.png)
Lo que necesita para ser autor de una política de segmentación de confianza cero
La semana pasada, nosotros discutido las capacidades necesarias para descubrir la aplicación y el contexto ambiental más amplio requerido para escribir una política de Segmentación de Confianza Cero. Una vez que sabemos lo que es obligatorio, necesitamos expresarlo en declaraciones de política. Cualquier buena solución de microsegmentación se moverá sin problemas del descubrimiento a la creación y soportará completamente todos los flujos de trabajo necesarios para escribir una política de segmentación precisa de manera eficiente. Analicemos qué acelera y soporta la política de Segmentación de Confianza Cero.
Di lo que quieras, no cómo hacerlo
Históricamente, escribir listas de control de acceso (ACL) requiere que sepamos qué queremos y cómo hacerlo. Resultan grandes y complejas tablas de reglas. La segmentación de confianza cero funciona en un declarativo modelo de política, por el contrario, y crea una separación entre “política” y “reglas”. La política es el resultado que deseamos, como separar los entornos DEV y PROD. Las reglas o ACL requeridas para hacer que esa política sea verdadera son un resultado del motor de políticas, no del esfuerzo humano. Esto simplifica radicalmente la creación de políticas.
Si escribo una regla que permita que un dispositivo hable con otros tres, no necesito escribir cuatro reglas. Solo necesito escribir una política que diga que un servidor puede hablar con los otros tres. El motor de políticas crea todas las reglas para hacer que esa política sea verdadera. Cuando se toma a la escala de un centro de datos completo o una implementación en la nube, esta simplificación acelera el desarrollo de una política de Segmentación de Confianza Cero.
Nombres familiares frente a direcciones IP
Escritura reglas de firewall tradicionales siempre será lento debido a la constante necesidad de traducir entre direcciones IP que la infraestructura entiende y los nombres que damos a los servidores en conversación. La eliminación de esta traducción reduce radicalmente el tiempo necesario para escribir una política de Segmentación de Confianza Cero.
La mejor situación es cuando la organización puede reutilizar los nombres que ya existen dentro de CMDB, SIEM, sistemas de administración de direcciones IP, convenciones de nombres de host, nombres de servidores, etc. Cuando los nombres familiares etiquetan cada sistema en la visualización y proporcionan la abstracción para la redacción de políticas, de repente todos pueden entender y escribir la política de confianza cero. No se requiere traducción, y todo el equipo puede llegar rápidamente a un consenso sobre que la política escrita coincide con la necesidad descubierta a través de la visualización.
Utilizar la herencia para reducir la carga de políticas
Una vez que hayamos abstraído la política de Segmentación de Confianza Cero en nombres (o etiquetas), podemos aprovechar una de las mejores partes de una lista de permitidos de Confianza Cero: la herencia de políticas. Una lista de permitidos pura no requiere atención al orden de reglas, a diferencia de un firewall tradicional.
En un firewall, la combinación de lista de permitidos y denylist reglas significa que las reglas deben estar en un orden estricto para funcionar según lo diseñado. En una lista de permitidos, debido a que las cosas solo están permitidas, no hace ninguna diferencia en qué orden se permiten o si se permiten más de una vez.
Esto significa que la política de Segmentación de Confianza Cero se puede heredar libremente. Puedo escribir una política una vez y reutilizarla tantas veces como sea necesario. Una carga de trabajo puede derivar parte de su política de la política de entorno PROD, la política a nivel de data center y la política que hemos escrito para todas las bases de datos. Podemos definir la política para los servicios principales una vez y luego hacer que todas las cargas de trabajo del entorno asuman esa política. La herencia hace que la creación de políticas de Zero Trust sea mucho más fácil que los métodos tradicionales.
Distribuya la escritura de reglas para obtener escala
La escritura de reglas de firewall ha sido centralizada y administrada durante mucho tiempo por un equipo de seguridad de red, ya que los dispositivos son efectivamente parte de la arquitectura de la red. Esto ha creado conversaciones incómodas en las que el equipo de firewall necesita que el equipo de aplicaciones describa en direcciones IP cómo funcionan sus sistemas. Y solo entonces el equipo de firewall podrá traducir eso en reglas. Pero, ¿por qué molestarse con toda esa comunicación y traducción?
Con la Segmentación de Confianza Cero y una sólida capacidad de control de acceso basado en roles (RBAC), se puede distribuir la escritura de reglas. Cuando la solución Zero Trust Segmentation se ha diseñado para proporcionar vistas y capacidades específicas de la aplicación, es posible tener los propietarios de aplicaciones escriben o validan la política para la operación interna de su aplicación, y luego para que el equipo centralizado apruebe su trabajo y agregue las políticas para servicios principales, data center y acceso a Internet.
Una sólida solución de Segmentación de Confianza Cero proporciona agencia a los equipos de aplicaciones y DevOps durante todo el proceso de creación de políticas. Cuanto más quiera automatizar su organización, más importante será esta delegación. Cuando todo el equipo puede trabajar hacia objetivos compartidos, genera confianza, cohesión organizacional y acelera la entrega de una política de Segmentación de Confianza Cero.
En resumen
Los centros de datos y los entornos de nube son complejos, y sería natural suponer que escribir una política de segmentación compartiría la misma complejidad. Pero las mejores soluciones de Segmentación de Confianza Cero reemplazan el proceso tradicional de desarrollo de reglas de firewall con flujos de trabajo simples, escalables y efectivos. Un modelo de política declarativa significa que puedes decir lo que quieras, no cómo hacerlo.
Los humanos son buenos para decir lo que quieren, y un motor de políticas inteligente puede convertir eso en reglas para la infraestructura. Cuando la política se basa en nombres familiares y se puede reutilizar varias veces, se reduce el trabajo para todo el equipo.
Y lo mejor de todo, cuando todo el equipo puede colaborar, los muros ineficientes entre los equipos se rompen y toda la organización puede trabajar en conjunto para asegurar los activos críticos. La Segmentación de Confianza Cero mejora todos los aspectos de la política de segmentación, al mismo tiempo que aumenta la segmentación y reduce la carga para la organización.
