Sicherheit im Rechenzentrum — Die große Kluft
Da Rechenzentren immer komplexer und dynamischer werden, sehen sich Unternehmen mit einem Strudel von Sicherheitsrisiken konfrontiert. Wir können dem Konzept, dass eine magische Grenze unsere Rechenzentren schützen wird, nicht länger vertrauen.
Vor etwa neun Jahren arbeitete ich als angesehener Ingenieur für Juniper, einen der führenden Netzwerksicherheit Unternehmen auf der Welt. Je länger ich dort gearbeitet habe, desto mehr bröckelten die Netzwerkperimeter meiner Kunden langsam. Infrastructure-as-a-Service- und Cloud-Alternativen machten es unmöglich, herkömmliche Sicherheitsdienste mit Engstellen zu implementieren. Aber erst als ich gegangen bin, konnte ich die Kluft zwischen der alten und der neuen Welt, in der der Wandel konstant ist, vollständig überwinden.
Das adaptive Sicherheitssystem von Illumio ebnet den Weg vom statischen Sicherheitsmodell der Vergangenheit zum zunehmend dynamischen Rechenzentrum von heute.
In dieser neuen Welt beschleunigt die Virtualisierung von Rechenzentren die Inbetriebnahme von Rechen-, Speicher- und Netzwerkdiensten. Self-Service-IT und die DevOps-Kultur der kontinuierlichen Bereitstellung erhöhen das Tempo weiter. Doch bei all diesen Fortschritten wurde das Thema Sicherheit vernachlässigt, was den Fortschritt oft verzögerte. Die Mitarbeiter von SecOps sind nun in die nicht beneidenswerte Lage gezwungen, Nein zu Cloud-Architekturen sagen zu müssen, während alle anderen Ja sagen.
Illumio wurde aus diesem Chaos geboren.
Es geht uns nicht darum, das Netzwerk oder die Infrastruktur besser (oder virtuell) zu machen — wir sind grundlegend von diesen Einschränkungen entkoppelt. Das adaptive Sicherheitssystem von Illumio ebnet den Weg vom statischen Sicherheitsmodell der Vergangenheit zum zunehmend dynamischen Rechenzentrum von heute. Hier fängt es an, aufregend zu werden.
Drei Wahrheiten und die große Kluft
1. Wir leben in einer Welt des ständigen Wandels. Wir müssen uns dem mit all seinen Herausforderungen und Vorteilen stellen.
Rechenzentren waren in der Vergangenheit stark an ihre physische Umgebung gebunden. Die Anwendungen liefen direkt auf blankem Metall, mit direkt angeschlossenem Speicher und physischen Kabeln, die diese Maschinen miteinander verband. Diese Welt war statisch.
Heute müssen unsere Rechenzentren mit unzähligen Veränderungen Schritt halten. Aufgrund der kontinuierlichen Anwendungsbereitstellung werden neue Versionen schneller als je zuvor bereitgestellt. Durch die Servervirtualisierung können Workloads einfacher und häufiger verschoben und dynamisch skaliert werden. Mit Infrastructure as a Service kann fast jeder Server und Anwendungen bereitstellen und bereitstellen.
Durch ein Sicherheitssystem, das sich an unsere Entscheidungen anpasst, sind wir produktiver, können Dinge überall platzieren und sind von zentraler Kontrolle und starren Organisationen befreit.
Traditionell waren wir in Bezug auf die Zuverlässigkeit der Infrastruktur abhängig, aber da wir immer größere und komplexere Rechenzentren bauen, können Infrastrukturausfälle nicht vermieden werden. Aus diesem Grund hat Google vor langer Zeit die Philosophie vertreten, dass neue Softwarearchitekturen entwickelt werden müssen, um zuverlässige Anwendungen auf einer grundlegend unzuverlässigen Infrastruktur ausführen zu können.
Das Rechenzentrum wurde zwar all diesen Änderungen unterzogen, aber die Sicherheit wurde an statische Modelle und Choke-Point-Modelle gebunden. Und es hält uns zurück. Wir nutzen nicht den vollen Nutzen unserer Technologieinvestitionen in das dynamische Rechenzentrum.
Wir wussten, dass die Sicherheitsarchitektur von Illumio Veränderungen akzeptieren und ermöglichen musste.
Durch ein Sicherheitssystem, das sich an unsere Entscheidungen anpasst, sind wir produktiver, können Dinge überall platzieren und sind von zentraler Kontrolle und starren Organisationen befreit. Wir können einfacher skalieren.
Um dies zu erreichen, wussten wir, dass unser System entkoppelt aus dem Netzwerk und der Infrastruktur. Durch die Entkopplung können wir eine Sicherheitslösung bereitstellen, die bei allen Arten von Änderungen in der Rechenzentrumsumgebung jederzeit konsistent funktioniert.
Wir wussten auch, dass das System vollständig sein muss verteilt. Herkömmliche Netzwerksicherheitssysteme leiten den Datenverkehr oft zu einer zentralen Engstelle, die wenig bis gar keinen Kontext hat. Aufgrund umfangreicher Anforderungen kann oft nur ein Teil Ihrer Workloads tatsächlich verarbeitet und gesichert werden. Dieser Brute-Force-Mechanismus führt auch zu blinden Flecken, Fehlalarmen und einer größeren Angriffsfläche.
