Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Segmentação Zero Trust

O que você precisa para distribuir uma política de confiança zero

Editorial Illumio
,
May 20, 2021
23 leitura mínima

Nesta série, discutimos Descoberta de políticas e Criação de políticas até agora. Depois de implementar uma política, você precisa calculá-la, transformá-la em regras e distribuí-la aos pontos de fiscalização. Afinal, o Confiança zero a política só pode operar nos lugares em que chega! Vamos garantir que possamos instrumentar essa política em tantos lugares e da forma mais eficaz possível.

Automatize a política em regras

A primeira etapa para transformar uma política legível por humanos (baseada em rótulos ou metadados) em uma política de segmentação Zero Trust aplicada é traduzi-la em regras que a infraestrutura possa entender. Já discutimos como é importante que os humanos especifiquem políticas sem usar endereços IP, mas todos os pontos de fiscalização exigem isso! A função de computação de políticas tem um papel fundamental a desempenhar.

Basear a política de segmentação Zero Trust em rótulos significa que a mesma automação que impulsiona as instâncias do aplicativo pode impulsionar a política de segmentação. Sem precisar conhecer os endereços IP ou mesmo o número de serviços de aplicativos semelhantes, a automação de aplicativos pode obter a política correta apenas “declarando seu nome”. Quando a política legível por humanos pode ser automaticamente transformada em regras aplicáveis, a segmentação se torna um serviço, assim como os próprios componentes do aplicativo.

Torne-o dinâmico e contínuo

O cálculo da política deve ser dinâmico e contínuo. Em um data center moderno ou em uma implantação na nuvem, a automação ajusta os aplicativos constantemente. Isso significa que os endereços IP mudam, as instâncias são geradas, funcionam e são removidas. Os controladores de serviços SaaS transferem facilmente a carga para um novo endereço IP em um cluster de tamanho desconhecido. Isso significa que os endereços IP usados em qualquer conjunto de regras devem ser atualizados à medida que a infraestrutura evolui. A computação e a distribuição de políticas devem ser contínuas e quase instantâneas para manter a política definida precisa em todos os pontos de aplicação.

Use os pontos de fiscalização existentes

Uma política de segmentação Zero Trust é tão boa quanto o número de lugares em que opera. Felizmente, você já possui todos os pontos de fiscalização de que precisará! Todo sistema operacional moderno tem um firewall de estado perfeitamente útil incorporado. Isso é IP-Tables ou NetFilter se for uma máquina baseada em Linux ou a Plataforma de Filtragem do Windows se for uma instância baseada em Windows. Existem firewalls semelhantes baseados em sistema operacional para AIX, Solaris e até mesmo para um mainframe IBM System Z! Os switches de rede da Cisco e da Arista usam ACLs, assim como os balanceadores de carga da F5 Networks. Não é exagero dizer que quase todos os dispositivos conectados à rede têm a capacidade de receber instruções de segmentação.

Portanto, qualquer boa solução de microssegmentação deve usar o máximo possível desses pontos de fiscalização. Afinal, por que confiar em um agente do fornecedor para fazer a fiscalização quando o firewall do kernel é um dos códigos mais estáveis e de melhor desempenho disponíveis? Procure uma solução capaz de programar instâncias existentes de rede, rede em nuvem e firewall. Sistemas embarcados e dispositivos de OT não têm um firewall embutido e não precisam de um agente do fornecedor, então você vai querer uma solução que use todos os pontos de fiscalização disponíveis.

Considerações sobre desempenho e escala

O desempenho e a escala devem ser considerados ao avaliar Segmentação Zero Trust soluções. As escolhas arquitetônicas são importantes, assim como acontece com qualquer dispositivo de encaminhamento de hardware, como um switch ou roteador. Calcular uma única política durante uma prova de conceito não é um desafio.

Mas o que acontece se você tiver um datacenter totalmente automatizado em que 40.000 instâncias de computação são removidas e substituídas em um intervalo de 15 minutos em uma onda que varre um complexo global de data centers? De repente, o tempo de cálculo é importante.

A única maneira de manter a política correta em um ambiente de aplicativos automatizado é acompanhar a automação. Mas mesmo após a conclusão do cálculo, a política deve ser distribuída e depois aplicada. Esse evento de convergência não é diferente dos roteadores de hardware que convergem suas tabelas de roteamento.

Quão eficaz é a arquitetura de distribuição de políticas das soluções que você está considerando? Se você tiver metade de uma falha no data center, iniciando uma grande reorientação do tráfego para recuperação de desastres, a distribuição oportuna de atualizações de políticas subitamente se tornará extremamente importante para manter a disponibilidade dos aplicativos.

Os principais fornecedores têm experiência na convergência de políticas completas de Zero Trust em até 500.000 objetos. Certifique-se de que os fornecedores que você está considerando possam comprovar as alegações de failover em vários locais e convergência simultânea de políticas.

Ter uma política definida calculada e depois distribuída coloca a maior carga de desempenho na solução de microssegmentação. Qualquer solução pode funcionar em um ambiente de avaliação simples. Mas somente soluções de escala corporativa têm a capacidade de resistir a eventos de partição de rede, cenários de failover e recuperação de desastres, sem falar nas exigentes reconfigurações de automação de aplicativos.

Para ter uma capacidade eficaz de distribuição de políticas, você deve entender completamente como uma solução de fornecedor automatiza políticas legíveis por humanos em regras. A política deve ser distribuída para o maior número possível de pontos de fiscalização existentes, com firewalls de kernel maduros e estáveis preferidos a qualquer solução proprietária do fornecedor. Quando você implementa o cálculo e a distribuição de políticas contínuos e dinâmicos, a Segmentação Zero Trust se torna um serviço de aplicativo disponível e pode ser totalmente automatizado pela automação de aplicativos existente.

Junte-se a nós na próxima semana em nossa edição final enquanto consideramos o que é necessário para aplicar uma política de segmentação Zero Trust.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

ROI de cibersegurança, infraestrutura crítica Zero Trust e o novo plano de implementação dos EUA
Segmentação Zero Trust

ROI de cibersegurança, infraestrutura crítica Zero Trust e o novo plano de implementação dos EUA

Veja um resumo da cobertura jornalística da Illumio de julho de 2023.

Leia mais
Obtenha 5 insights de Zero Trust de Shawn Kirk, da AWS
Segmentação Zero Trust

Obtenha 5 insights de Zero Trust de Shawn Kirk, da AWS

Saiba como a equipe da AWS de Shawn Kirk aborda as iniciativas de Zero Trust com os clientes da AWS, o modelo de responsabilidade compartilhada e a obtenção do ROI de segurança na nuvem.

Leia mais
Junte-se à Illumio na RSA Conference 2023
Segmentação Zero Trust

Junte-se à Illumio na RSA Conference 2023

Conheça os especialistas em segmentação Zero Trust da Illumio na Conferência da RSA deste ano em São Francisco, de 24 a 27 de abril.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais