.png)
Vereinfachen Sie SDN- und Firewall-Bereitstellungen mit hostbasierter Mikrosegmentierung
Softwaredefiniertes Netzwerk (SDN) und Segmentierung werden oft gleichzeitig besprochen, da beide der Automatisierung Priorität einräumen. SDN automatisiert viele Netzwerkaufgaben, und da die meisten modernen Sicherheitslücken automatisiert sind, sollten Segmentierungstools einem ähnlichen Beispiel folgen. Darüber hinaus wurden Vertrauensgrenzen traditionell so verstanden, dass sie sich in der Netzwerkebene jeder Cloud-Architektur befinden. Da SDN-Controller die zentrale Verwaltung und Orchestrierung großer Netzwerkarchitekturen ermöglichen, ist es sinnvoll, diese Controller zur besseren Orchestrierung mit einer Segmentierung zu versehen.
Allerdings sollten Sie bedenken, dass das „N“ in SDN für Networking steht. Daher wird jede Segmentierung, die von einem SDN-Controller bereitgestellt wird, implementiert, um sich auf Netzwerkprobleme und nicht auf Host-Herausforderungen zu konzentrieren. SDN-Controller betrachten Hosts auf herkömmliche Weise als Knoten, die mit der Netzwerkstruktur verbunden sind. Anwendungen, die auf diesen Hosts ausgeführt werden, werden mit hostorientierten Tools verwaltet, nicht mit netzwerkzentrierten Tools. Netzwerktools verwalten selten Aufgaben, die für jeden einzelnen Host oder jede einzelne Anwendung spezifisch sind. Controller erstellen Netzwerksegmente, um Entscheidungen zur Weiterleitung des Datenverkehrs in der Netzwerkstruktur durchzusetzen. Diese Entscheidungen werden auf der Grundlage der Metriken getroffen, die für Router und Switches am relevantesten sind, einschließlich Netzwerklast, Latenz, Verbindungsausfällen und Kosten für dynamische Routing-Protokolle. Diese Metriken sind selten relevant für hostspezifische Segmentierungsanforderungen.
Netzwerksegmentierung und hostbasierte Mikrosegmentierung
Bei der Definition von Vertrauensgrenzen führt die Entscheidung, wo relevante Segmente erstellt werden sollen, zu zwei parallelen Konversationen: eine zwischen dem Team, das die Host-Workloads verwaltet, und eine zwischen dem Team, das das Netzwerk verwaltet. Beide Teams werden den gleichen Begriff verwenden — „Segmentierung“ oder „Mikrosegmentierung“ —, aber sie werden unterschiedliche Bedeutungen haben. Wenn die beiden Teams ihre eigenen Tools verwenden, um jeden Segmenttyp bereitzustellen und zu verwalten, anstatt zusammenzuarbeiten, wird das Ergebnis ein isolierter Ansatz sein, der mit zunehmendem Umfang der Architektur zu betrieblichen Grenzen führt.
Beispielsweise hat Ihr Netzwerkteam möglicherweise Cisco ACI als SDN-Lösung für Rechenzentren eingesetzt. ACI verwendet seine eigenen Mechanismen, um Segmente wie Bridge-Domänen und Endpunktgruppen (EPGs) zu erstellen. Workloads werden innerhalb von EPGs bereitgestellt und können in kleinere „Mikro-EPGs“ aufgeteilt werden, um detailliertere Netzwerksegmente zu erstellen.
Dies sind jedoch immer noch netzwerkzentrierte Segmentierungskonzepte. Wenn Sie beispielsweise zehn Hosts in Ihrem Rechenzentrum haben, können Sie einfach zehn EPG-Segmente in Cisco ACI erstellen, um auf jedem Host eine Vertrauensgrenze durchzusetzen. Wenn Sie jedoch 100 oder 1.000 Workloads haben, ist es betrieblich unrealistisch, 100 oder 1.000 EPG-Segmente für jeden Host zu erstellen. Wenn Sie den SDN-Controller verwenden, um eine gleiche Anzahl von Netzwerksegmenten und Hosts zu erstellen, lässt sich das einfach nicht skalieren.
SDN-Lösungen werden ihre eigenen Segmente erstellen, um sie zu adressieren Netzwerksegmentierung Prioritäten, aber um einzelne Hosts zu segmentieren, sollten Sie einen hostbasierten Ansatz in Betracht ziehen.
SDN- und Overlay-Netzwerke
Einer der Vorteile von SDN ist die Tatsache, dass Netzwerktopologien nicht mehr von der physischen Topologie von Routern und Switches abhängig sind. Tunnelprotokolle wie VXLAN oder GENEVE werden zur Virtualisierung des Netzwerks verwendet. Da das Netzwerk jetzt auf die gleiche Weise virtualisiert werden kann wie die Rechen- und Speicherressourcen des Rechenzentrums, werden diese Tunnelmethoden verwendet, um Netzwerkpfade und Links programmgesteuert zu definieren, sodass der Controller Netzwerktopologien nach Bedarf schnell neu konfigurieren kann, ohne dass Änderungen an der physischen Infrastruktur erforderlich sind. Auf diese Weise kann die Netzwerkstruktur in einem lokalen Rechenzentrum virtualisiert werden, ähnlich wie Netzwerke in öffentlichen Cloud-Netzwerkstrukturen virtualisiert werden.
Da Overlay-Netzwerke wie VXLAN über eine große Anzahl eindeutiger IDs verfügen — über 16 Millionen — ist es verlockend, diese IDs zur Erstellung von Mikrosegmentierungsarchitekturen verwenden zu wollen, die es dem SDN-Controller ermöglichen, jedem Host im Netzwerk Segmente zuzuweisen. SDN-Controller beenden VXLAN-Segmente jedoch nicht auf einzelnen Hosts. All diese eindeutigen IDs werden von SDN-Controllern verwendet, um Netzwerkprobleme zu lösen, z. B. beim Einkapseln von Layer-2-Paketen in Layer-3-Frames. Um die Mikrosegmentierung auf jedem Host zu ermöglichen, muss der verwendete Mechanismus auf dem Host selbst aktiviert werden und nicht von einem externen SDN-Controller, der im Netzwerk eingesetzt wird und sich auf Netzwerkaufgaben konzentriert.
Wie können Tools auf Host-Ebene SDN helfen?
Eine Herausforderung für die meisten SDN-Lösungen ist der Einblick in die Anwendungsabläufe. Die Fähigkeit, das Anwendungsverhalten aus der Anwendungsperspektive zu bestimmen, ist eine Herausforderung für Netzwerktools. SDN-Controller haben einen umfassenden Einblick in Netzwerktopologien, Netzwerksegmente, IP-Adressen und Verkehrsmetriken, aber es ist oft nicht einfach, sich mit SDN-Controllern ein klares Bild vom Verhalten und den erforderlichen Netzwerkressourcen zwischen Ihren SQL-Servern und Ihren Webservern zu machen. Für den Entwurf einer skalierbaren Cloud-Architektur ist es notwendig, die dynamischen Anforderungen zwischen Anwendungen in einem Netzwerk zu kennen.
Wenn Sie hostbasierte Lösungen wie Illumio in einem Rechenzentrum bereitstellen, das eine SDN-Architektur verwendet, sollten Sie nach Mapping-Funktionen suchen, wie unseren Abbildung der Anwendungsabhängigkeiten, um beim Entwurf von Netzwerkressourcen zu helfen, die hostspezifischen Anforderungen erfüllen. Illumio kann mit jeder SDN-Lösung kombiniert werden, und obwohl die Anwendungsabhängigkeitskarte zur Definition hostspezifischer Segmente verwendet wird, ermöglicht dieselbe Abbildung ein klares Bild der Anwendungsanforderungen, wenn das Netzwerk vom SDN-Controller bereitgestellt und verwaltet wird.
Hostbasierte Mikrosegmentierung und Segmentierung auf Netzwerkebene können und sollten nebeneinander existieren, da sie jeweils eine andere Anforderung erfüllen. Durch die Implementierung eines hostbasierten Ansatzes erhalten Sie die Transparenzfunktionen auf Anwendungsebene, mit denen SDN-Lösungen Netzwerkressourcen in jeder Cloud-Architektur garantieren können.
Weitere Informationen zum Ansatz von Illumio zur hostbasierten Mikrosegmentierung finden Sie unter https://www.illumio.com/solutions/micro-segmentation
