Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

Guía del Arquitecto para Implementar la Microsegmentación: Administración de la Relación con los Proveedores y la Integración Operacional

Illumio Editorial
,
September 3, 2020
23 min. lectura

Transición de lo tradicional segmentación de red (como firewalls) a microsegmentación requiere un esfuerzo orquestado dirigido por arquitectos o gerentes de proyecto. Al comprender y explorar los verdaderos beneficios de antemano y la ruta más clara hacia la optimización, se puede lograr el éxito durante todo el proceso de implementación.

Esta serie desempaquetó las muchas consideraciones. En esta quinta y última parte, analizaré la mejor manera de administrar su relación con los proveedores y mantener la integración operacional.

Administración de la relación con los proveedores

Su proveedor elegido quiere que su proyecto de microsegmentación tenga éxito tanto como usted. En el lado del proveedor, regularmente nos comunicamos internamente sobre cada implementación para asegurarnos de que las características, los recursos y el código estén disponibles cuando se necesitan.

Trate a su proveedor como un socio estratégico, para obtener nuestro mejor performance. Cuando sabemos no solo “lo que necesitas”, sino “por qué lo necesitas” y “por qué lo necesitas para cuándo”, hace que sea mucho más fácil mover a nuestro equipo extendido. Si tiene a su proveedor a la altura de los brazos y solo podemos ver el siguiente paso en el plan del proyecto, a menudo no podemos ver el panorama general y aportar nuestra experiencia y lecciones aprendidas hasta que sea demasiado tarde. Cualquier proyecto puede retrasarse, requerir que se termine temprano o cualquier otro número de resultados. Comunica los grandes cambios con anticipación, y tu proveedor estará en la mejor posición para absorber los cambios y ayudarte a ajustar el plan y la ejecución.

Check list

Hay varias asociaciones clave que deben formarse en las primeras semanas del proyecto:

  1. Arquitecto de soluciones, ingeniero de servicios profesionales, gerente de proyecto, líder tecnológico. Este es el equipo de trabajo técnico central. Juntos harán la mayor parte del trabajo técnico para que el proyecto tenga éxito. Es importante que haya un diálogo libre, abierto y respetuoso.
  2. Cliente éxito arquitecto, director, arquitecto de proyecto. Este es el equipo de trabajo estratégico. Necesitan saber lo que está sucediendo técnicamente y estar mirando por delante del equipo del proyecto para eliminar o minimizar los obstáculos. Esta relación debe ser lo suficientemente cómoda como para que ambas partes puedan hablar de manera transparente sobre los problemas y desafíos. Este es el primer punto de “escalada” para ambas partes si algo no va bien.
  3. Gerente de cuentas, VPs de proveedores y patrocinador ejecutivo. Este es el equipo de trabajo de nivel empresarial que es responsable de los resultados. Este equipo maneja cualquier escalamiento entre empresas que pueda surgir. Cada lado tendrá riesgo de ejecución que debe entenderse y expresarse en este nivel. Este equipo debería discutir más que el proyecto en cuestión para incluir una hoja de ruta y oportunidades adicionales y puntos de apalancamiento para la microsegmentación.

El patrocinador ejecutivo que asegura que cada uno de estos equipos funcione bien rara vez se sorprenderá a la baja y encontrará que la mayoría de los problemas inevitables se manejan sin llamar la atención del ejecutivo excepto como informes de estado. Ningún proyecto es “autogestionable” pero cuando estos tres niveles de relación están bien atendidos, los proyectos tienden a funcionar sin problemas.

Administración de la integración operacional

Ahora, cambiemos de marcha. La mayoría de las soluciones de microsegmentación tienen algunos componentes: un motor de políticas central y un agente basado en host como mínimo. La complejidad asociada a una implementación de microsegmentación proviene del hecho de que estos dos componentes tocan muchas otras cosas en el entorno empresarial. Existen varias “mejores prácticas” que ayudarán en la integración operacional con los sistemas existentes.

Construir un entorno de pruebas de control de calidad o de preproducción

Si bien tanto los equipos internos como los de proveedores se centrarán naturalmente en las instancias PROD de la solución, asegúrese de que el equipo establezca una versión pequeña de QA de la solución de microsegmentación en un entorno que no sea de producción. Esta plataforma servirá para varios propósitos. Al principio, será un lugar donde los desarrolladores internos y los equipos de herramientas de automatización puedan probar y desarrollar código. Los equipos de operaciones pueden probar las integraciones de registro y el manejo de eventos. Las clases de capacitación interna pueden usar el sistema para la capacitación de familiarización.

