/
Segmentación de confianza cero

Es un Pájaro, Es un Avión, Es... ¡Supercluster!

Las organizaciones grandes a menudo tienen data centers ubicados en diferentes regiones geográficas. Los data centers distribuidos permiten a estas organizaciones ubicar sus aplicaciones cerca de sus clientes y empleados, cumplir con los requerimientos de residencia de datos y proporcionar recuperación ante desastres para sus aplicaciones críticas del negocio. La adopción de la nube pública hace que sea aún más fácil para las organizaciones de todos los tamaños distribuir sus cargas de trabajo en múltiples regiones. Por ejemplo, AWS ahora abarca 18 regiones geográficas de todo el mundo.

Estamos emocionados de presentar PCE Supercluster para proporcionar visibilidad completa, administración centralizada y federada, y aplicación consistente de políticas de microsegmentación en la infraestructura multirregional, a gran escala. Esta publicación explora los requerimientos clave para asegurar la infraestructura multi-región y por qué diseñamos PCE Supercluster con una arquitectura federada.

Requerimientos para una solución de microsegmentación multiregión

Si tiene una infraestructura distribuida globalmente, existen varios requerimientos clave para una solución de microsegmentación. Es importante considerar estos requerimientos por adelantado, incluso si su implementación inicial de microsegmentación se limita a una sola ubicación.

  • Resiliencia: La solución de microsegmentación debe continuar operando y asegurando la infraestructura en caso de una falla del data center o una interrupción de la red entre regiones.
  • Escalabilidad: La solución de microsegmentación debe escalar con el número de cargas de trabajo en cada data center y el número total de cargas de trabajo en todo el mundo.
  • Capacidad de administración: La solución de microsegmentación debe ser administrada por equipos de seguridad y aplicaciones globales y regionales.
  • Eficiencia de ancho de banda: El ancho de banda de la red entre regiones es costoso, por lo que la solución no debe consumir grandes cantidades de ancho de banda.

Arquitecturas para una solución de microsegmentación multiregión

Illumino's Motor de computación de políticas (PCE) es un controlador basado en software que es responsable de orquestar la política de microsegmentación en las cargas de trabajo y otros puntos de aplicación en la infraestructura. El PCE también recopila datos de telemetría de la infraestructura, como información de flujo de red e información sobre los procesos que se ejecutan en las cargas de trabajo.

Existen varios enfoques posibles para diseñar el PCE, o cualquier solución de microsegmentación basada en software, para asegurar las cargas de trabajo ubicadas en diferentes regiones geográficas.

A continuación, se muestra un desglose de los diversos enfoques de arquitectura y cómo se mapean a los requisitos descritos anteriormente.

Arquitectura Centralizada : el controlador reside en una sola ubicación.

  • Resiliencia: una arquitectura centralizada crea un único punto de falla y proporciona resiliencia limitada.
  • Escalabilidad: Una arquitectura centralizada puede escalar tanto vertical como horizontalmente para soportar el número total de cargas de trabajo en todo el mundo.
  • Capacidad de administración: una arquitectura centralizada facilita que los equipos de seguridad y aplicaciones globales configuren y apliquen políticas de microsegmentación en toda la infraestructura. El Control de acceso basado en roles (RBAC) se puede utilizar para proporcionar a los equipos regionales un acceso limitado para ver y modificar políticas solo para las aplicaciones en su región.
  • Eficiencia de ancho de banda: Una arquitectura centralizada utiliza más ancho de banda porque todos los datos de flujo de red y otra telemetría deben enviarse de vuelta al controlador. El ancho de banda aumenta con el número de cargas de trabajo por región y el número de conexiones entre estas cargas de trabajo.

Arquitectura Distribuida coloca un controlador en cada centro de datos y los controladores son completamente independientes entre sí.

  • Resiliencia: Una arquitectura distribuida es altamente resiliente. Una falla en un controlador en una región no afecta a las otras regiones.
  • Escalabilidad: Una arquitectura distribuida puede escalar con el número de cargas de trabajo en cada data center y el número total de cargas de trabajo en todo el mundo mediante la implementación de más controladores.
  • Capacidad de administración: Una arquitectura distribuida permite a los equipos regionales crear políticas locales, pero esta arquitectura crea desafíos para aplicar políticas globales, ya que estas deben replicarse manualmente en cada región. Además, no hay manera de visualizar todas las aplicaciones en un solo lugar y ver las dependencias entre regiones.
  • Eficiencia de ancho de banda: Una arquitectura distribuida es más eficiente en ancho de banda, ya que todos los datos permanecen locales en la región.


Arquitectura Federada coloca un controlador en cada data center y los controladores se comunican entre sí para compartir información sobre la política de seguridad de la organización y las cargas de trabajo que se están protegiendo.

