¿Qué se necesita para automatizar la microsegmentación?
A menudo se asume que, si un producto tiene una API, será fácil de automatizar. Pero como muchas cosas en la vida, no es tan sencillo. Las API normalmente son escritas por desarrolladores para desarrolladores, y puede ser difícil para los que no son codificadores saber en qué trabajar con los equipos extendidos que evalúan una solución de microsegmentación. Este post te dará cinco áreas para explorar con los proveedores de microsegmentación que estás considerando. Empuje con fuerza a sus proveedores en estos puntos: descubrirá sus niveles relativos de madurez y preparación para API y estará en una mejor posición para tomar una decisión de calidad.
Integridad y consistencia del esquema
Cualquier solución de microsegmentación de nivel empresarial requiere que muchos ingenieros de software trabajen juntos. A veces, las API son solo una colección de los diversos bits que los ingenieros individuales han creado para su propio uso. Pero las mejores API han sido codificadas para ser un producto por derecho propio. Se ha puesto mucho cuidado y consideración en la estructura general de la API y cada llamada sigue convenciones consistentes. En las mejores soluciones, cualquier GUI utiliza exactamente la misma API a la que llamaría su equipo de DevOps. Cuando esto ocurre, sabe que los paths de API están completos y bien probados porque el proveedor depende de las mismas API que usted. Idealmente, desea una solución de microsegmentación que exponga su funcionalidad completa a través de API. Al inicio de un proyecto, es posible que no sepa exactamente lo que quiere automatizar, pero si el esquema es completo y consistente, no estará limitado en el futuro.
Documentación y código de ejemplo
Cualquier proveedor de microsegmentación de buena reputación debería poder suministrarle el esquema de API y la documentación completa. A pesar de lo básico que suena esto, te sorprenderá el rango de esfuerzo puesto en un conjunto tan crítico de entregables. ¿Se le da un esquema de API sin procesar en JSON? ¿Qué documentación existe para la API en su conjunto y para cada llamada? ¿Están bien explicados el modelo de objetos y las funciones centrales? Busque el código de ejemplo. ¿Está claro cómo usar las consultas POSTMAN simples? Si la API utiliza JSON, ¿el formato es claro y consistente en varias llamadas? Elija un flujo de trabajo que parezca obvio dentro de la GUI. Pregúntele a su proveedor qué llamadas necesitaría para automatizar ese flujo de trabajo en particular y luego pídale que lo explique. ¿Tiene sentido este flujo de trabajo a la luz de la documentación y el código de ejemplo que está disponible? Ya espera que le demuestren la GUI, pero si planea automatizar su solución de microsegmentación, solicite ver también un flujo de trabajo basado en API.
RBAC
Cuando un producto ofrece interfaces de automatización, el control de acceso basado en roles (RBAC) se vuelve esencial para la integridad del sistema. Si la API permite el control de los objetos de políticas y políticas, entonces la interfaz programática debe ser auditable, al igual que las acciones del administrador tomadas desde una GUI o una interfaz de línea de comandos. Idealmente, RBAC seguirá de cerca el modelo de política de microsegmentación, permitiendo que los permisos se vinculen a cada etiqueta o etiqueta utilizada para crear políticas. Las mejores API habrán considerado cuidadosamente las claves API con límite de tiempo y uso, y permitirán a los administradores controlar cuidadosamente cómo el código externo interactúa con el motor de políticas de microsegmentación. En la mayoría de los casos, es una práctica óptima que los scripts de API utilicen claves de un solo uso, limitadas exactamente al trabajo requerido; esto es Zero Trust aplicado a las interfaces API. Asegúrese de que las soluciones que está considerando tengan controles RBAC precisos, completos y flexibles para que pueda controlar completamente el acceso programático a su política de microsegmentación.
Manejo masivo de objetos
A menudo, la motivación subyacente de los proyectos de API es automatizar tareas repetitivas. Una manera fácil de entender cuánta experiencia tiene un proveedor con la automatización de la microsegmentación es preguntar sobre APIs masivas. Está todo bien y bien tener una llamada API que realice una sola tarea. Pero, ¿qué pasa si necesita realizar una operación en 500 o 5000 objetos? ¿Qué sucede si necesita cargar una cantidad significativa de datos? Formular 500 o 500 consultas es derrochador e ineficiente. Los mejores proveedores tendrán instalaciones de API masivas separadas para manejar la ingesta de datos y las solicitudes de manipulación de objetos a gran escala. Por lo general, estas instalaciones funcionarán muchas veces más rápido que las solicitudes repetidas de un solo objeto. Cuanto más avanzado sea su equipo de DevOps, más apreciarán una API creada para escalar. Tratar con decenas de miles de contenedores, VM o AMIs requiere flujos de trabajo de objetos masivos adecuados, y sus posibles proveedores de microsegmentación deberían poder abordar qué flujos de trabajo existen y por qué son importantes.
Escalabilidad/pruebas
Las API proporcionan una ventana a las verdaderas capacidades de performance de una solución de microsegmentación. Construir una GUI de sentimiento de respuesta es importante, pero los humanos tardan mucho tiempo, relativamente hablando, en realizar acciones en comparación con un guión. Si planea automatizar la microsegmentación, la automatización exigirá mucho más de lo que se probará en una prueba de concepto empresarial típica. Pregunte a sus proveedores sobre sus implementaciones completadas y totalmente automatizadas. Los mejores proveedores tendrán múltiples implementaciones de decenas de miles a cientos de miles de sistemas completamente automatizados para un solo cliente. Esa es la prueba que necesitas. Si algunos están orquestando 40.000 cargas de trabajo en un entorno totalmente automatizado y sin estado, sabe que es un proveedor que ha realizado un trabajo serio de optimización y performance. Pregunte sobre el QA y las pruebas que se han realizado en la API y el rendimiento del cálculo de políticas. Las empresas de hiperescala a menudo tienen cientos de miles de objetos de políticas y los mejores proveedores realizan pruebas muy por encima de esos niveles. Hay un viejo dicho que dice que nada supera al código de ejecución, y esto ciertamente se aplica a la escalabilidad de API. Pida prueba. Existen implementaciones a escala empresarial y totalmente impulsadas por API que tienen años de operación exitosa detrás de ellas. Espere una API madura, escalable y completamente probada de sus proveedores de microsegmentación.
Las API están llenas de muchos detalles técnicos que los programadores entienden mejor. Pero las características que importan pueden ser entendidas por cualquier persona en la jerarquía de toma de decisiones. Si espera automatizar sus políticas de microsegmentación, tiene sentido investigar esas capacidades de API con el mismo cuidado que el equipo de evaluación tomará con la GUI. Los flujos de trabajo de API serán los que más demanden desde una perspectiva de performance. Asegúrese de seleccionar un producto con un esquema bien diseñado y bien documentado, con cobertura completa de la funcionalidad del producto. Busque signos de maduración en torno a RBAC, manejo masivo de objetos y pruebas demostradas de escala en otras implementaciones de clientes. La automatización de la microsegmentación es posible, y su empresa puede avanzar con éxito hacia un futuro cada vez más automatizado con confianza si selecciona la solución de microsegmentación basada en API adecuada.
Para consultar la guía API de Illumio, haga clic en aquí.