Nano-segmentationEN: ¿De qué se trata el alboroto?

En la conferencia RSA de la semana pasada, Illumio presentó la nanosegmentación, nuestra última innovación en la protección de aplicaciones de múltiples niveles que se ejecutan en centros de datos y nubes. La Plataforma de Seguridad Adaptable (ASP) de Illumio^TM ahora amplía la segmentación de las aplicaciones desde la granularidad de las cargas de trabajo individuales hasta los procesos que se ejecutan dentro de las cargas de trabajo.

Los asistentes de RSA que vieron las presentaciones del teatro Illumio vieron el poder de la nanosegmentación para reducir drásticamente la exposición de la empresa a las amenazas y restringir el “radio de explosión” de los ataques. Mostramos cómo la nanosegmentación podía poner en cuarentena un servidor comprometido mediante una operación simple de arrastrar y soltar, una primicia en la industria. Segmentar el data center para aplicaciones separadas (desarrollo, prueba, producción, etc.) o para aislar aplicaciones (por ejemplo, para PCI cumplimiento de normas) es necesario para manejar la seguridad de entornos de computación dinámicos distribuidos en centros de datos y nubes. Pero no toda la segmentación se crea igual. Déjame explicarte.

No todas las segmentaciones son iguales.

La mayoría de nosotros estamos familiarizados con el término “microsegmentación”, que fue introducido por los proveedores de SDN hace unos años. Se promovió la microsegmentación como una forma para que las empresas aislaran las aplicaciones que se ejecutan en entornos virtuales. Sin embargo, las soluciones actuales para la microsegmentación vienen con una serie de cadenas conectadas: están vinculadas al hipervisor, construcciones de red (VLAN, subredes, zonas de seguridad, etc.) u otro hardware (switches, routers, etc.). La mayoría de las soluciones no abordan la segmentación de aplicaciones en la nube o aplicaciones que incluyen servidores bare-metal. El objetivo de la seguridad a través de la segmentación de aplicaciones está bien intencionado, pero las soluciones existentes no son adecuadas.

Ingresar nano-segmentación

El primer paso para lograr la segmentación más granular para las aplicaciones de data center es reducir la superficie de ataque a unidades individuales de computación (cualquier VM o servidor bare metal) en centros de datos y nubes. Illumio ASP hace esto programando dinámicamente reglas precisas de seguridad entrantes y salientes en cada carga de trabajo. Esto permite que la plataforma cree un perímetro adaptativo alrededor de cada instancia informática (en cualquier centro de datos o nube), creando de manera efectiva un segmento de uno. Cuando se combina con el ASP de Illumio modelo de política dinámico en la lista blanca, permite a los administradores especificar completamente las interacciones de carga de trabajo permitidas para las aplicaciones sin ninguna dependencia en la red. Con el último lanzamiento de producto, Illumio llevó esto un paso más allá al permitir la segmentación de múltiples aplicaciones hasta los procesos en un solo host. Por ejemplo, dos instancias del proceso Apache en una sola carga de trabajo podrían segmentarse en dos aplicaciones diferentes.

¿Qué pasa con el nombre?

¿Nos entregamos a un poco de marketing único con un nombre como nano-segmentación? Lejos de eso, es deliberado y respaldado por puntos de prueba. La nanosegmentación, como su nombre lo indica, permite a las empresas segmentar las aplicaciones en la medida más granular posible. Queríamos que las empresas supieran que hay una manera de “tener su pastel y comérselo también”: pueden segmentar aplicaciones en centros de datos y nubes mientras mantienen intacta la seguridad. Más importante aún, la función permite que la segmentación de aplicaciones sea igualmente efectiva en cualquier entorno informático.

Y una cosa más: El término “Nano” da crédito al concepto Illumio de seguridad independiente de la red. Es un acrónimo de “Nunca más orientado a la red”.