Cinco dicas para simplificar a rotulagem de cargas de trabalho para microssegmentação
O IP tem uma estrutura que todos e todas as máquinas podem entender. Se você mostrar a alguém um conjunto de números em 4 dimensões, como 192.168.1.254, muitos reconhecerão isso imediatamente. A estrutura simples torna as informações fáceis de consumir e entender. É o que faz a internet crescer e funcionar. E para aqueles que trabalham com ela, sua hierarquia fornece insights imediatos.
Imagine a alternativa: um mundo onde as pessoas definem estruturas arbitrárias. E se em um minuto você visse 192.179.134.56.245.23 e no outro você visse 24,87? Como podemos descobrir como eles se relacionam entre si?
Embora vejamos a flexibilidade e o livre arbítrio como positivos, no mundo do endereçamento de rede — e igualmente na rotulagem da carga de trabalho (especialmente em microsegmentação) — pode resultar em confusão e complexidade. Em última análise, isso leva a políticas e problemas inconsistentes semelhantes aos enfrentados com as políticas tradicionais de firewall.
Por alguns anos, marcamos objetos com uma ampla variedade de atributos para identificar e agrupar ativos, o que repetidamente causou desafios de escala e capacidade de gerenciamento. Sem estrutura, criar uma arquitetura que possa durar se torna cada vez mais um problema ao longo do tempo. Na Illumio, identificamos isso cedo e decidimos que a estrutura e a simplicidade trazem grandes benefícios operacionais em relação à marcação arbitrária de objetos.
Simplificando, os rótulos devem ser fáceis de usar, reproduzíveis, previsíveis e simples de compreender posteriormente.
Então, com isso em mente, aqui estão 5 dicas para simplificar a rotulagem das cargas de trabalho:
1. Atenha-se a um esquema de rotulagem em 4 dimensões
Isso funciona classificando as cargas de trabalho com alguns parâmetros dimensionais simples e óbvios. Por exemplo:
- Localização: Onde está localizada a carga de trabalho? Pode ser um país, uma cidade, um provedor de nuvem etc.
- Meio ambiente: Esse objeto reside em Produção, Desenvolvimento ou Teste?
- Aplicação: Está servindo um aplicativo financeiro, de RH ou de CRM?
- Função: É um servidor de aplicativos, um servidor web ou um banco de dados?
Seguindo os quatro grupos simples de Função, Aplicação, Ambiente e Localização (RAEL), podemos criar um modelo de rotulagem que não seja apenas fácil de entender, mas portátil e extensível.
Essa estrutura permite que os usuários usem qualquer um dos quatro rótulos e usem uma única seção para simplificar o controle e reduzir o tempo de computação. Se nossas etiquetas fossem para veículos e assumissem a forma de “Tipo | Marca | Modelo | Cor”, identificar apenas BMWs ou veículos vermelhos torna o exercício muito simples e rápido.
E lembre-se de que a rotulagem de objetos é usada mais simplesmente para definir o objeto e seu propósito principal, não seus relacionamentos. Seguir esse princípio e usar a política para definir relacionamentos é o caminho para a felicidade — confie em mim.
2. Padronize em um formato
Embora possamos ver coisas semelhantes em redes e computação, há uma grande diferença entre “Produção”, “Produção” e “Produção”. Sempre haverá ocasiões em que ocorrerão erros de ortografia e, em um modelo estruturado em 4 dimensões, é fácil solucionar o problema.
No entanto, em um ambiente de estilo livre flexível, tentar encontrar o erro em “prod.fin.win.uk.crm.web.BLDG1.10” será um processo longo.
3. Tenha cuidado ao encurtar os nomes dos rótulos
Por exemplo, você encurta um rótulo, como “Produção” para “Produção”, mas não abrevia “Banco de dados”. A redução inconsistente dos nomes dos rótulos pode resultar na duplicação dos rótulos, o que, por sua vez, pode levar à aplicação inconsistente de políticas ou a desafios de suporte.
Recomendamos que você use os nomes completos (Produção, Desenvolvimento e Teste), a menos que uma versão abreviada ou acrônimo seja a nomenclatura comumente usada em sua organização (como UAT). Um exemplo clássico em que isso pode causar problemas é quando os rótulos 'Prod' e 'Production' são criados. Se algumas cargas de trabalho forem rotuladas como 'Produzidas', as regras criadas para 'Produção' não serão aplicadas a elas.
Definir um padrão de nomenclatura não é um conceito novo, e há uma boa razão para isso.
4. Mantenha-se consistente em todos os sistemas
Além da consistência em seu esquema de rotulagem para microssegmentação, recomendamos que você mantenha a consistência com fontes externas de metadados.
Se você estabeleceu convenções de nomenclatura de metadados, talvez em seu banco de dados de gerenciamento de configuração (CMDB), convenções de nomenclatura de host ou uso de blocos de endereços IP, não crie convenções alternativas para seu esquema de rotulagem. Durante seu projeto de implantação, se você descobrir que sua fonte de dados padrão também tem inconsistências, essa é uma oportunidade de resolver isso e melhorar a qualidade dessa fonte de dados. Isso é extremamente benéfico por vários motivos, e sua organização se beneficiará.
Seu caso de uso inicial de implantação pode estar limitado a um ambiente ou aplicativo específico. No entanto, estruturar o design da etiqueta pensando em toda a organização economizará trabalho se a implantação se expandir. Esquemas de rótulos mais simples são mais escaláveis e suportáveis.
5. Use rótulos para permitir a diferenciação entre objetos
Quando você precisar diferenciar a política entre objetos, use rótulos diferentes. Muitas vezes, há casos em que pode ser tentador usar rótulos distintos, mas, na verdade, não há diferenciação de políticas, portanto, é desnecessário. E lembre-se de que a política a esse respeito inclui a política de segurança, mas também BRACO, relatórios, controle de mudanças e outros tipos de política.
Tendo isso em mente, use nomes comuns para suas etiquetas sempre que possível. Por exemplo, Apache, Nginx e IIS usam portas de serviço e protocolos semelhantes, como 80/TCP ou 443/TCP. Consequentemente, recomendamos que você use um nome de rótulo comum, como “Servidor Web”. Na maioria dos casos, você provavelmente não precisará escrever políticas diferentes para eles.
Varie os nomes dos rótulos somente quando as cargas de trabalho exigirem uma política de segurança diferente. Por exemplo, Oracle, IBM DB2 e MS SQL Server usam portas de serviço e protocolos diferentes, e cada um tem elementos exclusivos de política de segurança, como fluxos de tráfego de cluster. Portanto, recomendamos que você atribua a eles três rótulos de função diferentes às cargas de trabalho que executam esses aplicativos. Por exemplo, isso permitirá que você escreva uma política específica para permitir que seus servidores Oracle Enterprise Manager acessem somente seus servidores Oracle Database, e não seus servidores Sybase.
Como a Illumio pode ajudar
Núcleo Illumio usa um design multidimensional, com uma combinação de quatro rótulos identificando objetos de política. Outros produtos que usam tags podem permitir que você crie qualquer número de tags. Embora possa parecer que isso torna a rotulagem mais flexível, isso resulta em desafios que se tornam mais pronunciados com o tempo.
Se você continuar adicionando diferentes dimensões de etiqueta, rapidamente acabará com um modelo unidimensional em que qualquer tag indica uma aplicação de política exclusiva. Uma ótima analogia para isso é um Serviço de Diretório, em que um novo grupo (tag) pode ser criado para cada novo requisito e aplicado aos usuários. Esses grupos crescem rapidamente em número e geralmente são associados aos mesmos objetos, causando duplicação. Não é incomum que exista um cenário em que haja mais grupos do que usuários. Da mesma forma, em uma solução baseada em tags, você pode acabar com mais tags do que objetos, com cada objeto associado a um grande número de tags.
Em seguida, cabe aos administradores associar todos os objetos a todas as tags necessárias. O resultado disso é que toda vez que um novo objeto é criado, ele precisa ser marcado com uma coleção cada vez maior de tags para obter o acesso necessário. Nesse cenário, a escalabilidade se torna desafiadora e a consistência começa a falhar.
Muitos de nós já passamos por uma situação em que nosso acesso não é exatamente o mesmo de outro membro de nossa equipe, e acontece que não temos um grupo (ou tag). Ao usar um modelo simples em 4 dimensões, a rotulagem de novos objetos é simples, previsível, reproduzível e suportável, e a herança no design da política melhora significativamente a capacidade de gerenciamento.
Definir um esquema de rotulagem escalável e consistente exige uma mudança de mentalidade na forma como você pensa sobre o design de políticas, mas, uma vez entendido, sua simplicidade tornará o gerenciamento de políticas mais eficaz.
Para obter mais informações sobre como pensamos sobre rotulagem na Illumio, confira este ótimo vídeo do nosso evangelista chefe, Nathanael Iversen.