O que é importante em um modelo de política para microssegmentação?
De todos os recursos a serem discutidos em uma solução de microssegmentação, a maioria dos fornecedores não começaria com o modelo de política. No entanto, em termos do resultado potencial que uma determinada solução pode criar, o modelo de política determina o que é possível. Portanto, pensar no que é necessário em um modelo de política é uma excelente preparação para tomar uma decisão de compra de alta qualidade e com baixo arrependimento. Vamos examinar cada um dos componentes importantes de um modelo de política de microssegmentação desejável.
Etiquetas multidimensionais
As políticas de microssegmentação usam rótulos para abstrair a segmentação do endereçamento de rede e dos dispositivos subjacentes. Idealmente, esses rótulos serão “utilmente multidimensionais”. Um namespace simples de rótulos ilimitados não é útil; ele não oferece nenhum resumo ou estrutura para pendurar declarações de políticas que afetam muitas máquinas. Se você rotular cada sistema em um namespace simples, não é melhor do que apenas usar endereços IP para especificar a política. Curiosamente, embora nenhum limite deva ser colocado no número de rótulos dentro de uma determinada dimensão política, restringir as dimensões políticas tem se mostrado útil em implantações em grande escala.
Nós humanos podemos visualizar facilmente quatro dimensões: três dimensões físicas mais o tempo, por exemplo. Mas, se os físicos estiverem corretos e vivermos em um espaço de 11 ou 13 dimensões, somente a matemática pode capturar essas dimensões. Eles são impossíveis de visualizar em nossos cérebros. Isso tem consequências práticas para a microssegmentação. Você pode programar um computador para entender e computar uma política de 11 dimensões, mas nenhum ser humano será capaz de entendê-la. Os humanos precisam ser capazes de inspecionar, auditar e entender as políticas de microssegmentação.
Em nossa experiência, quatro dimensões podemos modelar com eficácia até mesmo as maiores redes do planeta para fins políticos, preservando nossa capacidade de entender o modelo. Portanto, procure um modelo de política que tenha mais do que espaço para etiquetas simples ou etiquetas. A estrutura de algumas dimensões funciona na escala de centenas de milhares de sistemas, mas permanece fácil de entender e trabalhar. Assista a este vídeo para saber mais sobre o poder dos rótulos.
Modelo de objetos ricos
Uma linguagem de política de qualidade terá um modelo de objetos suficientemente rico. Um data center corporativo em hiperescala é um local complexo. É óbvio que o modelo deve acomodar tudo o que precisa ser protegido: servidores, VMs, contêineres, instâncias de nuvem etc. Mas esses sistemas protegidos não são suficientes para abstrair todas as primitivas políticas úteis. Você precisa ter objetos para mapeamentos de serviços/portas e intervalos de endereços IP. Em servidores compartilhados — talvez um servidor com várias instâncias de banco de dados — você deve ser capaz de abstrair essas instâncias umas das outras como serviços virtuais distintos. Contentores e os anfitriões de contêineres devem ser “cidadãos de primeira classe” que aparecem em todas as visualizações e uma parte das declarações de política. Curiosamente, também é importante adicionar sistemas desprotegidos ao modelo de objeto — especialmente nas fases iniciais da implantação, quando mais coisas estão desprotegidas do que protegidas e esses sistemas se comunicam entre si. Ser capaz de representar todos os fluxos de forma limpa facilita muito a especificação da política desejada. As melhores soluções poderão até mesmo criar políticas para os objetos não gerenciados, caso você deseje disponibilizá-los para exportação e possível implementação.
Herança
A herança de políticas é a única maneira de escalar a política de microssegmentação para cobrir um data center existente. Se cerca de 80% do tráfego flui dentro do data center, isso significa que as regras de firewall de perímetro existentes abrangem apenas 20% do tráfego. Isso significa que existe o potencial de cinco vezes mais regras dentro do data center do que existe atualmente em todos os firewalls! As abstrações fornecidas pelo modelo de política e sua dimensionalidade útil devem ser combinadas com um modelo de política de lista de permissões puro. Somente dessa maneira a política pode ser escrita uma vez para ser aplicada em muitos casos. Herança e automação inteligente de políticas em torno de políticas comuns de microssegmentação, como cercas de aplicação, se combinam para formar a única forma comprovada de segmentar dezenas de milhares de sistemas com sucesso.