Una vez completada la implementación, esta capacidad debe conservarse. Asegúrese de que este sistema pre-producción administre una de cada una de las imágenes principales del sistema operativo. De esta manera, se puede probar el nuevo código de proveedor en el entorno no prod con el conjunto completo de imágenes del sistema operativo PROD antes de implementar nuevas versiones en producción. Idealmente, su equipo de implementación de proveedores puede soportar este sistema como una única máquina virtual liviana.

Configurar y probar el registro y las alertas de eventos antes de la implementación de producción

Como era de esperar, los equipos de OPS tienen la mayor confianza cuando se completa la integración operacional completa antes de emparejar las cargas de trabajo de producción. Se necesita tiempo y esfuerzo para transmitir registros, parecerlos, generar alertas y crear paneles.

Este trabajo proporciona una visibilidad completa, sin embargo, del estado del motor de políticas, los agentes y los sistemas subyacentes. Es mucho más fácil para todos trabajar en entornos de producción sensibles sabiendo que toda la instrumentación necesaria está en su lugar. Espere que los ingenieros de servicio profesionales de su proveedor traigan recomendaciones sobre mensajes de registro clave y recomienden alertas que han sido populares entre otros clientes.

Es necesario capturar tres puntos de vista diferentes en el mecanismo de análisis de log y manejo de eventos:

  1. Seguridad. El equipo de seguridad estará más enfocado en los logs del firewall y los mecanismos antimanipulación del agente. Siempre están interesados en las políticas y las violaciones de políticas.
  2. OPS. El equipo de OPS estará más enfocado en la carga de trabajo y el estado del motor de políticas, y querrá saber cómo correlacionar los eventos del sistema con otros eventos del centro de datos.
  3. Tablero. Los administradores de administración o NOC a menudo necesitarán una vista consolidada de la implementación de microsegmentación que contenga aspectos destacados y la capacidad de profundizar.

Cuando cada una de estas preocupaciones se refleja en el mecanismo de manejo de logs/eventos/alertas, la confianza se acumula en toda la organización a medida que muchos equipos diversos se dan cuenta de que el proyecto proporciona una integración completa que sigue la práctica existente.

Invierta en flujos de trabajo automatizados

Una implementación de microsegmentación brindará muchas oportunidades para automatizar procesos de seguridad que durante mucho tiempo han sido un esfuerzo puramente manual. Además, el etiquetado de microsegmentación revisará y mejorará la investigación de las fuentes de metadatos existentes, y las combinará de maneras novedosas. Los metadatos resultantes son valiosos en sí mismos y pueden conservarse para su uso en otros sistemas y tareas de automatización. Es común que las empresas tengan mejores metadatos después de una implementación exitosa de microsegmentación si se realiza un esfuerzo modesto. Este esfuerzo rinde enormes dividendos en la operación continua y la expansión de la implementación inicial de microsegmentación.

Instalación del agente

La implementación de un agente de microsegmentación en cientos o miles de sistemas implicará algún tipo de automatización. En algunos casos esto será utillaje existente, en otros se construirá desde cero. Pero en muchos casos, el deseo será integrar la instalación del agente con procesos de compilación automatizados. Ya sea Chef, Puppet, Ansible, Salt u otros entornos, existe la oportunidad de incorporar la seguridad en el ciclo de vida automatizado estándar de la empresa.

La mayoría de los data centers empresariales tienen una combinación de automatización completa mediante marcos de orquestación y entornos heredados sin estas herramientas. Tomarse el tiempo para trabajar a través de la integración con el equipo de orquestación siempre que sea posible, prepara el proyecto para el mejor éxito. Los entornos más antiguos que no van a obtener el marco de orquestación se pueden manejar por separado con scripting personalizado.

Instalación del motor de políticas

Algunos de nuestros clientes también empaquetan la creación del motor de políticas en su paquete de orquestación. Si la instanciación de políticas se ha automatizado, la recuperación de un bloqueo del servidor puede ocurrir casi tan rápido como la automatización puede crear un nuevo motor de políticas. Las organizaciones con una fuerte moción DEV-OPS querrán considerar esto.

Backup de bases de datos del motor de políticas

Todos los motores de políticas de microsegmentación tienen algún tipo de base de datos detrás de ellos. Si esta base de datos está dañada o no está disponible, es probable que la solución no funcione en absoluto u ofrezca resultados no deseados. Asegúrese de que el equipo de OPS tenga automatizados los backups necesarios y sea experto en restauración y recuperación de acuerdo con los procedimientos de su proveedor.

