.png)
5 motivos pelos quais o DevOps vai adorar a microssegmentação
Quando as equipes de infraestrutura e segurança querem introduzir a microssegmentação, a comunidade de aplicativos não se opõe tanto a uma segurança mais rígida, mas é sensível à velocidade e à segurança das mudanças propostas. As questões de segurança são satisfeitas por meio de testes adequados. Mas, para muitas organizações, há uma expectativa de tempo associada ao ajuste do firewall ou da política de segmentação que é medida em dias ou semanas. Para uma equipe de DevOps, esse tipo de cronograma é quase incompreensível. As compilações do servidor acontecem em segundos. Pods inteiros são implantados em minutos. As operações de API em massa superam a digitação manual de dados complexos todos os dias da semana.
A boa notícia é que a microssegmentação tem cinco benefícios significativos para as equipes de DevOps.
1. A microssegmentação funciona com metadados compartilhados
As regras tradicionais de firewall usam endereços IP, mas a automação do DevOps funciona com metadados e abstrações. A microssegmentação abstrai a política de segmentação em rótulos ou etiquetas. Esses rótulos não são criados no mecanismo de políticas de microssegmentação, mas derivam de fontes confiáveis padrão da empresa: CMDB, convenções de nomes de host, sistemas de gerenciamento de IP e outras fontes programáticas.
Quando a segmentação é executada nas mesmas fontes de metadados da automação de aplicativos, é fácil criar a segmentação em fluxos de trabalho automatizados.
2. A microssegmentação oferece automação dinâmica de políticas
Depois que a política de segmentação é extraída em metadados compartilhados, uma microssegmentação mecanismo de política faz todo o trabalho pesado de calcular, distribuir e convergir as regras resultantes. Isso efetivamente transforma a microssegmentação em um recurso de aplicativo automatizável que pode ser chamado como qualquer outro serviço de aplicativo.
Melhor ainda, um mecanismo de política de microssegmentação de qualidade rastreará quaisquer alterações nos endereços IP ou rótulos subjacentes e manterá automaticamente a política desejada em vigor. Dessa forma, a microssegmentação se torna declarativa e não está mais vinculada a uma necessidade imperativa de especificar regras individuais. A automação especifica a política desejada, e o mecanismo de políticas cria as regras necessárias e as mantém constantemente e continuamente atualizadas.
3. A microssegmentação se insere facilmente nos cadernos de execução existentes
Os principais fornecedores de microssegmentação podem indicar implantações totalmente automatizadas na faixa de 40 a 120 mil. Dentro desses data centers totalmente automatizados, é comum que toda a infraestrutura seja restabelecida a cada poucas semanas, geralmente em questão de minutos. A microssegmentação pode ser sequenciada em automação de aplicativos e pods para que toda a conectividade de rede necessária esteja disponível quando necessário.
Mesmo durante as reconfigurações do data center em grande escala, o mecanismo de política de microssegmentação mantém cada carga de trabalho e cada contêiner alinhados com a política especificada. Quando a segmentação é instanciada rapidamente e a distribuição de políticas ocorre em tempo real, os cadernos de execução do DevOps fluem sem problemas, mesmo quando políticas rígidas de microssegmentação protegem cada serviço de aplicativo.
4. A microssegmentação é independente da localização
Um bom código de automação oferece abstração suficiente para que tarefas complexas possam ser aceleradas. O fato de o aplicativo ser executado na nuvem ou no data center não é muito importante se a automação for suficientemente abstraída.
Como a microssegmentação abstrai o endereçamento IP, a localização também não importa mais para a segmentação. Metade do aplicativo pode estar na nuvem. Ele pode passar de uma VPC para outra. A localização física ou o endereço deixam de ser importantes. Dessa forma, a microssegmentação oferece a mesma independência de localização e infraestrutura que as equipes de DevOps desejam.
5. A microssegmentação é independente da arquitetura do aplicativo
Alguns aplicativos são executados em servidores bare-metal, alguns em máquinas virtuais e outros em contêineres. Alguns aplicativos migrarão de um para o outro em breve. A microssegmentação funciona da mesma forma, independentemente da arquitetura do aplicativo ou da metodologia de implantação.
Uma solução de microssegmentação de qualidade oferece suporte contêineres e Kubernetes tão eficazmente quanto suporta um servidor de banco de dados físico. A mesma política funcionará mesmo que metade do aplicativo esteja em contêineres e a outra metade permaneça em metal puro. Assim como acontece com a localização, quando a política é suficientemente abstraída e os pontos de aplicação permanecem disponíveis, a microssegmentação funciona em arquiteturas de aplicativos legadas, atuais e de próxima geração.
Para os membros da sua equipe de DevOps, a microssegmentação é a estratégia de segurança que eles estavam esperando. A microssegmentação funciona em alta velocidade. Funciona em grande escala e, definitivamente, em velocidade e escala! A microssegmentação usa os mesmos metadados e abstrações que já estão em uso para automação de aplicativos.
Combinado com um poderoso mecanismo de políticas, isso cria uma camada dinâmica de automação de políticas que torna a segmentação um “serviço” padrão a ser automatizado no aplicativo. A microssegmentação pode ser incorporada aos cadernos de execução para garantir que a segmentação esteja disponível desde a instanciação até a remoção.
Porque a microssegmentação dissocia a segmentação a partir de conceitos de infraestrutura, como endereços IP, ele oferece a independência de localização e a independência da arquitetura de aplicativos necessárias para uma ampla aplicabilidade. Quando a segurança precisa avançar tão rápido quanto a equipe de DevOps, a microssegmentação fornece os recursos necessários.
Para saber mais, baixe o relatório de pesquisa do Bishop Fox: Eficácia da microssegmentação: relatório de avaliação.