Declarativo versus imperativo
O único modelo de política que consegue microssegmentar com sucesso mais de 100.000 cargas de trabalho usa um método declarativo para expressar o desejo de segmentação. Um modelo de política declarativa exige apenas que se especifique o resultado desejado. Um modelo de política imperativo exige que a solução seja especificada exatamente para criar o resultado. Um conjunto de regras de firewall tradicional é imperativo: cada declaração deve estar presente em perfeita ordem e com precisão perfeita para que a proteção desejada exista. Isso causa dificuldades e complexidade infinitas. No entanto, a política de microssegmentação ideal usa exclusivamente linguagem declarativa: “Quero cercar o aplicativo de pedidos dentro do meu ambiente de produção”. Como isso é feito é o negócio da Policy Compute Engine por trás da linguagem política. Dessa forma, a política é sempre fácil de especificar, fácil de entender e fácil de desenvolver. Dada a escala do trabalho a ser feito, qualquer outra coisa resultará em fracasso.
Aplicação consistente
Quando todas as primitivas necessárias existirem, as melhores soluções de microssegmentação as usarão de forma consistente em todas as áreas do produto. Os rótulos não servem apenas para a criação de políticas, mas devem informar a visibilidade, a distribuição e a aplicação de políticas. Controle de acesso baseado em funções (RBAC) devem seguir exatamente a estrutura do rótulo para que os proprietários de aplicativos, DevOps e outros possam acessar tudo o que precisam, mas não mais. A proteção de implantações automatizadas, em particular, exige esse recurso preciso de delegação. Uma estrutura de rótulo útil, clara e simples cria um modelo mental quando é aplicada de forma consistente. Quase imediatamente, os administradores entendem intuitivamente como a solução funciona e podem antecipar os resultados. Essa intuição rapidamente se transforma em velocidade, velocidade em domínio e domínio em projetos finalizados. Simplicidade, clareza e consistência são a solução para ambientes complexos de data center.
Abstração completa
Gosto de dizer que a automação consome metadados no café da manhã. A automação não pode prosseguir mais rápido do que pode ser abstraída. Um modelo de política bem-sucedido precisa abstrair quaisquer vestígios de endereçamento de rede e do próprio mecanismo de fiscalização. A política deve lidar apenas com o que é desejado. Dessa forma, a automação pode facilmente indicar o resultado: “A Web deve conversar com o aplicativo”. As regras necessárias para tornar isso realidade mudarão constantemente em uma nuvem dinâmica ou em um ambiente automatizado, e essa complexidade não pode ser exposta à estrutura de automação se ela for escalável. Uma política que se baseia em endereços IP, por mais bem-intencionada que seja, simplesmente não será escalável. Da mesma forma, o mecanismo de fiscalização deve estar oculto. Uma vez declarado o desejo, o mecanismo de política de microssegmentação deve descobrir a melhor maneira de implementar essa política, considerando os recursos que conhece. Dessa forma, à medida que os sistemas vão e vêm, o número de pontos de fiscalização diminuirá, assim como a base de políticas e regras. Somente uma política totalmente abstrata fornecerá aos arquitetos de DevOps e de nuvem os recursos necessários para interagir perfeitamente com a solução de microssegmentação.
Política em grande escala
Há muitos anos, a megafauna dominava a Terra. Versões gigantes de plantas e animais estavam em todos os continentes e superariam as espécies que temos hoje. Os melhores modelos de políticas incluem fatores de escala que superam as descrições simples de aplicativos individuais. A capacidade de agrupar qualquer rótulo em qualquer dimensão de política permite que políticas únicas afetem sistemas em vários data centers, ambientes ou aplicativos. Ao elaborar políticas para empresas de hiperescala, essas “megapólices” se movem com alcance, velocidade e eficiência surpreendentes para cobrir a empresa com políticas de microssegmentação.
Um modelo de política pode parecer um conceito abstrato e sem importância. Mas, para uma implantação bem-sucedida de microssegmentação, nada poderia estar mais longe da verdade. O modelo de política determina o que será e o que não será possível expressar e quão fácil ou difícil será fazê-lo. Uma empresa pode mudar rapidamente a cor de sua interface de usuário, mas terá dificuldade em corrigir um modelo de política quebrado ou mal projetado. O modelo de política de microssegmentação mais comprovado do mundo fornece uma abstração total dos pontos de endereçamento e fiscalização da rede por meio de um modelo de rótulo “de dimensão útil”. Este modelo é executado de forma consistente em todas as funções do produto. Quando modelos de objetos completos se combinam com modelos declarativos e de herança, é possível declarar com facilidade e rapidez o resultado desejado e fazer com que ele seja verdadeiro no mundo. A microsegmentação é bem-sucedida no escala de centenas de milhares de cargas de trabalho somente por meio de um modelo político maduro, completo e bem projetado.
A seguir, nesta série sobre perguntas sobre microssegmentação que você não sabe fazer, discutiremos o que é necessário para automatizar a política de microssegmentação.