Asignación de etiquetas

La asignación inicial de etiquetas a las cargas de trabajo se realiza comúnmente mediante algún tipo de carga masiva en el motor de políticas. Esto producirá etiquetas correctas para los sistemas iniciales, en un estado inicial. Con el tiempo, las etiquetas cambiarán. Se agregarán nuevos sistemas, algunos se irán. Cuanto más se automatice este flujo de trabajo, más fácil será para todos los involucrados. Esto implicará codificar la asignación de etiquetas en la documentación de diseño interna y decidir cómo almacenarla, actualizarla y recuperarla.

Su solución de microsegmentación siempre utilizará etiquetas, pero es posible que estas etiquetas se mantengan mejor mediante la administración centralizada de metadatos. Es probable que su equipo DEV OPS tenga una opinión sólida sobre la administración de metadatos, y es prudente incluir su voz.

Administración de metadatos

Una implementación de microsegmentación crea políticas de seguridad de acuerdo con las asignaciones de metadatos. Esto significa que con el tiempo, su solución de microsegmentación tendrá un conjunto de etiquetas y otros metadatos que describen cómo deben interactuar las cosas. Por lo general, estas etiquetas no son hechas a medida por su proveedor; se reutilizan a partir de una fuente de verdad existente.

Esto proporciona una oportunidad de automatización. Una buena solución de microsegmentación siempre volverá a calcularse la política cuando cambien las etiquetas. Por lo tanto, si los metadatos se mantienen fuera de su solución de microsegmentación, esta separación de tareas se puede aprovechar para la automatización. Cuando la solución de microsegmentación hace referencia a una “fuente de verdad” externa, cualquier cambio en los metadatos podría notificar a su motor de políticas mediante programación y las reglas se actualizarían automáticamente.

Con la microsegmentación, ser más inteligente acerca de la administración de metadatos es lo mismo que hacerlo más inteligente sobre la administración de políticas y políticas. El tiempo dedicado a pensar dónde se almacenan los metadatos utilizados para hacer etiquetas, y cómo se actualizan, recuperan y alimentan a un motor de políticas siempre es un ejercicio fructífero. En otros casos, la información del motor de políticas puede ser útil para actualizar los sistemas CMDB existentes. La implementación de microsegmentación proporcionará una excelente razón para considerar cómo se utilizan y aprovechan los metadatos en la organización y puede proporcionar un impulso para automatizar esas mejoras.

Llevándolo todo a casa

Una implementación exitosa de microsegmentación mejorará el modelo de segmentación interna, el diálogo de políticas y el nivel de automatización de seguridad. Dirigir al equipo a ese destino implicará nuevos aprendizajes y nuevas oportunidades. La microsegmentación alterará partes del modelo operativo existente y será mejor atendida por un equipo de implementación multifuncional.

Como líder, su aporte será necesario en varias coyunturas clave. Al insistir en tener las conversaciones adecuadas en torno a los metadatos y el desarrollo de políticas, tiene la oportunidad de marcar una diferencia duradera en la velocidad y agilidad del negocio. Realmente puede tener un control detallado y una automatización rápida al mismo tiempo. Espero saber sobre su éxito en la implementación, operacionalización y ejecución de su propia implementación de microsegmentación.

Para una lectura más detallada sobre todo lo que necesita saber para implementar una estrategia de microsegmentación de principio a fin, asegúrese de revisar el libro electrónico, Secure Beyond Breach: Una guía práctica para construir una estrategia de ciberseguridad en profundidad de defensa a través de la microsegmentación.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Por qué no hay confianza cero sin microsegmentación
Segmentación de confianza cero

Por qué no hay confianza cero sin microsegmentación

Obtenga información del creador de Zero Trust, John Kindervag, sobre por qué la microsegmentación es esencial para su proyecto Zero Trust.

Leer más
Operacionalización de la Orden Ejecutiva de Ciberseguridad de la Administración Biden con Cero Confianza
Segmentación de confianza cero

Operacionalización de la Orden Ejecutiva de Ciberseguridad de la Administración Biden con Cero Confianza

¿Listo para poner en funcionamiento la orden ejecutiva de ciberseguridad del presidente Biden con Zero Trust? Lee este blog para saber cómo.

Leer más
Seguridad de contenedores: una guía esencial para proteger Kubernetes
Segmentación de confianza cero

Seguridad de contenedores: una guía esencial para proteger Kubernetes

Descubra por qué la seguridad de los contenedores es crucial en un mundo donde las brechas son inevitables y descubra cómo Illumio puede proteger sus entornos Kubernetes contra las amenazas modernas.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información