¿Qué es importante en un modelo de política para la microsegmentación?

De todas las características a discutir en una solución de microsegmentación, la mayoría de los proveedores no comenzarían con el modelo de política. Sin embargo, en términos del resultado potencial que podría crear una solución determinada, el modelo de directiva determina lo que es posible. Por lo tanto, pensar en lo que es necesario en un modelo de política es una excelente preparación para tomar una decisión de compra de alta calidad y bajo arrepentimiento. Examinemos cada uno de los componentes importantes de un modelo de política de microsegmentación deseable.

Etiquetas multidimensionales

Las directivas de microsegmentación emplean etiquetas para abstraer la segmentación del direccionamiento y los dispositivos de red subyacentes. Idealmente, estas etiquetas serán "útilmente multidimensionales". Un espacio de nombres plano de etiquetas ilimitadas no es útil; no ofrece ningún resumen ni estructura para colgar las declaraciones de política que afectan a muchas máquinas. Si etiqueta todos los sistemas en un espacio de nombres plano, es apenas mejor que simplemente usar direcciones IP para especificar la política. Curiosamente, aunque no se deben poner límites en el número de etiquetas dentro de una dimensión de directiva determinada, la restricción de las dimensiones de directiva demostró ser útil en implementaciones a gran escala.

Los humanos podemos visualizar fácilmente cuatro dimensiones: tres dimensiones físicas más tiempo, por ejemplo. Pero, si los físicos están en lo cierto y vivimos en un espacio de 11 o 13 dimensiones, solo las matemáticas pueden capturar esas dimensiones. Son imposibles de visualizar en nuestros cerebros. Esto tiene consecuencias prácticas para la microsegmentación. Puede programar una computadora para comprender y calcular una política de 11 dimensiones, pero ningún humano podrá entenderla. Los humanos deben poder inspeccionar, auditar y comprender las políticas de microsegmentación.

In our experience, four dimensions can effectively model even the largest networks on the planet for policy purposes, while still preserving our ability to understand the model. So, look for a policy model that has more than flat-tag or label space. The structure of a few dimensions works at the scale of hundreds of thousands of systems but remains easy to understand and work with. Check out this video to learn more about the power of labels.

Modelo de objetos enriquecidos

A quality policy language will have a sufficiently rich-object model. A hyperscale enterprise data center is a complex place. It is obvious that the model must accommodate everything that needs to be protected: servers, VMs, containers, cloud instances, etc. But these protected systems are not enough to abstract all the useful policy primitives. You need to have objects for service/port mappings and IP-address ranges. Within shared servers – perhaps a server with multiple database instances – you must be able to abstract these instances from each other as distinct virtual services. Containers and container hosts should be both “first-class citizens” who appear on all visualizations and a part of policy statements. Interestingly, it is also important to add unprotected systems to the object model – especially in the early phases of deployment when more things are unprotected than protected and these systems communicate with each other. Being able to represent all flows cleanly makes it much easier to specify the desired policy. The best solutions will even be able to build policies for the unmanaged objects should you wish to have it available for export and possible implementation.

Herencia

Policy inheritance is the only way to scale microsegmentation policy to cover an existing data center. If about 80 percent of the traffic flows within the data center, that implies that the existing perimeter firewall rules only cover 20 percent of the traffic. That means that the potential for five times as many rules exists within the data center as currently exist in all the firewalls! The abstractions provided by the policy model and its useful dimensionality must combine with a pure allow-list policy model. Only in this way can policy be written once to apply in many instances. Inheritance and smart policy automation around common microsegmentation policies, like application ringfencing, combine to form the only proven way to segment tens of thousands of systems successfully.