  • Resiliencia: Una arquitectura federada es altamente resiliente. La falla de un controlador en una región no afecta a las otras regiones.
  • Escalabilidad: Una arquitectura federada puede escalar con la cantidad de cargas de trabajo en cada data center y el número total de cargas de trabajo en todo el mundo mediante la implementación de más controladores.
  • Capacidad de administración: una arquitectura federada facilita que los equipos de seguridad y aplicaciones globales configuren y apliquen políticas de microsegmentación en toda la infraestructura. RBAC se puede utilizar para proporcionar a los equipos regionales acceso limitado para ver y modificar políticas solo para las aplicaciones en su región.
  • Eficiencia de ancho de banda: Una arquitectura federada es más eficiente en el ancho de banda siempre que solo se comparta la mínima cantidad de información entre los controladores para que el sistema funcione.

En la siguiente tabla se resumen las tres arquitecturas para microsegmentar infraestructura multiregión:

Centralizado Distribuido Federado Resiliencia -++ Escalabilidad +++ Capacidad de administración +-+ Eficiencia de ancho de banda -++

Presentamos PCE Supercluster: microsegmentación multiregión bien hecha

Dadas las claras ventajas, PCE Supercluster ha sido diseñado con una arquitectura federada. En un Supercluster, la política de seguridad global se administra desde un PCE líder designado. Las sólidas capacidades RBAC de Illumino se soportan en Supercluster, lo que permite que los equipos globales y regionales accedan al PCE líder con la menor cantidad de privilegios. Luego, la política se replica automáticamente a los otros PCE que traducen las políticas basadas en etiquetas en instrucciones utilizadas para programar firewalls de host en cargas de trabajo y otros puntos de aplicación en la infraestructura. Este diseño garantiza que la política global se aplicará continuamente, incluso si una región se aísla del resto del Supercluster.

Illumio reconoció desde el principio que la visibilidad es clave para la microsegmentación porque no se puede asegurar lo que no se ve. Supercluster proporciona un mapa completo de dependencia de aplicaciones en vivo (Iluminación) en el líder para visualizar las dependencias de las aplicaciones dentro e interregionales y la cobertura de la póliza. La visibilidad en tiempo real de los sistemas de alto valor y las conexiones y flujos autorizados a través de estas aplicaciones es un primer paso crítico para diseñar los microperímetros de la organización y crear políticas de microsegmentación que no rompan las aplicaciones.

Supercluster agrega un nivel de escala para dar soporte a las organizaciones más grandes del mundo.

Ya se puede implementar un único PCE como un cluster de varios nodos para soportar decenas de miles de cargas de trabajo. Al permitir que múltiples PCE se unan, Supercluster agrega otro nivel de escala para dar soporte a las organizaciones más grandes del mundo.

Gastamos una gran cantidad de energía diseñando Supercluster para minimizar el consumo de ancho de banda entre PCE. Sólo la cantidad mínima de datos de carga de trabajo necesaria para la política de cómputo se replica entre regiones. Además, los datos de flujo de red son preprocesados en la región por cada PCE y solo la información mínima necesaria para dibujar el mapa de dependencia de aplicaciones en vivo se replica en toda la red.

Con PCE Supercluster, las organizaciones pueden:

  • Obtenga visibilidad en tiempo real de su entorno de data center distribuido globalmente.
  • Diseñe microperímetros con confianza y cree políticas de microsegmentación que soporten el tráfico interregional y hagan cumplir la microsegmentación a una escala significativa, sin romper las aplicaciones.
  • Lograr sus objetivos de microsegmentación y, al mismo tiempo, lograr eficiencias de ancho de banda de red y soportar recuperación ante desastres y alta disponibilidad.

Temas relacionados

Artículos relacionados

Únase a Illumio en Boston en AWS Re:Inforce 2022
Segmentación de confianza cero

Únase a Illumio en Boston en AWS Re:Inforce 2022

Miles de entusiastas de la seguridad, el cumplimiento de normas, la identidad y la privacidad convergerán en el Centro de Convenciones de Boston en busca de educación, creación de redes y las últimas soluciones que ofrecen patrocinadores como Illumio.

5 conclusiones de Zero Trust del CSO de educación superior George Finney
Segmentación de confianza cero

5 conclusiones de Zero Trust del CSO de educación superior George Finney

Los desafíos de ciberseguridad de las OSC de educación superior son únicos. El CSO de SMU, George Finney, analiza la implementación de la segmentación Zero Trust en el entorno universitario.

Segmentación de la red frente a la seguridad
Segmentación de confianza cero

Segmentación de la red frente a la seguridad

En este episodio de The Tailgating Security Podcast, Alan Cohen y Matt Glenn discuten el mundo de la diferencia entre segmentación de redes y seguridad.

No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?