É um pássaro, é um avião, é... superaglomerado!
As grandes organizações geralmente têm data centers localizados em diferentes regiões geográficas. Os data centers distribuídos permitem que essas organizações localizem seus aplicativos perto de seus clientes e funcionários, cumpram os requisitos de residência de dados e forneçam recuperação de desastres para seus aplicativos comerciais essenciais. A adoção da nuvem pública está tornando ainda mais fácil para organizações de todos os tamanhos distribuir suas cargas de trabalho em várias regiões. Por exemplo, a AWS agora abrange 18 regiões geográficas em todo o mundo.
Estamos entusiasmados com apresentar o PCE Supercluster para fornecer visibilidade total, gerenciamento centralizado e federado e aplicação consistente de políticas de microssegmentação em toda a infraestrutura multirregional — em grande escala. Esta publicação explora os principais requisitos para proteger a infraestrutura multirregional e por que projetamos o PCE Supercluster com uma arquitetura federada.
Requisitos para uma solução de microssegmentação multirregional
Se você tem uma infraestrutura distribuída globalmente, há vários requisitos essenciais para uma solução de microssegmentação. É importante considerar esses requisitos com antecedência, mesmo que sua implantação inicial de microssegmentação esteja limitada a um único local.
- Resiliência: A solução de microssegmentação deve continuar operando e protegendo a infraestrutura em caso de falha no data center ou interrupção da rede entre regiões.
- Escalabilidade: A solução de microssegmentação deve ser dimensionada de acordo com o número de cargas de trabalho em cada data center e o número total de cargas de trabalho em todo o mundo.
- Capacidade de gerenciamento: A solução de microssegmentação deve ser gerenciada pelas equipes globais e regionais de segurança e aplicação.
- Eficiência de largura de banda: A largura de banda de rede entre regiões é cara, portanto, a solução não deve consumir grandes quantidades de largura de banda.
Arquiteturas para uma solução de microssegmentação multirregional
De Illumio Policy Compute Engine (PCE) é um controlador baseado em software responsável por orquestrar a política de microssegmentação em cargas de trabalho e outros pontos de fiscalização na infraestrutura. O PCE também coleta dados de telemetria da infraestrutura, como informações de fluxo de rede e informações sobre os processos em execução nas cargas de trabalho.
Há várias abordagens possíveis para arquitetar o PCE — ou qualquer solução de microssegmentação baseada em software — para proteger cargas de trabalho localizadas em diferentes regiões geográficas.
Aqui está um resumo das várias abordagens de arquitetura e como elas atendem aos requisitos descritos acima.
Arquitetura centralizada — o controlador reside em um único local.
- Resiliência: uma arquitetura centralizada cria um único ponto de falha e fornece resiliência limitada.
- Escalabilidade: uma arquitetura centralizada pode ser escalada vertical e horizontalmente para suportar o número total de cargas de trabalho em todo o mundo.
- Capacidade de gerenciamento: uma arquitetura centralizada facilita que as equipes globais de segurança e aplicativos configurem e apliquem a política de microssegmentação em toda a infraestrutura. O Controle de Acesso Baseado em Funções (RBAC) pode ser usado para fornecer às equipes regionais acesso limitado para visualizar e modificar políticas apenas para os aplicativos em sua região.
- Eficiência de largura de banda: uma arquitetura centralizada usa mais largura de banda porque todos os dados de fluxo de rede e outras telemetrias devem ser enviados de volta ao controlador. A largura de banda aumenta com o número de cargas de trabalho por região e o número de conexões entre essas cargas de trabalho.
Arquitetura distribuída — coloca um controlador em cada data center e os controladores são completamente independentes uns dos outros.
- Resiliência: uma arquitetura distribuída é altamente resiliente. Uma falha em um controlador em uma região não afeta as outras regiões.
- Escalabilidade: uma arquitetura distribuída pode escalar com o número de cargas de trabalho em cada data center e o número total de cargas de trabalho em todo o mundo implantando mais controladores.
- Capacidade de gerenciamento: uma arquitetura distribuída permite que equipes regionais criem políticas locais, mas essa arquitetura cria desafios para aplicar políticas globais, pois elas devem ser replicadas manualmente em cada região. Além disso, não há como visualizar todos os aplicativos em um só lugar e ver as dependências entre regiões.
