Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

Lo que necesita para distribuir una política de confianza cero

Illumio Editorial
,
May 20, 2021
23 min. lectura

En esta serie, hemos discutido Descubrimiento de políticas y Autoría de políticas hasta ahora. Una vez que tenga una política que implementar, necesita calcularla, convertirla en reglas y distribuirla a los puntos de aplicación. Después de todo, el Cero Confianza ¡la política sólo puede operar en los lugares a los que llega! Asegurémonos de que podamos instrumentar esa política en tantos lugares y de la manera más efectiva posible.

Automatice las políticas en reglas

El primer paso para convertir una política legible por humanos (que se basa en etiquetas o metadatos) en una política de Segmentación de Confianza Cero aplicada es traducirla en reglas que la infraestructura pueda entender. Hemos discutido lo importante que es para los humanos especificar la política sin usar direcciones IP, ¡pero todos los puntos de aplicación las requieren! La función de cálculo de políticas tiene un papel crítico que desempeñar.

Basar la política de Segmentación de Confianza Cero en las etiquetas significa que la misma automatización que impulsa las instancias de aplicaciones puede impulsar la política de segmentación. Sin necesidad de conocer las direcciones IP, o incluso el número de servicios de aplicaciones similares, la automatización de aplicaciones puede obtener la política correcta con solo “indicar su nombre”. Cuando la política legible por humanos se puede convertir automáticamente en reglas aplicables, la segmentación se convierte en un servicio, al igual que los propios componentes de la aplicación.

Haz que sea dinámico y continuo

El cálculo de políticas debe ser dinámico y continuo. En un centro de datos moderno o una implementación en la nube, la automatización ajusta las aplicaciones constantemente. Esto significa que las direcciones IP cambian, las instancias aparecen, hacen su trabajo y se eliminan. Los controladores de servicio SaaS cambian sin problemas la carga a una nueva dirección IP en un cluster de tamaño desconocido. Esto significa que las direcciones IP utilizadas en cualquier conjunto de reglas deben actualizarse a medida que evoluciona la infraestructura. El cálculo y la distribución de políticas deben ser continuos y casi instantáneos para mantener la política definida precisa en todos los puntos de aplicación.

Utilizar los puntos de aplicación existentes

Una política de Segmentación de Confianza Cero es tan buena como el número de lugares en los que opera. Por suerte, ¡ya tienes todos los puntos de aplicación que necesitarás! Cada sistema operativo moderno tiene incorporado un firewall con estado perfectamente útil. Se trata de IP-Tables o NetFilter si se trata de una máquina basada en Linux o de la Plataforma de filtrado de Windows si es una instancia basada en Windows. Existen firewalls similares basados en sistemas operativos para AIX, Solaris e incluso un mainframe IBM System Z. Los switches de red de Cisco y Arista toman ACL, al igual que los balanceadores de carga de F5 Networks. No es una treta decir que casi todos los dispositivos conectados a la red tienen la capacidad de tomar instrucciones de segmentación.

Por lo tanto, cualquier buena solución de microsegmentación debe utilizar tantos de estos puntos de aplicación como sea posible. Después de todo, ¿por qué confiar en un agente de proveedor para hacer la aplicación cuando el firewall del kernel es uno de los códigos más estables y de performance disponibles? Busque una solución capaz de programar las instancias existentes de red y red en la nube y firewall. Los sistemas integrados y los dispositivos OT no tienen un firewall incorporado y no necesitan un agente de proveedor, por lo que querrá una solución que utilice todos sus puntos de aplicación disponibles.

Consideraciones sobre el performance y la escala

El performance y la escala deben tenerse en cuenta al evaluar Segmentación de confianza cero soluciones. Las opciones arquitectónicas son importantes, al igual que con cualquier dispositivo de reenvío de hardware como un switch o enrutador. El cálculo de una sola política durante una prueba de concepto no es difícil.

Pero, ¿qué sucede si tiene un centro de datos completamente automatizado donde se eliminan 40.000 instancias de computación y se reemplazan en un intervalo de 15 minutos en una ola que se extiende a través de un complejo de centros de datos global? De repente, el tiempo de cálculo importa.

La única manera de mantener una política correcta en un entorno de aplicaciones automatizado es mantenerse al día con la automatización. Pero incluso una vez que se completa el cálculo, la política debe distribuirse y luego aplicarse. Este evento de convergencia no es diferente de los routers de hardware que convergen sus tablas de enrutamiento.

¿Qué tan efectiva es la arquitectura de distribución de políticas de las soluciones que está considerando? Si la mitad de un data center falla, lo que inicia una gran reruta del tráfico de recuperación ante desastres, la distribución oportuna de las actualizaciones de políticas de repente será de vital importancia para mantener la disponibilidad de las aplicaciones.

Los proveedores líderes tienen experiencia en converger políticas completas de Zero Trust en hasta 500.000 objetos. Asegúrese de que los proveedores que está considerando puedan fundamentar las afirmaciones de failover en múltiples ubicaciones y convergencia simultánea de políticas.

Obtener una política definida, calculada y luego distribuida coloca la mayor carga de performance en la solución de microsegmentación. Cualquier solución puede funcionar en un entorno de evaluación simple. Pero sólo las soluciones a escala empresarial tienen la capacidad de soportar eventos de partición de red, failover y escenarios de recuperación ante desastres, por no hablar de las exigentes reconfiguraciones de automatización de aplicaciones.

Para tener una capacidad efectiva de distribución de políticas, querrá comprender completamente cómo una solución de proveedor automatiza las políticas legibles por humanos en reglas. La política debe distribuirse a la mayor cantidad posible de sus puntos de aplicación existentes, con firewalls de kernel estables y maduros preferidos a cualquier solución de proveedor propietario. Cuando se implementa el cálculo y la distribución de políticas continuos y dinámicos, la Segmentación de Confianza Cero se convierte en un servicio de aplicaciones disponible y se puede automatizar completamente mediante la automatización de aplicaciones existente.

Únase a nosotros la próxima semana en nuestra última entrega mientras consideramos lo que se requiere para hacer cumplir una política de Segmentación de Confianza Cero.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Lo que necesita para distribuir una política de confianza cero
Segmentación de confianza cero

Lo que necesita para distribuir una política de confianza cero

En esta serie, hemos discutido el descubrimiento de políticas y la creación de políticas hasta el momento. Una vez que tenga que implementar una política, necesita calcularla, convertirla en reglas y distribuirla a los puntos de aplicación.

Leer más
Simplifique las implementaciones de SDN y Firewall con microsegmentación basada en host
Segmentación de confianza cero

Simplifique las implementaciones de SDN y Firewall con microsegmentación basada en host

Las redes definidas por software (SDN) y la segmentación a menudo se discuten simultáneamente porque ambas priorizan la automatización.

Leer más
Por qué la confianza cero y la segmentación están fallando a algunas organizaciones
Segmentación de confianza cero

Por qué la confianza cero y la segmentación están fallando a algunas organizaciones

Esta entrada de blog desempaqueta un nuevo informe del analista Enterprise Strategy Group (ESG) sobre aprendizajes importantes sobre Zero Trust y segmentación.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información