.png)
Uma análise mais aprofundada da integração da Illumio com a Palo Alto Networks
A microssegmentação e os firewalls ajudam as empresas a reduzir sua superfície de ataque e limitar a exposição a ransomware, malware e outras ameaças que se movem lateralmente ou rapidamente se propagam pelos fluxos de tráfego Leste-Oeste dentro de ambientes de data center e nuvem. Mas, como sabemos, as empresas de hoje são altamente distribuídas por natureza, com usuários, dispositivos e cargas de trabalho cada vez mais em todos os lugares. Para resolver isso, as empresas devem procurar implementar a segurança tanto na rede quanto na carga de trabalho.
As cargas de trabalho são efêmeras e a maioria das cargas de trabalho recebe uma variedade de endereços IP diferentes à medida que são ativadas e desativadas entre estruturas de rede ou têm seus endereços IP alterados por vários motivos por um controlador que aloca dinamicamente os recursos de computação. Isso é especialmente verdadeiro nas arquiteturas modernas de microsserviços hospedadas em estruturas de nuvem pública, nas quais as cargas de trabalho estão constantemente morrendo, ressuscitando e se movendo dinamicamente pela rede. Usar um endereço IP para identificar estaticamente uma carga de trabalho, em qualquer formato, é uma relíquia do passado. Portanto, é importante mapear o contexto em tempo real para impor uma eficácia segurança da carga de trabalho ao longo de seu ciclo de vida.
Devido à sua natureza dinâmica, muitas vezes é difícil para as organizações mapear e aplicar políticas de microssegmentação às cargas de trabalho em todos os lugares em que são executadas. Embora as cargas de trabalho dos aplicativos se comuniquem entre si principalmente por meio de fluxos de tráfego Leste-Oeste, o tráfego que entra e sai do data center ou dos ambientes de nuvem é protegido em todo o tráfego Norte-Sul no perímetro. Para realizar uma microssegmentação eficaz, você precisa implementar atualizações de políticas em tempo real para as cargas de trabalho onde quer que elas se movam: pela malha de rede até os firewalls de próxima geração (NGFWs), bem como em toda a infraestrutura do host, onde elas podem ser aplicadas por soluções baseadas em agentes que operam no nível da carga de trabalho. O mapeamento de políticas de segurança para cargas de trabalho dinâmicas em Leste-Oeste e Norte-Sul é complexo e difícil de gerenciar em grande escala. Podem ocorrer inconsistências se as mudanças na política de segurança forem gerenciadas em silos entre o NGFW e as ferramentas de microssegmentação baseadas em agentes.
Automatize a segurança dinâmica usando metadados
Núcleo Illumio usa metadados na forma de rótulos para identificar cargas de trabalho, em vez de depender do endereçamento de rede. O administrador pode atribuir rótulos diferentes a cargas de trabalho diferentes, e esses rótulos podem então ser usados para definir a política. Usando Node de fiscalização virtual (VEN) agentes implantados em cada carga de trabalho, o Illumio Core acompanha as mudanças nos endereços IP dessa carga de trabalho nos bastidores. Mesmo que uma carga de trabalho altere seu endereço IP dez vezes ao longo do ciclo de vida, o rótulo permanece consistente. O resultado é que a política é definida independentemente de como a rede subjacente é projetada. O encaminhamento de pacotes ainda é realizado por meio de pesquisas de IP, mas isso acontece nos bastidores. Os rótulos se tornam a construção usada para identificar diferentes cargas de trabalho e, como a política é escrita usando esses rótulos, o resultado são rótulos que parecem mais uma frase humana, em vez de uma lista de IPs e portas.
A Palo Alto Networks tem uma filosofia semelhante em relação ao uso de metadados na forma de tags para identificar cargas de trabalho dentro de grupos de endereços dinâmicos (DAG) s no Panorama ou nos NGFWs da Palo Alto Networks, como as séries PA-7000, PA-5200, PA-3200 e firewall virtual de próxima geração da série VM. O firewall pode criar um grupo de endereços e defini-lo como estático ou dinâmico, e eles podem então ser usados para definir a política. O resultado é uma regra de firewall que também parece mais uma frase humana, definindo quem pode fazer o quê com quem, usando os nomes do DAG em vez de endereços IP específicos. Um DAG é como um “bucket vazio” sem endereços IP atribuídos a ele. Se for um grupo de endereços dinâmico, esse bucket vazio será preenchido com endereços IP de alguma entidade externa.
Ao trazer o Illumio Core para microssegmentação baseada em agentes, os usuários podem obter o contexto em tempo real de suas cargas de trabalho enviadas diretamente para os DAGs no Panorama ou nos NGFWs da Palo Alto Networks. Essa solução ajuda os usuários da Palo Alto Networks a garantir que suas políticas baseadas em DAG estejam totalmente atualizadas com as últimas mudanças na política de carga de trabalho. À medida que a Illumio rastreia as mudanças nos endereços IP de todas as cargas de trabalho, ela pode enviar esses mapeamentos de carga de trabalho rotulados para a Palo Alto Networks. Portanto, se o Illumio Core mapear dez cargas de trabalho como cargas de trabalho de “Aplicativo” e o firewall da Palo Alto Networks tiver criado um DAG também chamado de “Aplicativo” e usar esse DAG em um conjunto de políticas, o firewall terá esse DAG preenchido pelo Illumio. Quando uma carga de trabalho rotulada recebe um endereço IP, ou se ela é liberada ou alterada, todas essas alterações podem ser enviadas para o firewall da Palo Alto Networks.
O verdadeiro benefício aqui é que os administradores podem configurar o firewall uma vez e não precisarão tocá-lo toda vez que houver uma alteração no endereço IP. O firewall permanece silencioso, mesmo que a escala das cargas de trabalho aumente. Se um DAG para cargas de trabalho de “aplicativos” contiver 10 endereços IP ou 100 endereços IP, nenhum processo de controle de alterações será necessário para modificar o firewall à medida que a escala de implantação aumenta. O Illumio simplesmente atualiza o firewall conforme necessário.
Como parte da integração, rótulos e IPs para cargas de trabalho no Illumio Core são mapeados dinamicamente nos DAGs da Palo Alto Networks. O resultado? Os usuários podem eliminar o esforço manual de gerenciar mudanças estáticas na política de segurança para cargas de trabalho dinâmicas. Você pode se beneficiar da automação e eliminar o elemento humano, que pode levar a configurações incorretas e erros humanos ao manter atualizações de segurança da carga de trabalho em tempo real.
Junto com a Illumio e a Palo Alto Networks, você não precisa sacrificar a segurança à medida que sua rede cresce ou evolui. Você se beneficia ao atualizar automaticamente os DAGs no Panorama e em seus NGFWs com o contexto de carga de trabalho em tempo real que pode ajudar a economizar tempo, esforço e a dor de cabeça associada à orquestração de uma política de microssegmentação eficaz para suas cargas de trabalho de aplicativos em constante mudança.
O fluxo de trabalho da API entre Illumio e Palo Alto Networks
No Illumio Core, as cargas de trabalho recebem os rótulos de metadados Role, Application, Environment e Location para fornecer contexto adicional. Por exemplo, cargas de trabalho na camada web que fazem parte de um aplicativo de pedidos implantado para desenvolvimento em um data center de Nova York receberiam o rótulo de função Web, rótulo de aplicativo Pedido, rótulo de ambiente de desenvolvimento e rótulo de localização NY_DC.
No Panorama da Palo Alto Networks, a política pode ser criada usando grupos de endereços dinâmicos (DAG) definidos pela correspondência de critérios usando rótulos. As alterações na associação ao DAG são automáticas, eliminando a necessidade de gerenciamento e aprovações de mudanças!
A ferramenta de integração baseada em API “Illumio-Palo Alto Networks DAG Updater” registra e cancela o registro das cargas de trabalho dinamicamente durante todo o ciclo de vida, incluindo alterações de endereço IP (por exemplo, migrações de VM em um data center ou alterações de ENI em um host na nuvem) e alterações de metadados (por exemplo, uma carga de trabalho renomeada como Quarentena). Como as cargas de trabalho são registradas e não registradas dinamicamente, a associação ao DAG muda e o conjunto correto de políticas é aplicado automaticamente às cargas de trabalho.
A capacidade de atualizar a associação ao DAG automaticamente durante todo o ciclo de vida de uma carga de trabalho permite políticas centradas em aplicativos que podem abranger vários data centers e escalar facilmente em arquiteturas de várias camadas.
Aqui está um exemplo simples de segmentação ambiental entre cargas de trabalho em Desenvolvimento e Produção.
Configuração
As cargas de trabalho são emparelhadas com o Illumio PCE e atribuídas aos metadados Função, Aplicação, Meio ambiente e Localização usando rótulos:
O DAG é criado usando critérios de correspondência Desenvolvimento — todas as cargas de trabalho de desenvolvimento:
Um DAG é criado usando critérios de correspondência Produção — todas as cargas de trabalho de produção:
Política criada usando o DAG para permitir o tráfego entre Desenvolvimento cargas de trabalho e tráfego entre Produção cargas de trabalho:
Integração de API
A ferramenta de integração faz parte da ferramenta Workloader da Illumio, que pode ser baixada do Portal de suporte Illumio:
Carregador de trabalho envia rótulos e endereços IP emparelhados com cada carga de trabalho gerenciada para o firewall da Palo Alto Networks, ao emitir o sincronização de dias comando:
O resultado é mostrado na associação do DAG ao firewall da Palo Alto Networks, mostrando os endereços IP recebidos da Illumio para os rótulos associados:
Membros atualizados do DAG Development:
E é isso! A melhor parte da integração é que, à medida que o ambiente aumenta e diminui, as cargas de trabalho são registradas e não registradas dinamicamente, alterando automaticamente a associação ao DAG, acionando automaticamente as políticas de segmentação ambiental!
Incrível, não é? Visita Portal de suporte Illumio para baixar a ferramenta de integração.
- Leia nosso guia sobre Redes Illumio + Palo Alto
- Saiba mais sobre Tecnologia NextWave da Palo Alto Networks
.webp)
.webp)
%20(1).webp)
.webp)