- Eficiência de largura de banda: uma arquitetura distribuída é mais eficiente em termos de largura de banda, pois todos os dados permanecem locais na região.
Arquitetura federada — coloca um controlador em cada data center e os controladores se comunicam entre si para compartilhar informações sobre a política de segurança da organização e as cargas de trabalho que estão sendo protegidas.
- Resiliência: uma arquitetura federada é altamente resiliente. A falha em um controlador em uma região não afeta as outras regiões.
- Escalabilidade: uma arquitetura federada pode escalar com o número de cargas de trabalho em cada data center e o número total de cargas de trabalho em todo o mundo implantando mais controladores.
- Capacidade de gerenciamento: uma arquitetura federada facilita que as equipes globais de segurança e aplicativos configurem e apliquem a política de microssegmentação em toda a infraestrutura. O RBAC pode ser usado para fornecer às equipes regionais acesso limitado para visualizar e modificar políticas apenas para os aplicativos em sua região.
- Eficiência de largura de banda: uma arquitetura federada é mais eficiente em termos de largura de banda, desde que somente uma quantidade mínima de informações seja compartilhada entre os controladores para que o sistema funcione.
A tabela a seguir resume as três arquiteturas para microssegmentar a infraestrutura multirregional:
Centralizado Distribuído Federado Resiliência -++ Escalabilidade +++ Capacidade de gerenciamento +-+ Eficiência de largura de banda -++
Apresentando o PCE Supercluster: microssegmentação multirregional feita da maneira certa
Dadas as vantagens claras, o PCE Supercluster foi projetado com uma arquitetura federada. Em um supercluster, a política de segurança global é gerenciada por um líder designado PCE. Os recursos robustos de RBAC da Illumio são suportados pelo Supercluster, permitindo que equipes globais e regionais acessem o PCE líder com o mínimo de privilégios. Em seguida, a política é automaticamente replicada para os outros PCEs que traduzem as políticas baseadas em rótulos em instruções usadas para programar firewalls de hospedagem em cargas de trabalho e outros pontos de aplicação na infraestrutura. Esse design garante que a política global seja aplicada continuamente, mesmo que uma região fique isolada do resto do Supercluster.
A Illumio reconheceu desde o início que a visibilidade é fundamental para a microssegmentação porque você não pode proteger o que não pode ver. O Supercluster fornece um mapa completo de dependência de aplicativos em tempo real (Iluminação) sobre o líder para visualizar as dependências de aplicativos e a cobertura de políticas intra e inter-regionais. A visibilidade em tempo real dos sistemas de alto valor e das conexões e fluxos autorizados entre esses aplicativos é uma primeira etapa crítica para projetar os microperímetros da organização e criar políticas de microssegmentação que não interrompam os aplicativos.
O Supercluster adiciona um nível de escala para apoiar as maiores organizações do mundo.
Um único PCE já pode ser implantado como um cluster de vários nós para suportar dezenas de milhares de cargas de trabalho. Ao permitir que vários PCEs sejam unidos, o Supercluster adiciona outro nível de escala para apoiar as maiores organizações do mundo.
Gastamos uma boa quantidade de energia projetando o Supercluster para minimizar o consumo de largura de banda entre os PCEs. Somente a quantidade mínima de dados de carga de trabalho necessária para computar a política é replicada entre as regiões. Além disso, os dados de fluxo de rede são pré-processados na região por cada PCE e somente as informações mínimas necessárias para desenhar o mapa de dependência do aplicativo ao vivo são replicadas em toda a rede.
Com o PCE Supercluster, as organizações podem:
- Obtenha visibilidade em tempo real de seu ambiente de data center distribuído globalmente.
- Projete microperímetros com confiança e crie políticas de microssegmentação que suportem o tráfego inter-regional e imponham a microssegmentação em escala significativa, sem interromper os aplicativos.
- Alcance seus objetivos de microssegmentação e, ao mesmo tempo, obtenha eficiência na largura de banda da rede e ofereça suporte à recuperação de desastres e à alta disponibilidade.