Um diesen Einschränkungen zu begegnen und eine ausreichende Abdeckung mit ausreichender Flexibilität zu gewährleisten, haben wir Sicherheitsvorkehrungen an Orten getroffen, die traditionell schwierig waren. Wir können jetzt Orte durchschauen, die zuvor verborgen waren. Das ist fast so, als hätte man in jedem Zimmer eines Hotels eine Matrix von Leibwächtern und nicht nur die Sicherheitskontrolle an der Eingangstür — es ist ein Kollektiv, das alle unter einer Reihe von Richtlinien zusammenarbeitet.
2. Automatisierung ist nicht genug. Intelligente Systeme bringen uns voran.
Automatisierung maskiert nur Komplexität. Die IT hat viele Systeme, die interagieren, und die meisten von uns verbringen viel Energie damit, alles zum Laufen zu bringen. Wir fügen Automatisierungs- und Abstraktionsebenen hinzu, um Probleme zu verbergen oder zu bewältigen. Diese Ebenen stapeln sich übereinander und bilden ein schwaches Fundament, das Wachstum nicht unterstützen kann.
Das alte Modell einfach in der neuen Welt zu virtualisieren, würde nicht ausreichen. Der Weg in die Zukunft musste völlig anders sein. Es musste intelligent genug sein, um sich an diese völlig andere Welt anzupassen, in der Geschwindigkeit und Reaktionsfähigkeit an erster Stelle stehen.
Damit ein intelligentes System effektive Maßnahmen ergreifen kann, braucht es gute Daten als Grundlage. Es braucht ein umfassendes Verständnis der Welt, in der es tätig ist. Es braucht Kontext.
Viele Formen des Kontextes sind erforderlich, und sie müssen kombiniert werden, um ein vollständiges Bild zu vermitteln. Unser System erfasst den Kontext über den Workload selbst, die Beziehungen und die Kommunikation zwischen den Workloads und die Umgebung, in der der Workload ausgeführt wird.
Als Nächstes wussten wir, dass die Lösung ein System erforderte, das dynamisch und responsiv.
Wir haben ein Sprach- und Richtlinienmodell entwickelt, das auf die Arbeitsweise von Benutzern und Rechenzentren abgestimmt ist: ein einfaches, aber leistungsstarkes, deklaratives, labelbasiertes System. Dabei handelt es sich nicht um eine zusätzliche Ebene des Modells der alten Welt, sondern um einen brandneuen Ansatz.
Das Illumio-System speist kontinuierlich Kontext- und Beziehungsdaten in das deklarative Richtlinienmodell ein und berechnet das Diagramm neu, um eine konsistente Sicherheitsrichtlinie zu gewährleisten. Wir entlasten den Benutzer von der Implementierung jeder Änderung... denn in einer so dynamischen Welt wäre es absurd zu erwarten, dass eine Person bei jeder Änderung alle Abhängigkeiten und Beziehungen versteht und neu abbildet. Bei Illumio spezifizieren die Mitarbeiter die Richtlinie und unsere Sicherheitsplattform implementiert sie.
3. Die Welt ist hybrid. Die Sicherheit muss überall arbeiten.
Da Software und Dinge, die „as-a-Service“ sind, immer wichtiger werden, verbinden APIs unzählige verschiedene Umgebungen miteinander und stellen eine Vielzahl von Sicherheitsherausforderungen dar.
Wir alle wissen, dass Systeme, die an eine Plattform gebunden sind oder in einem einzigen Ökosystem arbeiten, in dieser heterogenen und hybriden Welt nicht erfolgreich sind. Wir brauchen die Freiheit, die richtigen Tools und Systeme zu wählen. Und wir brauchen, dass diese reibungslos und auf Abruf funktionieren, ohne dass sich Sorgen um Divergenzen, Inkonsistenzen und Fehler einschleichen müssen.
Das heutige Sicherheitssystem muss mit uns arbeiten, nicht gegen uns. Es sollte dahin gehen, wo wir hin wollen, und das tun, was wir brauchen.
Wir haben unser System so konzipiert, dass es auf jeder Computerplattform funktioniert, einschließlich Bare-Metal-Servern und virtuellen Maschinen. Das System funktioniert auch in jeder Umgebung, einschließlich Unternehmensrechenzentren, Amazon Web Services, Google Compute Engine, Microsoft Azure und OpenStack.
Das beste Tool für diese Reise ist ein intelligentes System, das ein einheitliches Erlebnis bietet und das Beste aus den Fortschritten im Rechenzentrum herausholt.
Eine Reise durch die große Kluft
Diese drei grundlegenden Wahrheiten sind in allem, was wir bei Illumio tun, verwoben. Wir haben die große Kluft überwunden, und die Vorteile sind enorm. Das beste Tool für diese Reise ist ein intelligentes System, das ein einheitliches Erlebnis bietet und das Beste aus den Fortschritten im Rechenzentrum herausholt.
Das Team hier bei Illumio ist sehr stolz auf das, was wir heute auf den Markt bringen, und ich freue mich darauf, weitere Informationen zu teilen, während wir weiterhin Lösungen für die neue Welt liefern.