Die Entwicklung der adaptiven Segmentierung

Ich glaube, dass Innovation von Menschen kommt, die einen unaufhaltsamen Drang haben, die Welt zu verbessern, und die in einem Umfeld mit begrenzten Ressourcen leben. Aus diesem Grund haben Spitzensportler ihre besten Spiele, wenn sie gegen die anspruchsvollsten Gegner spielen. Und „die Nadel einfädeln“ würde nicht viel bedeuten, wenn das Nadelöhr nicht so winzig wäre. Es sind genau diese herausfordernden und eingeschränkten Umgebungen, nach denen Innovatoren suchen, die es in ihren Adern haben, und sie sind der Kessel, von dem aus Innovationen konzipiert werden.

Die Reise von Illumio begann in einem solchen Umfeld (wie es viele erfolgreiche Startups tun).

Für uns begann es in einer Welt, in der Choke-Point-Firewalls nicht in der Lage waren, Schritt zu halten und eine Sicherheitssegmentierung bereitzustellen, die ausreichend dynamisch war, um mit den heutigen Anforderungen moderner Rechenzentren und verteilter Anwendungen Schritt zu halten. Dev Ops, Microservice-Architekturen, Public Cloud und Container sind alles Bestandteile, die die Entwicklung des dynamischen und verteilten Rechenzentrums vorangetrieben haben, aber die traditionellen Sicherheitssegmentierungslösungen belastet und zu Spannungen geführt haben.

Die erste Innovation von Illumio rund um den Adaptive Sicherheitsplattform (ASP) kam, um diese Herausforderungen direkt anzugehen. Es wurden einige wichtige grundlegende Elemente identifiziert, die es uns ermöglichen würden, unsere Lösung zu entwickeln:

1. Erstens waren umfangreiche Telemetriedaten von den Endpunktservern entscheidend, um unserer Policy-Engine genügend Kontext zur Verfügung zu stellen, um Endbenutzern zu helfen, Entscheidungen zu treffen und Datenvisualisierungen zu erstellen.
   
   
2. Zweitens ein metadatengestütztes Richtlinienmodell, das es den Menschen ermöglichte, Richtlinien auf umfassende und abstrakte Weise zu beschreiben und einfache Modelle dafür zu erstellen, wie Anwendungen segmentiert und gesichert werden sollten.
   
   
3. Drittens eine vollständig verteilte Policy-Enforcement Point Fabric, die an die Arbeitslast gebunden werden kann und eine nahtlose Zusammenarbeit über mehrere Infrastrukturtypen, Bare-Metal-, virtualisierte und Cloud-Umgebungen hinweg ermöglicht.

Mit diesen wichtigen Erkenntnissen und Komponenten haben wir den ASP aufgebaut und ihn den Kunden zur Verfügung gestellt.

Die nächste Phase der Reise bestand darin, zu verstehen, dass die adaptive Segmentierung selbst mehr ist als nur dynamisch und flexibel zu sein und sich an die verschiedenen Arten anzupassen, wie Anwendungen bereitgestellt werden. Es ging darum, zu verstehen, dass es sich bei der adaptiven Segmentierung um viele Tools handelt, und sicherzustellen, dass jedes Tool das richtige für eine andere Art von Aufgabe ist. Kunden brauchten:

1. Grobkörnige Segmentierung: Die Fähigkeit, Umgebungen oder Zonen, die in großen, flachen Netzwerken gemischt wurden, logisch zu trennen.
   
   
2. Mikrosegmentierung: Dies reicht von der klassischen Definition der Segmentierung auf Anwendungsebene bis hin zu einer noch feineren Segmentierung auf Anwendungsebene oder einer individuellen Segmentierung der Arbeitslast.
   
   
3. Segmentierung von Sub-Workloads (auch bekannt als Nanosegmentierung): Dies bietet die Möglichkeit, die tatsächlichen Prozesse innerhalb eines Betriebssystems zu steuern und zu segmentieren. Dies erstreckt sich auch auf die Segmentierung von Kubernetes-Pods oder Docker-Containern.
   
   
4. Nutzersegmentierung: Was wir letztes Jahr eingeführt haben. Hier kann ein Benutzer mit all seinen berechtigten Anwendungen logisch segmentiert werden, während die anderen (nicht autorisierten) Anwendungen getarnt werden, um das Risiko für das Unternehmen zu minimieren.

Umfang der adaptiven Segmentierung von Illumio

Was uns klar geworden ist, ist, dass die Flexibilität und Einfachheit des metadatengetriebenen Politikmodells in Verbindung mit der verteilten und dynamischen Architektur der Richtlinie Compute Engine (PCE), das „Gehirn“ der Illumio-Plattform, ist mächtig. Die deklarativen Politikmodelle des PCE und die Intelligenz, um sich an Veränderungen anzupassen — sodass Anwendungen skaliert oder neue Instanzen ohne zusätzlichen Aufwand bereitgestellt werden können — veranlassen die Leute dazu, uns nach dem zu fragen nächste Phase der Reise: koordinierte Kontrollen an mehreren Stellen zur Durchsetzung der Richtlinien.

Die Zukunft der Plattform besteht darin, netzwerk- und cloudbasierte Durchsetzungskontrollen zu umfassen. Um die Einfachheit und Intelligenz, die das PCE bei den hostbasierten Kontrollen mit sich brachte, auf koordinierte und einheitliche Weise in die Netzwerkinfrastruktur von Cisco und Arista sowie von Amazon und Microsoft Azure Security Groups einzubringen.

Das ist der Die Macht einer guten Abstraktion.

Erfahren Sie mehr darüber, wie Illumio die Adaptive Security Platform erweitert: Besuchen Sie Stand N2900 auf der RSA Conference 2017.