.png)
Que faut-il pour automatiser la microsegmentation ?
On suppose souvent que si un produit possède une API, il sera facile à automatiser. Mais comme beaucoup de choses dans la vie, ce n'est pas si simple. Les API sont normalement écrites par des développeurs pour des développeurs, et il peut être difficile pour les non-codeurs de savoir comment travailler avec les équipes étendues qui évaluent une solution de microsegmentation. Cet article vous propose cinq domaines à explorer avec les fournisseurs de microsegmentation que vous envisagez d'utiliser. Faites pression sur vos fournisseurs sur ces points : vous découvrirez leurs niveaux de maturité relatifs et leur niveau de préparation aux API, et vous serez mieux placé pour prendre une décision en matière de qualité.
Exhaustivité et cohérence du schéma
Toute solution de microsegmentation destinée aux entreprises nécessite la collaboration de nombreux ingénieurs logiciels. Parfois, les API ne sont qu'un ensemble de différents éléments que les ingénieurs ont créés pour leur propre usage. Mais les meilleures API ont été codées pour être un produit à part entière. La structure globale de l'API a fait l'objet d'une grande attention et chaque appel suit des conventions cohérentes. Dans les meilleures solutions, chaque interface graphique utilise exactement la même API que celle que votre équipe DevOps appellerait. Dans ce cas, vous savez que les chemins d'API sont complets et bien testés, car le fournisseur utilise les mêmes API que vous. Idéalement, vous souhaitez une solution de micro-segmentation qui expose toutes ses fonctionnalités via une API. Au début d'un projet, vous ne savez peut-être pas exactement ce que vous souhaitez automatiser, mais si le schéma est complet et cohérent, vous ne serez pas limité à l'avenir.
Documentation et exemple de code
Tout fournisseur de microsegmentation réputé devrait être en mesure de vous fournir le schéma de l'API et une documentation complète. Même si cela semble élémentaire, vous serez surpris de l'ampleur des efforts déployés pour atteindre un ensemble de résultats aussi critiques. Avez-vous reçu un schéma d'API brut au format JSON ? Quelle documentation existe pour l'API dans son ensemble et pour chaque appel ? Le modèle d'objet et les fonctions de base sont-ils bien expliqués ? Recherchez un exemple de code. Est-il clair comment utiliser les requêtes POSTMAN simples ? Si l'API utilise le format JSON, le formatage est-il clair et cohérent entre les différents appels ? Choisissez un flux de travail qui semble évident dans l'interface graphique. Demandez à votre fournisseur de quels appels vous auriez besoin pour automatiser ce flux de travail particulier, puis demandez-lui de vous l'expliquer. Ce flux de travail a-t-il un sens à la lumière de la documentation et des exemples de code disponibles ? Vous vous attendez déjà à ce qu'ils vous présentent l'interface graphique, mais si vous envisagez d'automatiser votre solution de microsegmentation, demandez à voir également un flux de travail basé sur une API.
RBAC
Lorsqu'un produit propose des interfaces d'automatisation, le contrôle d'accès basé sur les rôles (RBAC) devient essentiel à l'intégrité du système. Si l'API permet de contrôler les politiques et les objets de politique, l'interface programmatique doit être auditable, tout comme les actions de l'administrateur effectuées depuis une interface graphique ou une interface de ligne de commande. Idéalement, le RBAC suivra de près le modèle de politique de microsegmentation, en permettant de lier les autorisations à chaque étiquette ou balise utilisée pour élaborer une politique. Les meilleures API seront dotées de clés d'API limitées dans le temps et limitées à l'utilisation et permettront aux administrateurs de contrôler minutieusement la manière dont le code externe interagit avec le moteur de politique de microsegmentation. Dans la plupart des cas, il est recommandé que les scripts d'API utilisent des clés à usage unique, limitées exactement au travail requis. Il s'agit du Zero Trust appliqué aux interfaces d'API. Assurez-vous que les solutions que vous envisagez disposent de contrôles RBAC précis, complets et flexibles afin de pouvoir contrôler entièrement l'accès programmatique à votre politique de microsegmentation.
