Preguntas sobre Microsegmentación que no sabes preguntar: ¿Qué se necesita para que tu equipo de aplicaciones se una a bordo?

Los propietarios de aplicaciones están acostumbrados a una relación distante con sus equipos de seguridad y de red. Se supone que la red “simplemente funciona” y los firewalls son un dolor que se soporta con poca frecuencia. Después de todo, la infraestructura no se siente “cercana” al propietario promedio de las aplicaciones. Pero cuando los equipos de seguridad e infraestructura anuncian que quieren trasladar el límite de aplicación al sistema operativo o cercar la aplicación, de repente los conceptos abstractos toman una nueva realidad.

El temor primario es que la implementación de los controles sea incompleta, causando interrupciones, o tal vez que degraden el rendimiento o causen dolores de cabeza que antes no existían. También es cierto en general que en las instancias del servidor de aplicaciones, el equipo de aplicaciones ejerce un control considerable y, a menudo, puede retrasar las implementaciones si no se abordan sus preocupaciones. Entonces, ¿cómo desarrollamos una relación duradera y basada en la confianza con nuestros propietarios de aplicaciones, DevOps y equipos de nube?

Toma el juramento hipocrático

Para los propietarios de aplicaciones, la disponibilidad del servicio está en la parte superior de su lista y, a menudo, comprende una parte de sus MBO o bonificaciones de performance. Cualquier cosa que amenace el tiempo de actividad de la aplicación encontrará resistencia inmediata. Por esta razón, es de importación para los equipos de aplicación y automatización saber que efectivamente has tomado el Juramento Hipocrático — no permitirás que su aplicación se perjudique en el desarrollo de la política de microsegmentación. Recuerde que han sido condicionados por cortes de cortafuegos y reconfiguraciones para esperar roturas cada vez que se ajustan las reglas de microsegmentación. Pero no tiene que ser así. Al elegir una solución con una sólida metodología de “Build, Test, Enforce”, todas las políticas de microsegmentación se probarán exhaustivamente durante el tiempo que sea necesario para garantizar la corrección.

Durante la implementación inicial, no intente acelerar las solicitudes anteriores para probar o certificar agentes basados en host. Cualquier agente de calidad volará a través de las pruebas. Elija un agente que no esté conectado al tráfico, que no sea un adaptador de red virtual y que no modifique el kernel y la aceptación del propietario de la aplicación se disparará. Evite los agentes en línea que fallan abiertos (sin política de firewall) o cerrados (la aplicación se rompe). Elija un agente que esté certificado para ejecutarse en entornos de misión crítica, como Oracle Exadata, y queda muy poca duda de que el agente es inseguro. Cuando combina un agente seguro con una ruta segura hacia la aplicación, los propietarios de aplicaciones y los equipos operativos pueden comprender que comparte su preocupación por la seguridad y el tiempo de actividad de la aplicación.

Empoderarlos para participar

Pero cualquier solución de calidad Zero Trust Segmentation irá mucho más allá de las garantías de seguridad y ofrecerá la capacidad para que los propietarios de las aplicaciones participen de manera significativa. Como mínimo, brinde a los propietarios de aplicaciones acceso a la visualización de su aplicación mediante el Control de acceso basado en roles (RBAC). Tan pronto como vean el mapa de dependencia de aplicaciones, el propietario de la aplicación puede verificar que los flujos observados son esperados y deben estar permitidos. A medida que se desarrolla la política, el propietario de la aplicación puede ver que se permiten los servicios principales, las conexiones a bases de datos y los métodos de acceso de usuario necesarios. Ellos llegan a ser parte de la cadena de aprobación para garantizar que la política asegure y habilite. Algunas organizaciones van más allá y dan a los propietarios de las aplicaciones el control para crear la política interna de la aplicación. Cuando se proporciona bajo estrictos controles RBAC, cada propietario de la aplicación solo puede ver su propia aplicación, y el control de políticas se puede delegar y limitar según se desee. Con la aprobación final reservada para los equipos de seguridad e infraestructura, esto otorga una verdadera propiedad a los equipos de operaciones y aumenta la confianza y la conexión con el resultado.

Proporcionar la capacidad de automatizar

Casi todas las aplicaciones creadas en los últimos años están automatizadas en gran medida. Se ponen de pie utilizando scripts proporcionados por el proveedor. Ofrecen API y, a menudo, se integran con SaaS, instancias en la nube, contenedores u otras tecnologías avanzadas de alojamiento de aplicaciones. Para los equipos de DevOps, ¡cualquier cosa que carezca de una API bien podría no existir!

Históricamente, los equipos de aplicaciones se han sentido frustrados por el lento ritmo de las reglas de microsegmentación escritas manualmente y los procesos que las rodean. Entonces, ¡entregue la segmentación como servicio! Dales claves API para tu solución de Segmentación de Confianza Cero. Pídeles que usen sus metadatos como fuente de abstracción de etiquetas/etiquetas/políticas. Si sus metadatos se convierten en el punto de partida para la visualización y la política, la microsegmentación simplemente puede solicitarse a la API y automatizarse desde el primer día. Muestre a los equipos de aplicaciones cómo acceder a la segmentación como servicio; aliéntelos a incorporarlo a sus libros de carreras e imágenes doradas y luego hablará su idioma nativo. Todos se benefician cuando la política de microsegmentación se actualiza continuamente a lo largo del ciclo de vida de las aplicaciones.

El negocio depende de las aplicaciones, y los equipos que las proporcionan y soportan no están acostumbrados a las solicitudes técnicas detalladas que un equipo de firewall requiere tradicionalmente. Pero la Segmentación de Confianza Cero no tiene por qué empantanarlos, ni hacer que pongan obstáculos. Comunicada y con recursos adecuados, una implementación de microsegmentación permitirá que los propietarios de las aplicaciones interactúen de manera segura con el proyecto. Los mejores equipos de proyecto los invitan además a considerar la microsegmentación como un servicio disponible basado en API, al igual que los otros servicios SaaS que consumen regularmente. Cuando la microsegmentación avanzada es fácil de consumir, segura de operar y bajo su capacidad de control e influencia, encontrará a los equipos de aplicaciones dispuestos a ayudarle a proteger sus sistemas de las amenazas que nadie quiere que afecten a sus sistemas.

Más información sobre segmentación de aplicaciones hoy.