Ein tieferer Blick auf die Integration von Illumio mit Palo Alto Networks

Mikrosegmentierung und Firewalls helfen Unternehmen dabei, ihre Angriffsfläche zu reduzieren und das Risiko zu begrenzen Ransomware, Malware und andere Bedrohungen, die sich seitlich ausbreiten oder sich schnell über die Ost-West-Verkehrsströme in Rechenzentren und Cloud-Umgebungen ausbreiten. Aber wie wir wissen, sind die Unternehmen von heute stark verstreut, und Benutzer, Geräte und Workloads nehmen überall zu. Um dem entgegenzuwirken, sollten Unternehmen versuchen, Sicherheit sowohl im Netzwerk als auch bei der Arbeitslast zu implementieren.

Workloads sind kurzlebig und den meisten Workloads werden eine Vielzahl verschiedener IP-Adressen zugewiesen, wenn sie zwischen Netzwerkstrukturen hoch- und heruntergefahren werden oder wenn ihre IP-Adressen aus verschiedenen Gründen von einem Controller geändert werden, der Rechenressourcen dynamisch zuweist. Dies gilt insbesondere für moderne Microservices-Architekturen, die in öffentlichen Cloud-Fabrics gehostet werden, wo Workloads ständig absterben, wiederbelebt werden und sich dynamisch im Netzwerk bewegen. Die Verwendung einer IP-Adresse zur statischen Identifizierung einer Arbeitslast in beliebiger Form gehört der Vergangenheit an. Daher ist es wichtig, den Kontext in Echtzeit abzubilden, um eine effektive Durchsetzung zu gewährleisten Workload-Sicherheit während seines gesamten Lebenszyklus.

Aufgrund ihrer Dynamik ist es für Unternehmen oft schwierig, Mikrosegmentierungsrichtlinien für Workloads überall dort, wo sie ausgeführt werden, abzubilden und durchzusetzen. Während Anwendungs-Workloads hauptsächlich über Ost-West-Verkehrsflüsse miteinander kommunizieren, wird der Datenverkehr, der in das Rechenzentrum oder in die Cloud-Umgebungen ein- und ausgeht, für den Nord-Süd-Verkehr am Perimeter gesichert. Um eine effektive Mikrosegmentierung zu erreichen, müssen Sie Richtlinienaktualisierungen in Echtzeit für Workloads implementieren, unabhängig davon, wo sie sich bewegen: in der gesamten Netzwerkstruktur bis hin zu Next-Generation Firewalls (NGFWs) sowie in der gesamten Host-Infrastruktur, wo sie durch agentenbasierte Lösungen durchgesetzt werden können, die auf Workload-Ebene arbeiten. Die Abbildung von Sicherheitsrichtlinien für dynamische Workloads in Ost-West und Nord-Süd ist komplex und schwer skalierbar zu verwalten. Inkonsistenzen können auftreten, wenn Änderungen der Sicherheitsrichtlinien in Silos zwischen den NGFW- und agentenbasierten Mikrosegmentierungstools verwaltet werden.

Automatisieren Sie dynamische Sicherheit mithilfe von Metadaten

Illumio Core verwendet Metadaten in Form von Labels, um Workloads zu identifizieren, anstatt sich auf die Netzwerkadressierung zu verlassen. Der Administrator kann verschiedenen Workloads unterschiedliche Bezeichnungen zuweisen, und diese Labels können dann zur Definition von Richtlinien verwendet werden. Verwenden Virtueller Durchsetzungsknoten (VEN) Illumio Core, die auf jedem Workload eingesetzt werden, verfolgt hinter den Kulissen die sich ändernden IP-Adressen dieses Workloads. Selbst wenn ein Workload seine IP-Adresse im Laufe seines Lebenszyklus zehnmal ändert, bleibt das Label konsistent. Das Ergebnis ist, dass die Richtlinie unabhängig davon definiert wird, wie das zugrunde liegende Netzwerk konzipiert ist. Die Paketweiterleitung erfolgt immer noch über IP-Lookups, aber das passiert hinter den Kulissen. Labels werden zu dem Konstrukt, das zur Identifizierung verschiedener Workloads verwendet wird. Da Richtlinien mithilfe dieser Labels geschrieben werden, sind das Ergebnis Labels, die eher wie ein menschlicher Satz als eine Liste von IP-Adressen und Ports lauten.

Palo Alto Networks verfolgt eine ähnliche Philosophie in Bezug auf die Verwendung von Metadaten in Form von Tags zur Identifizierung von Workloads innerhalb von dynamischen Adressgruppen (DAG) in Panorama- oder Palo Alto Networks-NGFWs wie der virtuellen Next-Generation-Firewall der PA-7000-Serie, PA-5200-Serie, PA-3200-Serie und VM-Serie. Die Firewall kann eine Adressgruppe erstellen und sie entweder als statisch oder dynamisch definieren. Diese können dann zur Definition von Richtlinien verwendet werden. Das Ergebnis ist eine Firewallregel, die sich eher wie ein menschlicher Satz liest und definiert, wer was mit wem machen kann, wobei die DAG-Namen statt bestimmter IP-Adressen verwendet werden. Eine DAG ist quasi ein „leerer Bucket“, dem keine IP-Adressen zugewiesen sind. Wenn es sich um eine dynamische Adressgruppe handelt, wird dieser leere Bucket mit IP-Adressen von einer externen Entität gefüllt.

Durch den Einsatz von Illumio Core für die agentenbasierte Mikrosegmentierung können Benutzer den Echtzeitkontext ihrer Workloads direkt in DAGs in Panorama oder in den NGFWs von Palo Alto Networks übertragen. Mit dieser Lösung können Benutzer von Palo Alto Networks sicherstellen, dass ihre DAG-basierten Richtlinien mit den neuesten Änderungen der Workload-Richtlinien vollständig auf dem neuesten Stand sind. Da Illumio die sich ändernden IP-Adressen für alle Workloads verfolgt, kann es diese beschrifteten Workload-Zuordnungen an Palo Alto Networks weitergeben. Wenn Illumio Core also zehn Workloads als „App“ -Workloads abbildet und die Palo Alto Networks-Firewall eine DAG, auch „App“ genannt, erstellt hat und diese DAG in einem Richtliniensatz verwendet, wird diese DAG in der Firewall von Illumio aufgefüllt. Wenn einem markierten Workload eine IP-Adresse zugewiesen wird oder wenn er freigegeben oder geändert wird, können all diese Änderungen an die Palo Alto Networks-Firewall weitergegeben werden.

Der eigentliche Vorteil dabei ist, dass Administratoren die Firewall einmal konfigurieren können und sie dann nicht jedes Mal anfassen müssen, wenn sich die IP-Adresse ändert. Die Firewall bleibt unauffällig, auch wenn das Ausmaß der Arbeitslast zunimmt. Wenn eine DAG für „App“ -Workloads 10 IP-Adressen oder 100 IP-Adressen enthält, ist kein Änderungskontrollprozess erforderlich, um die Firewall bei steigendem Bereitstellungsumfang zu modifizieren. Illumio aktualisiert die Firewall einfach nach Bedarf.

Im Rahmen der Integration werden Labels und IPs für Workloads in Illumio Core dynamisch den DAGs von Palo Alto Networks zugeordnet. Das Ergebnis? Benutzer können den manuellen Aufwand für die Verwaltung statischer Änderungen der Sicherheitsrichtlinien für dynamische Workloads vermeiden. Sie können von der Automatisierung profitieren und den menschlichen Faktor eliminieren, der zu Fehlkonfigurationen und menschlichen Fehlern bei der Verwaltung von Sicherheitsupdates für Workloads in Echtzeit führen kann.

Zusammen mit Illumio und Palo Alto Networks müssen Sie bei der Skalierung oder Weiterentwicklung Ihres Netzwerks keine Abstriche bei der Sicherheit machen. Sie profitieren von der automatischen Aktualisierung der DAGs in Panorama und Ihrer NGFWs mit dem Workload-Kontext in Echtzeit. So sparen Sie Zeit, Mühe und Kopfschmerzen, die mit der Orchestrierung effektiver Mikrosegmentierungsrichtlinien für Ihre sich ändernden Anwendungsworkloads verbunden sind.

Der API-Workflow zwischen Illumio und Palo Alto Networks

In Illumio Core werden Workloads die Metadatenbezeichnungen Rolle, Anwendung, Umgebung und Standort zugewiesen, um zusätzlichen Kontext bereitzustellen. Beispielsweise würden Workloads auf Webebene, die Teil einer Bestellapplikation sind, die für die Entwicklung in einem Rechenzentrum in New York bereitgestellt wird, die Rollenbezeichnung Web, Anwendungsbezeichnung Ordering, Environment label Development und Location Label NY_DC zugewiesen.

In Palo Alto Networks Panorama können Richtlinien mithilfe dynamischer Adressgruppen (DAG) erstellt werden, die durch Abgleichen von Kriterien mithilfe von Bezeichnungen definiert werden. Die Änderung (en) der DAG-Mitgliedschaft erfolgt automatisch, sodass kein Änderungsmanagement und keine Genehmigungen erforderlich sind!

Das API-gesteuerte Integrationstool „Illumio-Palo Alto Networks DAG Updater“ registriert und deregistriert Workloads dynamisch während des gesamten Lebenszyklus, einschließlich IP-Adressänderungen (z. B. VM-Migrationen in einem Rechenzentrum oder ENI-Änderungen auf einem Host in der Cloud) und Metadatenänderungen (z. B. ein Workload, der als Quarantäne umbenannt wurde). Da Workloads dynamisch registriert und nicht registriert werden, ändert sich die Mitgliedschaft in der DAG und die richtigen Richtlinien werden automatisch auf Workloads angewendet.

Die Möglichkeit, die DAG-Mitgliedschaft während des gesamten Lebenszyklus eines Workloads automatisch zu aktualisieren, ermöglicht anwendungsorientierte Richtlinien, die sich über mehrere Rechenzentren erstrecken und sich problemlos über mehrstufige Architekturen hinweg skalieren lassen.

Hier ist ein einfaches Beispiel für eine Umgebungssegmentierung zwischen Workloads in Entwicklung und Produktion.

Einrichtung

Workloads werden mit Illumio PCE gekoppelt und ihnen werden Metadaten zugewiesen Rolle, Bewerbung, Umwelt und Standort mit Beschriftungen:

DAG wird anhand von Übereinstimmungskriterien erstellt Entwicklung — alle Entwicklungsarbeitslasten:

Eine DAG wird anhand von Übereinstimmungskriterien erstellt Produktion — alle Produktionsworkloads:

Richtlinie, die mithilfe der DAG erstellt wurde, um den Verkehr zwischen Entwicklung Workloads und Verkehr zwischen Produktion Arbeitslasten:

API-Integration

Das Integrationstool ist Teil des Workloader-Tools von Illumio, das von der Illumio-Supportportal:

Arbeitslader überträgt Labels und IP-Adressen, die mit jedem verwalteten Workload gepaart sind, an die Palo Alto Networks-Firewall, wenn der Tag-Synchronisierung Befehl:

Das Ergebnis wird in der DAG-Mitgliedschaft auf der Palo Alto Networks-Firewall angezeigt und zeigt die IP-Adressen, die von Illumio für die zugehörigen Labels empfangen wurden:

Aktualisierte DAG Development-Mitgliedschaft:

Und das war's! Das Beste an der Integration ist, dass beim Hoch- und Herunterskalieren der Umgebung Workloads dynamisch registriert und deregistriert werden, wodurch automatisch die Mitgliedschaft in der DAG geändert wird, wodurch automatisch Richtlinien zur Umweltsegmentierung ausgelöst werden!

Fantastisch, nicht wahr? Besuch Illumio-Supportportal um das Integrationstool herunterzuladen.

• Lesen Sie unseren Leitfaden auf Illumio + Palo Alto Netzwerke
• Erfahre mehr über NextWave-Technologie von Palo Alto Networks