Declarativo vs. imperativo

The only policy model to successfully microsegment over 100,000 workloads uses a declarative method to express segmentation desire. A declarative policy model only requires one to specify the desired outcome. An imperative policy model requires the solution to be specified exactly to create the outcome. A traditional firewall ruleset is imperative: every statement must be present in perfect order and with perfect accuracy for the desired protection to exist. This causes no end of difficulty and complexity. However, the ideal microsegmentation policy uses declarative language exclusively: “I want to ringfence the Ordering application inside my Production environment.” How that is accomplished is the business of the Policy Compute Engine behind the policy language. In this way, the policy is always easy to specify, easy to understand, and easy to develop. Given the scale of work to be done, anything else will result in failure.

Aplicación consistente

When all the necessary primitives exist, the best microsegmentation solutions will use them consistently across every area of the product. Labels aren’t just for policy authoring, but must inform visibility, policy distribution, and policy enforcement. Role-based access control (RBAC) should follow the label structure exactly so that application owners, DevOps, and others can access everything they need, but not more. Securing automated deployments in particular demands this precise delegation capability. A useful, clear, and simple label structure creates a mental model when it is consistently applied. Almost immediately, administrators intuitively understand how the solution works and can anticipate outcomes. This intuition quickly turns to speed, speed to mastery, and mastery to finished projects. Simplicity, clarity, and consistency are the solution for complex data center environments.

Abstracción completa

Me gusta decir que la automatización se come metadatos para el desayuno. La automatización no puede avanzar más rápido de lo que se puede abstraer. Un modelo de política exitoso debe abstraer cualquier vestigio de direccionamiento de red y el mecanismo de aplicación en sí. La póliza debe tratar solo con lo que se desea. De esta manera, la automatización puede establecer fácilmente el resultado: "El sitio web debe hablar con la aplicación". Las reglas necesarias para que esto sea cierto cambiarán constantemente en una nube dinámica o en un entorno automatizado, y esa complejidad no puede exponer al marco de automatización si se va a escalar. Una política que se basa en direcciones IP, sin importar cuán bien intencionada sea, simplemente no escalará. Del mismo modo, el mecanismo de aplicación debe ocultar. Una vez que se expresó el deseo, el motor de políticas de microsegmentación debe encontrar la mejor manera de implementar esa política dados los recursos que conoce. De esta manera, a medida que los sistemas van y vienen, el número de puntos de aplicación se flexibilizará, al igual que la base de políticas y reglas. Solo una política completamente abstracta brindará a DevOps y a los arquitectos de la nube las capacidades que necesitan para interactuar sin problemas con la solución de microsegmentación.

Política a gran escala

Hace muchos años, la megafauna dominaba la Tierra. Versiones gigantes de plantas y animales estaban en todos los continentes, y se elevarían sobre las especies que tenemos hoy. Los mejores modelos de políticas incluyen factores de escala que se elevan sobre las descripciones simples de aplicaciones individuales. La capacidad de agrupar cualquier etiqueta en cualquier dimensión de política permite que las políticas únicas afecten a los sistemas en múltiples centros de datos, entornos o aplicaciones. Al escribir políticas para la compañía de hiperescala, estas "megapolíticas" se mueven con un alcance, velocidad y eficiencia asombrosos para cubrir la compañía con políticas de microsegmentación.

A policy model might seem like an abstract and unimportant concept. But for a successful microsegmentation deployment, nothing could be further from the truth. The policy model determines what will and will not be possible to express and how easy or hard it will be to do so. A company can quickly change the color of their UI, but it will struggle to fix a broken or improperly designed policy model. The most proven microsegmentation policy model in the world provides full abstraction from network addressing and enforcement points though a “usefully dimensional” label model. This model is consistently carried through every function of the product. When full object models combine with inheritance and declarative models, it is possible to easily and quickly state the desire outcome and have it be true in the world. Microsegmentation succeeds at the scale of hundreds of thousands of workloads only through a mature, complete, and well-designed policy model.

A continuación, en este serial sobre preguntas sobre microsegmentación que no sabe hacer, discutiremos lo que se necesita para automatizar la política de microsegmentación.