¿Qué es importante en un modelo de políticas para la microsegmentación?
De todas las características que se deben analizar en una solución de microsegmentación, la mayoría de los proveedores no comenzarían con el modelo de políticas. Sin embargo, en términos del resultado potencial que podría crear una solución determinada, el modelo de política determina lo que es posible. Por lo tanto, pensar en lo necesario en un modelo de política es una excelente preparación para tomar una decisión de compra de alta calidad y bajo arrepentimiento. Examinemos cada uno de los componentes importantes de un modelo de política de microsegmentación deseable.
Etiquetas multidimensionales
Las políticas de microsegmentación utilizan etiquetas para abstraer la segmentación del direccionamiento de red subyacente y los dispositivos. Idealmente, estas etiquetas serán “útiles multidimensionales”. Un espacio de nombres plano de etiquetas ilimitadas no es útil; no ofrece ningún resumen o estructura para colgar declaraciones de políticas que afectan a muchas máquinas. Si etiqueta cada sistema en un espacio de nombres plano, es apenas mejor que simplemente usar direcciones IP para especificar la política. Curiosamente, si bien no se deben poner límites en el número de etiquetas dentro de una dimensión de política determinada, restringir las dimensiones de políticas ha demostrado ser útil en implementaciones a gran escala.
Los humanos podemos visualizar fácilmente cuatro dimensiones: tres dimensiones físicas más tiempo, por ejemplo. Pero, si los físicos están en lo correcto y vivimos en un espacio de 11 o 13 dimensiones, solo las matemáticas pueden capturar esas dimensiones. Son imposibles de visualizar en nuestro cerebro. Esto tiene consecuencias prácticas para la microsegmentación. Se puede programar una computadora para entender y computar una política de 11 dimensiones, pero ningún humano será capaz de entenderla. Los seres humanos necesitan ser capaces de inspeccionar, auditar y comprender las políticas de microsegmentación.
En nuestra experiencia, cuatro dimensiones podemos modelar de manera efectiva incluso las redes más grandes del planeta con fines de política, preservando al mismo tiempo nuestra capacidad de entender el modelo. Por lo tanto, busque un modelo de política que tenga más que etiquetas planas o espacio para etiquetas. La estructura de unas pocas dimensiones funciona a la escala de cientos de miles de sistemas, pero sigue siendo fácil de entender y trabajar con ella. Echa un vistazo a este video para obtener más información sobre el poder de las etiquetas.
Modelo de objetos ricos
Un lenguaje de política de calidad tendrá un modelo de objetos suficientemente rico. Un data center empresarial de hiperescala es un lugar complejo. Es obvio que el modelo debe acomodar todo lo que necesita ser protegido: servidores, VM, contenedores, instancias en la nube, etc. Pero estos sistemas protegidos no son suficientes para abstraer todas las primitivas de políticas útiles. Necesita tener objetos para asignaciones de servicio/puerto y rangos de direcciones IP. Dentro de los servidores compartidos, tal vez un servidor con varias instancias de base de datos, debe poder abstraer estas instancias entre sí como servicios virtuales distintos. Contenedores y los hosts de contenedores deben ser “ciudadanos de primera clase” que aparecen en todas las visualizaciones y una parte de las declaraciones de política. Curiosamente, también es importante agregar sistemas desprotegidos al modelo de objetos, especialmente en las primeras fases de implementación cuando hay más cosas desprotegidas que protegidas y estos sistemas se comunican entre sí. Ser capaz de representar todos los flujos limpiamente hace que sea mucho más fácil especificar la política deseada. Las mejores soluciones incluso podrán crear políticas para los objetos no administrados en caso de que desee tenerlo disponible para su exportación y posible implementación.
Herencia
La herencia de políticas es la única manera de escalar la política de microsegmentación para cubrir un data center existente. Si alrededor del 80 por ciento del tráfico fluye dentro del data center, eso implica que las reglas de firewall perimetral existentes solo cubren el 20 por ciento del tráfico. Eso significa que el potencial de cinco veces más reglas existe dentro del data center de las que existen actualmente en todos los firewalls. Las abstracciones que proporciona el modelo de política y su útil dimensionalidad deben combinarse con un modelo de política de lista de permitidos puros. Sólo de esta manera se puede escribir la política una vez para que se aplique en muchos casos. La herencia y la automatización inteligente de políticas en torno a políticas comunes de microsegmentación, como aplicación ringfencing, se combinan para formar la única manera comprobada de segmentar decenas de miles de sistemas con éxito.
Declarativo vs. imperativo
El único modelo de políticas que microsegmenta con éxito más de 100.000 cargas de trabajo utiliza un método declarativo para expresar el deseo de segmentación. Un modelo de política declarativa sólo requiere uno para especificar el resultado deseado. Un modelo de política imperativo requiere que la solución se especifique exactamente para crear el resultado. Un conjunto de reglas de firewall tradicional es imperativo: cada declaración debe estar presente en perfecto orden y con perfecta precisión para que exista la protección deseada. Esto causa un sin fin de dificultad y complejidad. Sin embargo, la política de microsegmentación ideal utiliza lenguaje declarativo exclusivamente: “Quiero cercar la aplicación de pedidos dentro de mi entorno de producción”. La manera en que se logra esto es asunto de Motor de computación de políticas detrás del lenguaje de políticas. De esta manera, la política siempre es fácil de especificar, fácil de entender y fácil de desarrollar. Dada la escala de trabajo a realizar, cualquier otra cosa resultará en un fracaso.
Aplicación consistente
Cuando existan todas las primitivas necesarias, las mejores soluciones de microsegmentación las usarán de manera consistente en todas las áreas del producto. Las etiquetas no son solo para la creación de políticas, sino que deben informar sobre la visibilidad, la distribución de políticas y la aplicación de políticas. Control de acceso basado en roles (RBAC) debe seguir la estructura de etiquetas exactamente para que los propietarios de aplicaciones, DevOps y otros puedan acceder a todo lo que necesitan, pero no más. Asegurar las implementaciones automatizadas en particular exige esta capacidad de delegación precisa. Una estructura de etiqueta útil, clara y simple crea un modelo mental cuando se aplica de manera consistente. Casi de inmediato, los administradores entienden intuitivamente cómo funciona la solución y pueden anticipar los resultados. Esta intuición rápidamente se convierte en velocidad, velocidad en maestría y dominio en proyectos terminados. La simplicidad, la claridad y la consistencia son la solución para entornos complejos de data centers.
Abstracción completa
Me gusta decir que la automatización come metadatos para el desayuno. La automatización no puede avanzar más rápido de lo que se puede abstraer. Un modelo de políticas exitoso debe abstraer cualquier vestigios del direccionamiento de red y del mecanismo de aplicación en sí. La política debe ocuparse únicamente de lo que se desea. De esta manera, la automatización puede declarar fácilmente el resultado: “Web debe hablar con App”. Las reglas necesarias para hacerlo realidad cambiarán constantemente en una nube dinámica o un entorno automatizado, y esa complejidad no puede exponerse al entorno de automatización si se quiere escalar. Una política que se basa en direcciones IP, por bien intencionada que sea, simplemente no escalará. De igual manera, el mecanismo de aplicación debe estar oculto. Una vez expresado el deseo, el motor de políticas de microsegmentación debería encontrar la mejor manera de implementar esa política dados los recursos que conoce. De esta manera, a medida que los sistemas van y vienen, el número de puntos de aplicación va a flexionarse, al igual que la base de políticas y reglas. Sólo una política completamente abstracta dará a DevOps y a los arquitectos de nube las capacidades que necesitan para interactuar sin problemas con la solución de microsegmentación.
Política a gran escala
Hace muchos años, la megafauna dominaba la Tierra. Versiones gigantes de plantas y animales estaban en todos los continentes, y se erizarían sobre las especies que tenemos hoy. Los mejores modelos de políticas incluyen factores de escala que se elevan sobre las descripciones simples de las aplicaciones individuales. La capacidad de agrupar cualquier etiqueta en cualquier dimensión de política permite que políticas únicas afecten a los sistemas en múltiples centros de datos, entornos o aplicaciones. Al redactar políticas para la empresa de hiperescala, estas “mega políticas” se mueven con un alcance, velocidad y eficiencia asombrosos para cubrir la empresa con políticas de microsegmentación.
Un modelo de política puede parecer un concepto abstracto y sin importancia. Pero para una implementación exitosa de microsegmentación, nada podría estar más lejos de la verdad. El modelo de política determina qué será y qué no será posible expresar y qué tan fácil o difícil será hacerlo. Una empresa puede cambiar rápidamente el color de su interfaz de usuario, pero tendrá dificultades para arreglar un modelo de políticas roto o mal diseñado. El modelo de políticas de microsegmentación más probado en el mundo proporciona abstracción completa del direccionamiento de red y los puntos de aplicación a través de un modelo de etiquetas “útil dimensional”. Este modelo se lleva constantemente a través de todas las funciones del producto. Cuando los modelos de objetos completos se combinan con modelos de herencia y declarativos, es posible declarar fácil y rápidamente el resultado deseado y que sea cierto en el mundo. La microsegmentación tiene éxito en escala de cientos de miles de cargas de trabajo sólo mediante un modelo de políticas maduro, completo y bien diseñado.
A continuación en esta serie sobre preguntas sobre microsegmentación que no sabe preguntar, discutiremos lo que se necesita para automatizar la política de microsegmentación.