Manipulation d'objets en masse
Souvent, la motivation sous-jacente des projets d'API est d'automatiser les tâches répétitives. Un moyen simple de comprendre l'expérience d'un fournisseur en matière d'automatisation de la microsegmentation consiste à poser des questions sur les API en masse. C'est bien beau d'avoir un appel d'API qui exécute une seule tâche. Mais que se passe-t-il si vous devez effectuer une opération sur 500 ou 5 000 objets ? Et si vous deviez charger un volume important de données ? La formulation de 500 ou 500 requêtes est inutile et inefficace. Les meilleurs fournisseurs disposeront de fonctionnalités d'API groupées distinctes pour gérer l'ingestion de données et les demandes de manipulation d'objets à grande échelle. En règle générale, ces fonctionnalités fonctionneront beaucoup plus rapidement que les demandes répétées portant sur un seul objet. Plus votre équipe DevOps est avancée, plus elle appréciera une API conçue pour évoluer. La gestion de dizaines de milliers de conteneurs, de machines virtuelles ou d'AMI nécessite des flux de travail d'objets en vrac appropriés, et vos fournisseurs potentiels de microsegmentation devraient être en mesure de déterminer quels flux de travail existent et pourquoi ils sont importants.
Évolutivité/tests
Les API offrent un aperçu des véritables capacités de performance d'une solution de microsegmentation. Il est important de créer une interface graphique réactive, mais les humains mettent relativement longtemps à effectuer des actions par rapport à un script. Si vous envisagez d'automatiser la microsegmentation, l'automatisation exigera bien plus que ce qui sera testé dans le cadre d'une démonstration de faisabilité classique en entreprise. Renseignez-vous auprès de vos fournisseurs sur leurs déploiements entièrement automatisés et terminés. Les meilleurs fournisseurs proposeront de multiples déploiements de dizaines de milliers à des centaines de milliers de systèmes entièrement automatisés chez des clients uniques. C'est la preuve dont tu as besoin. Si certains orchestrent 40 000 charges de travail dans un environnement entièrement automatisé et sans état, vous savez que c'est un fournisseur qui a réalisé un travail d'optimisation et de performance sérieux. Renseignez-vous sur l'assurance qualité et les tests qui ont été effectués sur l'API et sur les performances de calcul des politiques. Les entreprises à très grande échelle disposent souvent de centaines de milliers d'objets de politique et les meilleurs fournisseurs testent bien au-delà de ces niveaux. Selon un vieux dicton, rien ne vaut l'exécution de code, et cela s'applique certainement à l'évolutivité des API. Demandez des preuves. Il existe des déploiements à l'échelle de l'entreprise, entièrement pilotés par API, qui s'appuient sur des années de succès. Attendez-vous à une API mature, évolutive et entièrement testée de la part de vos fournisseurs de microsegmentation.
Les API regorgent de nombreux détails techniques mieux compris par les programmeurs. Mais les caractéristiques importantes peuvent être comprises par n'importe quel membre de la hiérarchie décisionnelle. Si vous envisagez d'automatiser vos politiques de microsegmentation, il est judicieux d'étudier ces fonctionnalités d'API avec le même soin que l'équipe d'évaluation portera à l'interface graphique. Les flux de travail des API seront les plus exigeants du point de vue des performances. Assurez-vous de sélectionner un produit dont le schéma est bien conçu et bien documenté, avec une couverture complète des fonctionnalités du produit. Surveillez les signes de maturité en matière de RBAC, de gestion d'objets en masse et de preuves d'évolutivité démontrées dans les déploiements d'autres clients. L'automatisation de la microsegmentation est possible, et votre entreprise peut passer avec succès à un avenir de plus en plus automatisé en toute confiance si vous sélectionnez la bonne solution de microsegmentation pilotée par API.
Pour consulter le guide de l'API d'Illumio, cliquez ici.
