Lo que necesita para el descubrimiento de políticas de confianza cero
La verdad fundamental sobre microsegmentación es que nunca será más granular que nuestra comprensión del tráfico a proteger. Realmente no podemos segmentar lo que no podemos ver.
La mayoría de los proveedores de segmentación ahora ofrecen algún tipo de mapa de aplicaciones que coloca una aplicación en una “burbuja” para mostrar su posible aislamiento. Si bien es una gran mejora con respecto a la alternativa (sin visualizaciones), en realidad, esto no es suficiente para escribir una política sólida de Zero Trust. Necesario — pero insuficiente. ¿Qué más necesitamos?
Como se discutió en el Introducción a esta serie, el éxito de la microsegmentación Zero Trust está determinado por la eficacia del proceso de administración de políticas. Escribir reglas de segmentación no es una tarea, es una variedad de pasos analíticos y de toma de decisiones. Por lo tanto, hacer mejor la segmentación requiere un profundo nivel de comprensión y debe reflejarse en la visibilidad y flujo de trabajo adecuados para cada paso; no hay posibilidad de que una sola visualización simple funcione para todas las tareas y puntos de decisión.
El descubrimiento de políticas es el conjunto de tareas que una organización realiza para comprender una aplicación y su contexto lo suficientemente bien como para escribir una política de confianza cero. Incluye información a nivel de servicio, host y aplicación, pero también muchas otras cosas.
Contexto completo de la aplicación
El contexto completo de una aplicación va más allá de su operación interna. Puede comunicarse con otras aplicaciones, probablemente se conecta a 20-30 servicios centrales comunes, tiene usuarios provenientes de ubicaciones corporativas y VPN, y puede interactuar con servicios SaaS u otros espacios de direcciones remotas. ¡Simplemente tirar todo esto en un mapa sin organización es una receta para la confusión que ralentizará el progreso a un ritmo!
Es importante resumir la conectividad externa en los rangos de direcciones con nombre normal que podrían estar en el sistema de administración IP. De esta manera, es fácil detectar subredes de usuarios, tráfico DMZ, etc. Especialmente en los primeros días de una implementación de microsegmentación, hay más sistemas “desprotegidos” que sistemas “protegidos”. ¿Cómo se muestran, organizan y categorizan estos sistemas? Cuando estos sistemas son objetos en el modelo de políticas y se muestran como tales en el mapa, la complejidad y la escritura de reglas se simplifican. Por último, la mayoría de las aplicaciones existen para los usuarios. ¿Cómo se entiende, muestra y está disponible para la acción ese contexto de usuario?
En última instancia, el descubrimiento de políticas requiere un contexto de aplicación completo, y eso implica más que simples dibujos de aplicaciones con cien o más líneas a direcciones IP externas o nombres de host.
Flujos de trabajo micro frente a macro
Los data centers o entornos de nube son lugares complejos, con mucho más que aplicaciones a considerar. Los mapas de dependencia de las aplicaciones son críticos para comprender las aplicaciones, pero ¿qué pasa con poder ver construcciones más grandes? ¿Cómo es posible saber qué tráfico pasa entre Dev y Prod? ¿Cómo se puede ver todo el tráfico de la base de datos en el puerto 3306 en todo el entorno para asegurarse de que no se pierda ninguno? ¿Qué tal ver el “alcance” de un servicio central como LDAP o RDP para entender la actividad actual?
La experiencia de Illumino en asegurar múltiples entornos de más de 100,000 nodos se refleja en tener visualizaciones y herramientas de exploración para el entorno macro además del contexto de la aplicación. La redacción efectiva de políticas abstractadas basadas en etiquetas también requiere la capacidad de visualizar e inspeccionar las comunicaciones en todos los niveles de abstracción que ofrece el modelo de políticas. Curiosamente, las burbujas de aplicación tan útiles para las vistas de aplicaciones son de poca utilidad en este contexto. Las mejores soluciones de descubrimiento de políticas tendrán formas claras de mostrar las comunicaciones en todos los niveles de abstracción y no solo los vertederos de bases de datos de los datos de flujo recopilados.
Requerir una solución de microsegmentación que proporcione las vistas de nivel macro esenciales para abordar rápidamente grandes franjas de tráfico mediante la redacción masiva o agregada de políticas.
Diferentes puntos de vista para diferentes partes interesadas
El equipo de firewall no será el único que inspeccione los flujos y las políticas durante las actividades de descubrimiento de políticas. A medida que el límite de segmentación se traslada al servidor de aplicaciones o al host del contenedor, los equipos de operaciones y aplicaciones tendrán un gran interés en asegurarse de que todos los servicios que necesitan se hayan aprovisionado correctamente. Para estos compañeros de trabajo, sus preguntas se responden mejor mediante vistas diseñadas específicamente adaptadas a la necesidad de inspeccionar rápidamente una política y validar la funcionalidad. Muchos de los detalles del desarrollo de políticas no son necesarios y, de hecho, distraen de las preocupaciones centrales de los equipos de aplicaciones y operaciones.
Busque un producto de microsegmentación que tenga visualizaciones y flujos de trabajo cuidadosamente construidos para equipos de operaciones y aplicaciones. Forman parte del flujo de trabajo para políticas y deben tener herramientas que respalden sus necesidades. Un RBAC La vista filtrada es esencial, por supuesto, pero espere más: obtenga visualizaciones específicas del propietario de la aplicación para acelerar el proceso de descubrimiento de políticas.
En resumen
¡Nadie puede escribir políticas más rápido de lo que entiende lo que se requiere! El descubrimiento de políticas es la primera parte de cualquier flujo de trabajo de administración de políticas. Las demandas de políticas de una aplicación moderna o una colección de microservicios en contenedores requieren un contexto de aplicación completo, mucho más allá de una simple burbuja de aplicaciones. La representación de rangos de IP, sistemas no administrados, servicios básicos y más son esenciales para comprender un servicio de aplicaciones en su contexto.
Cualquier buen modelo de política ofrecerá abstraer las comunicaciones en varios niveles o “etiquetas”, por lo que también es importante contar con visualizaciones que respalden estos objetivos políticos de orden superior. Después de todo, la política masiva es una política rápida, por lo que tener las capacidades adecuadas acelerará radicalmente el desarrollo de políticas.
Por último, la microsegmentación involucra a múltiples organizaciones. El descubrimiento de políticas es un deporte de equipo: asegúrese de que todos tengan vistas de descubrimiento personalizadas para que cada equipo trabaje de la manera más eficiente posible.
El descubrimiento rápido y eficiente de políticas conduce a una creación de políticas rápida y eficiente. Únase a nosotros la próxima semana mientras discutimos lo que se necesita para acelerar la creación de políticas.