Nano-segmentation℠: ¿De qué se trata todo este alboroto?

En la conferencia RSA de la semana pasada, Illumio presentó la nanosegmentación, nuestra última innovación en la seguridad de aplicaciones de varios niveles que se ejecutan en centros de datos y nubes. Illumio Adaptive Security Platform (ASP)^TM ahora extiende la segmentación de aplicaciones desde el detalle de las cargas de trabajo individuales hasta los procesos que se ejecutan dentro de las cargas de trabajo.

Los asistentes de RSA que vieron las presentaciones en el teatro Illumio vieron el poder de la nanosegmentación para reducir significativamente la exposición de la compañía a las amenazas y limitar el "radio de explosión" de los ataques. Demostramos cómo la nanosegmentación podría poner en cuarentena un servidor comprometido usando una simple operación de arrastrar y soltar: una novedad en la industria. La segmentación del centro de datos para separar aplicaciones (desarrollo, prueba, producción, etc.) o para aislar aplicaciones (por ejemplo, para cumplimiento de PCI ) es necesaria para gestionar la seguridad de entornos informáticos dinámicos distribuidos entre centros de datos y nubes. Pero no todas las segmentaciones son iguales. Déjame explicarte.

No todas las segmentaciones son iguales.

La mayoría de nosotros estamos familiarizados con el término "microsegmentación", que fue introducido por los proveedores de SDN hace unos años. La microsegmentación se promovió como una forma para que las compañías aislaran las aplicaciones que se ejecutan en entornos virtuales. Sin embargo, las soluciones actuales para la microsegmentación vienen con un serial de condiciones adjuntas: están vinculadas al hipervisor, construcciones de red (VLAN, subredes, zonas de seguridad, etc.) u otro hardware (conmutadores, enrutadores, etc.). La mayoría de las soluciones no abordan la segmentación de aplicaciones en la nube o aplicaciones que incluyen servidores sin sistema operativo. El objetivo de la seguridad a través de la segmentación de aplicaciones es bien intencionado, pero las soluciones existentes se quedan cortas.

Ingrese a la nanosegmentación  

El primer paso para lograr la segmentación más granular para las aplicaciones del centro de datos es reducir la superficie de ataque a unidades de computación individuales (cualquier máquina virtual o servidor físico) en centros de datos y nubes. Illumio ASP logra esto programando dinámicamente reglas de seguridad de entrada y salida precisas en cada carga de trabajo. Esto permite que la plataforma cree un perímetro adaptativo alrededor de cada instancia informática (en cualquier centro de datos o nube), creando efectivamente un segmento de uno. Cuando se combina con el modelo de políticas dinámicas y de lista blanca de Illumio ASP, permite a los administradores especificar completamente las interacciones de carga de trabajo permitidas para las aplicaciones sin ninguna dependencia de la red. Con el último lanzamiento de producto, Illumio llevó esto un paso más allá al permitir la segmentación de múltiples aplicaciones hasta procesos en un solo host. A modo de ejemplo, dos instancias del proceso Apache en una sola carga de trabajo podrían segmentar en dos aplicaciones diferentes.

¿Qué pasa con el nombre?

¿Nos permitimos un poco de superioridad de marketing con un nombre como nanosegmentación? Lejos de eso, es deliberado y está respaldado por puntos de prueba. La nanosegmentación, como su nombre lo indica, permite a las compañías segmentar las aplicaciones de la manera más granular posible. Queríamos que las compañías supieran que hay una manera de "tener su pastel y comérselo también": pueden segmentar las aplicaciones en los centros de datos y las nubes mientras mantienen la seguridad intacta. Más importante aún, la función permite que la segmentación de aplicaciones sea igualmente efectiva en cualquier entorno informático.

Y una cosa más: el término "Nano" da crédito al principio de Illumio de seguridad independiente de la red. Es un acrónimo de "Never Again Network-Oriented".