Blogue
/
Segmentation Zero Trust

5 raisons pour lesquelles DevOps adorera la microsegmentation

Éditorial Illumio
,
February 11, 2021
23 min. de lecture

Lorsque les équipes chargées de l'infrastructure et de la sécurité souhaitent introduire la microsegmentation, la communauté des applications n'est pas tant opposée au renforcement de la sécurité qu'elle est sensible à la rapidité et à la sécurité des modifications proposées. Les problèmes de sécurité sont satisfaits grâce à des tests adéquats. Mais pour de nombreuses entreprises, l'ajustement de la politique de pare-feu ou de segmentation nécessite un délai qui se mesure en jours ou en semaines. Pour une équipe DevOps, ce type de calendrier est presque incompréhensible. Les builds de serveurs se font en quelques secondes. Des modules entiers se déploient en quelques minutes. Les opérations d'API en masse surpassent la saisie manuelle de données complexes tous les jours de la semaine.

La bonne nouvelle, c'est que la microsegmentation présente cinq avantages importants pour les équipes DevOps.

1. La microsegmentation repose sur des métadonnées partagées

Les règles de pare-feu traditionnelles utilisent des adresses IP, mais l'automatisation DevOps repose sur des métadonnées et des abstractions. La microsegmentation résume la politique de segmentation en étiquettes ou tags. Ces étiquettes ne sont pas créées dans le moteur de politique de microsegmentation, mais proviennent de sources fiables standard d'entreprise : CMDB, conventions de nom d'hôte, systèmes de gestion IP et autres sources programmatiques.

Lorsque la segmentation utilise les mêmes sources de métadonnées que l'automatisation des applications, il est facile d'intégrer la segmentation dans les flux de travail automatisés.

2. La microsegmentation permet une automatisation dynamique des politiques

Une fois la politique de segmentation extraite dans les métadonnées partagées, une micro-segmentation moteur de politiques effectue le gros du travail que constituent le calcul, la distribution et la convergence des règles qui en résultent. Cela transforme efficacement la micro-segmentation en une fonctionnalité d'application automatisable qui peut être appelée comme n'importe quel autre service d'application.

Mieux encore, un moteur de politique de microsegmentation de qualité suivra toute modification des adresses IP ou des étiquettes sous-jacentes et maintiendra automatiquement la politique souhaitée en place. Ainsi, la microsegmentation devient déclarative et n'est plus liée à un besoin impératif de spécifier des règles individuelles. L'automatisation spécifie la politique souhaitée, et le moteur de politiques crée les règles nécessaires et les met à jour en permanence.

3. La microsegmentation s'insère facilement dans les run-books existants

Les principaux fournisseurs de microsegmentation peuvent citer des déploiements entièrement automatisés de l'ordre de 40 à 120 000. Dans ces centres de données entièrement automatisés, il est courant que l'ensemble de l'infrastructure soit réinstancié toutes les quelques semaines, souvent en quelques minutes. La microsegmentation peut être séquencée dans l'automatisation des applications et des pods afin que toute la connectivité réseau requise soit disponible en cas de besoin.

Même lors de reconfigurations de centres de données à grande échelle, le moteur de politique de microsegmentation permet d'aligner chaque charge de travail et chaque conteneur sur la politique spécifiée. Lorsque la segmentation s'instancie rapidement et que la distribution des politiques s'effectue en temps réel, les run-books DevOps circulent de manière fluide et fluide, même si des politiques de microsegmentation strictes protègent chaque service applicatif.
 

4. La microsegmentation est indépendante de l'emplacement

Un bon code d'automatisation offre une abstraction suffisante pour accélérer les tâches complexes. Que l'application soit exécutée dans le cloud ou dans le centre de données n'a guère d'importance si l'automatisation est suffisamment abstraite.

Étant donné que la microsegmentation supprime l'adressage IP, l'emplacement n'a plus d'importance pour la segmentation. La moitié de l'application peut se trouver dans le cloud. Il peut passer d'un VPC à un autre. L'emplacement physique ou l'adressage n'ont plus d'importance. Ainsi, la microsegmentation permet d'obtenir la même indépendance en matière d'emplacement et d'infrastructure que celle souhaitée par les équipes DevOps.
 

5. La microsegmentation est indépendante de l'architecture de l'application

Certaines applications s'exécutent sur des serveurs bare-metal, d'autres sur des machines virtuelles et d'autres dans des conteneurs. Certaines applications vont bientôt migrer de l'une à l'autre. La microsegmentation fonctionne de la même manière, quelle que soit l'architecture de l'application ou la méthodologie de déploiement.

Une solution de microsegmentation de qualité soutient conteneurs et Kubernetes tout aussi efficacement qu'il prend en charge un serveur de base de données physique. La même politique fonctionnera même si la moitié de l'application est conteneurisée et l'autre moitié reste en mode « bare-metal ». Comme pour la localisation, une fois que la politique est suffisamment abstraite et que les points d'application restent disponibles, la microsegmentation fonctionne sur les architectures d'applications existantes, actuelles et de nouvelle génération.

Pour les membres de votre équipe DevOps, la microsegmentation est la stratégie de sécurité qu'ils attendaient. La microsegmentation fonctionne rapidement. Cela fonctionne à grande échelle, et certainement à grande vitesse et à grande échelle ! La microsegmentation utilise les mêmes métadonnées et abstractions que celles déjà utilisées pour l'automatisation des applications.

Combiné à un puissant moteur de politiques, cela crée une couche d'automatisation des politiques dynamique qui fait de la segmentation un « service » standard à automatiser dans l'application. La microsegmentation peut être intégrée dans les run-books pour garantir que la segmentation est disponible depuis l'instanciation jusqu'à la suppression.

Parce que la micro-segmentation découple la segmentation à partir de concepts d'infrastructure tels que les adresses IP, il offre l'indépendance de localisation et l'indépendance de l'architecture des applications requises pour une large applicabilité. Lorsque la sécurité doit évoluer aussi rapidement que l'équipe DevOps, la microsegmentation fournit les fonctionnalités nécessaires.

Pour en savoir plus, téléchargez le rapport de recherche de Bishop Fox : Efficacité de la microsegmentation : rapport d'évaluation.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Illumio : le choix pour les entreprises qui souhaitent une microsegmentation prévisible à grande échelle
Segmentation Zero Trust

Illumio : le choix pour les entreprises qui souhaitent une microsegmentation prévisible à grande échelle

Le rapport de sécurité de Forrester New Wave confirme que la gestion des politiques, leur application et l'interface d'Illumio constituent la norme en matière de microsegmentation.

En savoir plus
Cyber Change, Defining Zero Trust et Illumio Endpoint
Segmentation Zero Trust

Cyber Change, Defining Zero Trust et Illumio Endpoint

Google donne la priorité à la cyberrésilience avec l'acquisition de Mandiant.

En savoir plus
Simplifiez les déploiements de SDN et de pare-feu grâce à la microsegmentation basée sur l'hôte
Segmentation Zero Trust

Simplifiez les déploiements de SDN et de pare-feu grâce à la microsegmentation basée sur l'hôte

Le réseau défini par logiciel (SDN) et la segmentation sont souvent abordés simultanément, car ils donnent tous deux la priorité à l'automatisation.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus