5 razones por las que a su equipo de firewall le encantará la microsegmentación

Nunca olvidaré un incidente que ocurrió al principio de nuestro historial de clientes. Acabábamos de completar la capacitación con un gran cliente cortafuegos equipos de arquitectura e implementación. Uno de los principales administradores de firewall levantó la mano y dijo: “Entonces, si entiendo esto correctamente, nunca tendré que volver a escribir una regla de firewall”. Sonreí y dije: “Así es”.

Seis meses después, estábamos parados juntos en el elevador, y con entusiasmo me dijo lo mucho que le encantaba la microsegmentación. Le pregunté por qué, y él respondió: “Tenía razón. Ya no escribo ACL y nuestra política es mucho más estricta”.

Ese fue un gran momento, pero el simple hecho es que la microsegmentación es genial para los equipos de operaciones de firewall. Aquí hay cinco razones principales por las que.

1. No más ACL manuales. Conceptualmente, escribir reglas de firewall es “fácil”: simplemente escriba las reglas para lo que desea que se permita y todo lo demás será denegado. Es cierto a un alto nivel de abstracción, pero cerca de la obra, es una sobresimplificación significativa. En un firewall tradicional, cada deseo de política debe traducirse de la forma en que los propietarios de aplicaciones hablan sobre sus sistemas al lenguaje de direcciones IP, subredes y zonas. Con la microsegmentación, el punto de aplicación se traslada a la propia instancia de la aplicación, lo que significa que la segmentación no depende de ninguna construcción de red para la aplicación. Cuando se combina con un poderoso Motor de computación de políticas, el administrador puede escribir políticas en lenguaje sencillo, “El servidor web habla con el servidor de aplicaciones; que a su vez habla con la base de datos. Los servidores web nunca hablan entre sí ni directamente con la base de datos”. Una política simple puede convertirse en una base de reglas exigible sin necesidad humana de saber una dirección IP, subred o zona. La microsegmentación libera a los administradores de firewall de escribir ACL.
   
2. Obtenga un modelo de políticas escalable. Si bien los firewalls salen de fábrica con una denegación predeterminada en la parte inferior de la tabla de reglas, rápidamente crecen hasta tener una combinación compleja de declaraciones de permiso y denegar. Estos mezclaron denylist y allowlist las políticas escalan mal debido a que la herencia es limitada. Siempre que las reglas sean mixtas, permitir y denegar declaraciones, ordenar reglas importa y eso limita la herencia, ¿qué orden debe observar una política combinada? La microsegmentación funciona en un estado puro Cero Confianza modelo. Dado que solo hay declaraciones de permisos, la herencia de políticas es fácil; todo lo que puede suceder es que algo esté permitido más de una vez. Esto facilita la especificación de políticas en cualquier nivel arbitrario de abstracción. Un servidor en particular podría heredar la política tanto de una política del centro de datos como de una política para el entorno de producción y las bases de datos en general. Cuando grandes franjas de la política se originan a partir de plantillas, el trabajo de redactar políticas simplifica y escala mucho mejor.
   
3. Sepa que la política es correcta. Desarrollar una política de firewall no es fácil. Todo el tráfico de aplicaciones debe caracterizarse hasta el puerto y el protocolo. Esta información a menudo se encuentra fuera de las manos de los equipos de infraestructura y seguridad. Peor aún, incluso el equipo de aplicaciones a menudo no se da cuenta, ya que la aplicación puede haber sido instalada por un proveedor o contratista que ya no está involucrado. La microsegmentación proporciona una rica mapa de dependencia de aplicaciones que todo el equipo pueda entender. Dado que el mapa solo muestra datos de aplicaciones y no dispositivos de red, los equipos de aplicaciones y DevOps pueden comprender fácilmente los flujos que genera su aplicación y lo que se necesita proteger. La microsegmentación facilita el logro de un consenso sobre la protección de aplicaciones críticas y proporciona información precisa al equipo de políticas.
   
4. Sepa que la póliza es segura. ¿Cómo se prueba una regla de firewall? Tú no. Los firewalls no funcionan de esa manera — nosotros tecleamos las reglas y si hay algún problema, suena el teléfono. En 2021, eso ya no es lo suficientemente bueno. Con una aplicación completamente nueva, hay cierto espacio para ir y volver con el equipo de aplicaciones para que entre en producción. Pero con las aplicaciones existentes, cualquier error en la política de segmentación provoca una interrupción. La microsegmentación ofrece una mejor manera. Las políticas se mueven a través de un ciclo de vida que incluye soluciones discretas crear, probar y hacer cumplir etapas. De esta manera, todos, desde el propietario de la app hasta los equipos de seguridad e infraestructura, pueden validar que la política sea “tal como está diseñada” y que la política cubra todas las comunicaciones necesarias. El simple mapa de dependencia de aplicaciones hace que sea fácil saber que la política es segura y puede ser aplicada a la aplicación.
   
5. Obtenga ayuda de los propietarios de aplicaciones. En cada organización hay mucha más gente en el equipo de aplicaciones que en el equipo de seguridad. Y si consideráramos el número de aplicaciones vs. el número de autores de políticas de segmentación, el contraste sería aún mayor. Dada esta disparidad, siempre es un desafío tratar de ayudar a cada equipo a entender lo que necesita el equipo de firewall y obtenerlo de manera oportuna. La microsegmentación proporciona visualizaciones y flujo de trabajo diseñados para propietarios de aplicaciones para ser parte del proceso. Cuando el equipo de aplicaciones está involucrado en el proyecto de microsegmentación, es mucho más fácil para ellos apoyar los objetivos de los equipos de seguridad e infraestructura para la aplicación. Construye confianza y elimina el juego de culpa cuando todos pueden ver cómo funciona la aplicación y la interacción de la política de segmentación con esos flujos. Los propietarios de aplicaciones pueden validar fácilmente tanto los flujos como la parte de aplicación de la política, acelerando el avance hacia la aplicación.

La microsegmentación es excelente para los administradores de firewall. Reglas de firewall manual de Exchange para una política de lenguaje natural simple que no requiere ningún conocimiento de red. Obtenga un verdadero modelo de políticas de confianza cero que se escale fácilmente con la herencia completa. Todas las políticas de segmentación deben ser correctas y completas. La microsegmentación hace que este sea un proceso gráfico simple en el que los propietarios de las aplicaciones pueden estar involucrados. Con ellos de su lado, el proyecto de segmentación se vuelve más rápido, más fácil y más agradable. La microsegmentación es el upgrade que los administradores del firewall estaban esperando.