5 razones por las que a su equipo de firewall le encantará la microsegmentación

Nunca olvidaré un incidente que ocurrió al principio de la historia de nuestros clientes. Acabábamos de completar la capacitación con los equipos de implementación y arquitectura de firewall de un gran cliente. Uno de los administradores principales del firewall levantó la mano y dijo: "Entonces, si entiendo esto correctamente, nunca tendré que volver a escribir una regla de firewall". Sonreí y dije: "Así es".

Seis meses después, estábamos parados juntos en el ascensor y me dijo con entusiasmo cuánto le gustaba la microsegmentación. Le pregunté por qué, y él respondió: "Tenías razón. Ya no escribo ACL y nuestra política es mucho más estricta".

Ese fue un gran momento, pero el simple hecho es que la microsegmentación es excelente para los equipos de operaciones de firewall. Aquí hay cinco razones principales por las cuales.

1. No más ACL manuales. Conceptualmente, escribir reglas de firewall es “fácil”: simplemente escriba las reglas para lo que desea permitir y todo lo demás será denegado. Es cierto en un alto nivel de abstracción, pero cerca de la obra, es una simplificación significativa. En un firewall tradicional, cada deseo de política debe traducir de la forma en que los propietarios de las aplicaciones hablan sobre sus sistemas al lenguaje de direcciones IP, subredes y zonas. Con la microsegmentación, el punto de cumplimiento se mueve a la instancia de la aplicación misma, lo que significa que la segmentación no depende de ninguna construcción de red para su cumplimiento. Cuando se combina con un poderoso motor de cálculo de políticas, el administrador puede escribir políticas en un lenguaje sencillo: "El servidor sitio web habla con el servidor de aplicaciones, que a su vez habla con la base de datos. Los servidores sitio web nunca se comunican entre sí ni directamente con la base de datos”. Una política simple se puede convertir en una base de reglas ejecutables sin que ningún humano necesite conocer una dirección IP, subred o zona. La microsegmentación libera a los administradores de firewall de escribir ACL.
    
2. Obtener un modelo de política escalable. Si bien los firewalls vienen con una denegación predeterminada en la parte inferior de la tabla de reglas, rápidamente crecen hasta tener una combinación compleja de declaraciones de licencia y denegación. Estas políticas mixtas de listas de permitidos y denegados escalan pobremente porque tienen una herencia limitada. Mientras las reglas sean declaraciones mixtas de permitir y denegar, el orden de las reglas es importante y eso limita la herencia: ¿qué orden debería observar una política fusionada? La microsegmentación funciona según un modelo de confianza cero puro. Dado que solo hay declaraciones de licencia, la herencia de políticas es fácil: todo lo que puede suceder es que algo se permita más de una vez. Esto hace que sea fácil especificar políticas en cualquier nivel arbitrario de abstracción. Un servidor en individuo podría heredar la política tanto de una política de todo el centro de datos como de una política para el entorno de producción y las bases de datos en general. Cuando grandes porciones de la política se originan a partir de plantillas, la tarea de redactar la política se simplifica y escala mucho mejor.
    
3. Sepa que la política es correcta. Desarrollar una política de firewall no es fácil. Todo el tráfico de la aplicación debe caracterizar hasta el puerto y el protocolo. Esta información a menudo queda fuera del alcance de los equipos de infraestructura y seguridad. Peor aún, a menudo incluso el equipo de la aplicación no está al tanto, ya que la aplicación puede ser instalada por un proveedor o contratista que ya no está involucrado. La microsegmentación proporciona un rico mapa de dependencia de aplicaciones que todo el equipo puede comprender. Dado que el mapa solo muestra datos de la aplicación y no dispositivos de red, los equipos de aplicaciones y DevOps pueden comprender fácilmente los flujos que genera su aplicación y qué se debe proteger. La microsegmentación facilita alcanzar un consenso sobre la protección de aplicaciones críticas y proporciona información precisa al equipo de políticas.
    
4. Sepa que la póliza es segura. ¿Cómo se prueba una regla de firewall? No lo haces. Los firewalls no funcionan de esa manera: escribimos las reglas y, si hay un problema, suena el teléfono. En 2021, eso ya no es suficiente. Con una aplicación completamente nueva, hay margen para intercambiar ideas con el equipo de la aplicación para ponerla en producción. Pero con las aplicaciones existentes, cualquier error en la política de segmentación provoca una interrupción del servicio. La microsegmentación ofrece un camino mejor. Las políticas pasan por un ciclo de vida que incluye etapas discretas de compilación, prueba y aplicación. De esta manera, todos, desde el propietario de la aplicación hasta los equipos de seguridad e infraestructura, pueden validar que la política es “tal como fue diseñada” y que cubre todas las comunicaciones necesarias. El mapa de dependencia de la aplicación simple permite saber fácilmente que la política es segura y se puede implementar.
    
5. Obtenga ayuda de los propietarios de las aplicaciones. En cualquier organización hay muchas más personas en el equipo de aplicaciones que en el equipo de seguridad. Y si consideramos el número de solicitudes frente al número de autores de políticas de segmentación, el contraste sería aún mayor. Dada esta disparidad, siempre es un desafío intentar ayudar a cada equipo a comprender lo que necesita el equipo de firewall y obtenerlo de manera oportuna. La microsegmentación proporciona visualizaciones y flujo de trabajo diseñados para que los propietarios de aplicaciones sean parte del proceso. Cuando el equipo de la aplicación está involucrado en el proyecto de microsegmentación, es mucho más fácil para ellos respaldar los objetivos de los equipos de seguridad e infraestructura para la aplicación. Genera confianza y elimina el juego de culpas cuando todos pueden ver cómo funciona la aplicación y la interacción de la política de segmentación con esos flujos. Los propietarios de aplicaciones pueden validar fácilmente tanto los flujos como la parte de aplicación de la política, lo que acelera el progreso hacia su aplicación.

La microsegmentación es ideal para los administradores de firewall. Intercambie reglas de firewall manuales para una directiva de lenguaje natural simple que no requiere ningún conocimiento de red. Obtenga un verdadero modelo de política de Confianza cero que se escala fácilmente con herencia completa. Todas las políticas de segmentación deben ser correctas y completas. La microsegmentación hace que este sea un proceso gráfico simple en el que los propietarios de la aplicación pueden participar. Con ellos de su lado, el proyecto de segmentación se vuelve más rápido, fácil y agradable. La microsegmentación es la actualización que los administradores de firewall estuvieron esperando.