad a nivel de aplicación que permiten que las soluciones SDN garanticen los recursos de red en cualquier arquitectura de nube.

Para obtener más información sobre el enfoque de Illumio para la microsegmentación basada en host, visite https://www.illumio.com/solutions/micro-segmentation

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Guía del Arquitecto para Implementar la Microsegmentación: Administración de la Relación con los Proveedores y la Integración Operacional
Segmentación de confianza cero

Guía del Arquitecto para Implementar la Microsegmentación: Administración de la Relación con los Proveedores y la Integración Operacional

La transición de la segmentación de red tradicional (como los firewalls) a la microsegmentación requiere un esfuerzo orquestado dirigido por arquitectos o gerentes de proyecto.

Leer más
Cómo asegurar proyectos exitosos de microsegmentación: 3 principios estratégicos
Segmentación de confianza cero

Cómo asegurar proyectos exitosos de microsegmentación: 3 principios estratégicos

La microsegmentación importa. Si lo hace bien, reducirá drásticamente su vulnerabilidad a ataques como ransomware mientras logra y mantiene el cumplimiento de normas.

Leer más
Cómo ayuda Illumio a promover las mejores prácticas de seguridad en la nube con Cloud Security Alliance
Segmentación de confianza cero

Cómo ayuda Illumio a promover las mejores prácticas de seguridad en la nube con Cloud Security Alliance

Illumio se une a Cloud Security Alliance (CSA) para ayudar a definir estándares, certificaciones y mejores prácticas de seguridad en la nube para garantizar una computación en la nube segura.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información