Es ist ein Vogel, es ist ein Flugzeug, es ist... Supercluster!
Große Unternehmen verfügen häufig über Rechenzentren in verschiedenen geografischen Regionen. Verteilte Rechenzentren ermöglichen es diesen Unternehmen, ihre Anwendungen in der Nähe ihrer Kunden und Mitarbeiter zu platzieren, die Anforderungen an den Speicherort der Daten zu erfüllen und die Notfallwiederherstellung für ihre kritischen Geschäftsanwendungen bereitzustellen. Die Einführung der Public Cloud macht es für Unternehmen aller Größen noch einfacher, ihre Workloads auf mehrere Regionen zu verteilen. Zum Beispiel erstreckt sich AWS jetzt über 18 geografische Regionen auf der ganzen Welt.
Wir freuen uns auf stellen Sie PCE Supercluster vor um vollständige Transparenz, zentralisiertes und föderiertes Management und die konsistente Durchsetzung von Mikrosegmentierungsrichtlinien in der gesamten Infrastruktur mit mehreren Regionen zu gewährleisten — und das in sehr großem Maßstab. In diesem Beitrag werden die wichtigsten Anforderungen für die Sicherung einer Infrastruktur mit mehreren Regionen untersucht und erklärt, warum wir PCE Supercluster mit einer föderierten Architektur entwickelt haben.
Anforderungen an eine multiregionale Mikrosegmentierungslösung
Wenn Sie über eine global verteilte Infrastruktur verfügen, gibt es mehrere wichtige Anforderungen an eine Mikrosegmentierungslösung. Es ist wichtig, diese Anforderungen im Voraus zu berücksichtigen, auch wenn Ihre anfängliche Mikrosegmentierungsbereitstellung auf einen einzigen Standort beschränkt ist.
- Resilienz: Die Mikrosegmentierungslösung muss weiterhin funktionieren und die Infrastruktur im Falle eines Rechenzentrumsausfalls oder eines Netzwerkausfalls zwischen Regionen sichern.
- Skalierbarkeit: Die Mikrosegmentierungslösung muss mit der Anzahl der Workloads in jedem Rechenzentrum und der Gesamtzahl der Workloads weltweit skalieren.
- Verwaltbarkeit: Die Mikrosegmentierungslösung muss sowohl von globalen als auch von regionalen Sicherheits- und Anwendungsteams verwaltet werden können.
- Bandbreiteneffizienz: Die Netzwerkbandbreite zwischen Regionen ist teuer, daher darf die Lösung keine großen Mengen an Bandbreite verbrauchen.
Architekturen für eine multiregionale Mikrosegmentierungslösung
Illumios Richtlinie Compute Engine (PCE) ist ein softwarebasierter Controller, der für die Orchestrierung von Mikrosegmentierungsrichtlinien für Workloads und andere Durchsetzungspunkte in der Infrastruktur verantwortlich ist. Das PCE erfasst auch Telemetriedaten aus der Infrastruktur, z. B. Informationen zum Netzwerkfluss und Informationen über die Prozesse, die auf den Workloads ausgeführt werden.
Es gibt mehrere mögliche Ansätze, um das PCE — oder eine andere softwarebasierte Mikrosegmentierungslösung — so zu gestalten, dass Workloads in verschiedenen geografischen Regionen gesichert werden.
Im Folgenden finden Sie eine Aufschlüsselung der verschiedenen Architekturansätze und wie sie den oben beschriebenen Anforderungen entsprechen.
Zentralisierte Architektur — Der Controller befindet sich an einem einzigen Ort.
- Resilienz: Eine zentralisierte Architektur schafft eine einzige Ausfallstelle und bietet eine begrenzte Ausfallsicherheit.
- Skalierbarkeit: Eine zentralisierte Architektur kann sowohl vertikal als auch horizontal skaliert werden, um die Gesamtzahl der Workloads weltweit zu unterstützen.
- Verwaltbarkeit: Eine zentralisierte Architektur erleichtert es globalen Sicherheits- und Anwendungsteams, Mikrosegmentierungsrichtlinien für die gesamte Infrastruktur zu konfigurieren und anzuwenden. Die rollenbasierte Zugriffskontrolle (RBAC) kann verwendet werden, um regionalen Teams eingeschränkten Zugriff zu gewähren, um Richtlinien nur für die Anwendungen in ihrer Region einzusehen und zu ändern.
- Bandbreiteneffizienz: Eine zentralisierte Architektur verbraucht mehr Bandbreite, da alle Netzwerkflussdaten und andere Telemetriedaten an den Controller zurückgesendet werden müssen. Die Bandbreite steigt mit der Anzahl der Workloads pro Region und der Anzahl der Verbindungen zwischen diesen Workloads.
Verteilte Architektur — platziert einen Controller in jedem Rechenzentrum und die Controller sind völlig unabhängig voneinander.
- Resilienz: Eine verteilte Architektur ist äußerst widerstandsfähig. Ein Ausfall eines Controllers in einer Region hat keine Auswirkungen auf die anderen Regionen.
- Skalierbarkeit: Eine verteilte Architektur kann mit der Anzahl der Workloads in jedem Rechenzentrum und der Gesamtzahl der Workloads weltweit skaliert werden, indem mehr Controller eingesetzt werden.
- Verwaltbarkeit: Eine verteilte Architektur ermöglicht es regionalen Teams, lokale Richtlinien zu erstellen, aber diese Architektur stellt die Durchsetzung globaler Richtlinien vor Herausforderungen, da diese manuell in jeder Region repliziert werden müssen. Darüber hinaus gibt es keine Möglichkeit, alle Anwendungen an einem Ort zu visualisieren und regionsübergreifende Abhängigkeiten zu erkennen.
- Bandbreiteneffizienz: Eine verteilte Architektur ist bandbreiteneffizienter, da alle Daten lokal in der Region bleiben.
Föderierte Architektur — platziert einen Controller in jedem Rechenzentrum und die Controller kommunizieren miteinander, um Informationen über die Sicherheitsrichtlinien des Unternehmens und die zu sichernden Workloads auszutauschen.
- Resilienz: Eine föderierte Architektur ist äußerst widerstandsfähig. Der Ausfall eines Controllers in einer Region hat keine Auswirkungen auf die anderen Regionen.
- Skalierbarkeit: Eine Verbundarchitektur kann mit der Anzahl der Workloads in jedem Rechenzentrum und der Gesamtzahl der Workloads weltweit skaliert werden, indem mehr Controller eingesetzt werden.
- Verwaltbarkeit: Eine föderierte Architektur erleichtert es globalen Sicherheits- und Anwendungsteams, Mikrosegmentierungsrichtlinien für die gesamte Infrastruktur zu konfigurieren und anzuwenden. RBAC kann verwendet werden, um regionalen Teams eingeschränkten Zugriff zu gewähren, um Richtlinien nur für die Anwendungen in ihrer Region einzusehen und zu ändern.
- Bandbreiteneffizienz: Eine föderierte Architektur ist bandbreiteneffizienter, sofern nur die minimale Menge an Informationen zwischen den Controllern ausgetauscht wird, damit das System funktioniert.
In der folgenden Tabelle sind die drei Architekturen für die Mikrosegmentierung von Infrastrukturen mit mehreren Regionen zusammengefasst:
ZentralisiertVerteilt Föderiert Resilienz -++ Skalierbarkeit +++ Verwaltbarkeit +-+ Bandbreiteneffizienz -++
Wir stellen vor: PCE Supercluster: Mikrosegmentierung in mehreren Regionen richtig gemacht
Angesichts der klaren Vorteile wurde PCE Supercluster mit einer föderierten Architektur entworfen. In einem Supercluster werden die globalen Sicherheitsrichtlinien von einem designierten Leader PCE aus verwaltet. Die robusten RBAC-Funktionen von Illumio werden auf Supercluster unterstützt, sodass globale und regionale Teams nach dem Prinzip der geringsten Privilegien auf das führende PCE zugreifen können. Die Richtlinie wird dann automatisch auf die anderen PCs repliziert, die die auf Bezeichnungen basierenden Richtlinien in Anweisungen zur Programmierung von Host-Firewalls auf Workloads und anderen Durchsetzungspunkten in der Infrastruktur umsetzen. Dieses Design stellt sicher, dass die globale Richtlinie kontinuierlich durchgesetzt wird, selbst wenn eine Region vom Rest des Superclusters isoliert wird.
Illumio hat früh erkannt, dass Sichtbarkeit der Schlüssel zur Mikrosegmentierung ist, weil man nicht schützen kann, was man nicht sieht. Supercluster bietet eine vollständige Live-Übersicht der Anwendungsabhängigkeiten (Beleuchtung) auf dem Leader, um die Anwendungsabhängigkeiten und den Geltungsbereich der Richtlinien innerhalb und zwischen Regionen zu visualisieren. Ein Einblick in die hochwertigen Systeme und die autorisierten Verbindungen und Datenflüsse zwischen diesen Anwendungen ist ein wichtiger erster Schritt bei der Planung der Mikroperimeter des Unternehmens und der Erstellung von Mikrosegmentierungsrichtlinien, die Anwendungen nicht beeinträchtigen.
Supercluster bietet eine Skalenebene, um die größten Organisationen der Welt zu unterstützen.
Ein einzelner PCE kann bereits als Cluster mit mehreren Knoten bereitgestellt werden, um Zehntausende von Workloads zu unterstützen. Supercluster ermöglicht die Zusammenführung mehrerer PCEs und bietet so eine weitere Skalierungsebene, um die größten Organisationen der Welt zu unterstützen.
Wir haben viel Energie in die Entwicklung von Supercluster gesteckt, um den Bandbreitenverbrauch zwischen PCs zu minimieren. Nur die Mindestmenge an Workload-Daten, die für die Berechnung der Richtlinien erforderlich ist, wird zwischen den Regionen repliziert. Darüber hinaus werden die Netzwerkflussdaten von jedem PCE regional vorverarbeitet, und nur die Mindestinformationen, die für die Erstellung der Live-Abbildung der Anwendungsabhängigkeiten erforderlich sind, werden im gesamten Netzwerk repliziert.
Mit PCE Supercluster können Unternehmen:
- Verschaffen Sie sich in Echtzeit einen Überblick über ihre global verteilte Rechenzentrumsumgebung.
- Konzipieren Sie Mikroperimeter mit Zuversicht und erstellen Sie Mikrosegmentierungsrichtlinien, die den interregionalen Verkehr unterstützen und die Mikrosegmentierung in erheblichem Umfang durchsetzen — ohne Anwendungen zu beeinträchtigen.
- Erreichen Sie ihre Mikrosegmentierungsziele und erzielen Sie gleichzeitig die Effizienz der Netzwerkbandbreite und unterstützen Sie Disaster Recovery und Hochverfügbarkeit.