.png)
Un regard plus approfondi sur l'intégration d'Illumio avec Palo Alto Networks
Microsegmentation and firewalls help enterprises to reduce their attack surface and limit exposure to ransomware, malware and other threats that move laterally or quickly propagate across East-West traffic flows inside data center and cloud environments. But as we know, today’s enterprises are highly distributed in nature, with users, devices, and workloads increasingly everywhere. To address this, enterprises should look to implement security at both the network as well as the workload.
Workloads are ephemeral and most workloads are assigned a variety of different IP addresses as they are spun up and spun down between network fabrics or have their IP addresses changed for a variety of reasons by a controller that dynamically allocates compute resources. This is especially true of modern microservices architectures hosted in public cloud fabrics, where workloads are constantly dying, resurrecting, and moving around the network dynamically. Using an IP address to statically identify a workload, in any form, is a relic of the past. Therefore, it’s important to map real-time context in order to enforce effective workload security throughout its lifecycle.
En raison de leur nature dynamique, il est souvent difficile pour les entreprises de définir et d'appliquer des politiques de microsegmentation aux charges de travail, où qu'elles se trouvent. Alors que les charges de travail des applications communiquent entre elles principalement par le biais de flux de trafic est-ouest, le trafic entrant et sortant du centre de données ou des environnements en nuage est sécurisé par le biais du trafic nord-sud au niveau du périmètre. Pour réaliser une microsegmentation efficace, vous devez mettre en œuvre des mises à jour de politiques en temps réel pour les charges de travail où qu'elles se déplacent : à travers la structure du réseau vers les pare-feu de nouvelle génération (NGFW), ainsi qu'à travers l'infrastructure hôte où elles peuvent être appliquées par des solutions basées sur des agents qui opèrent au niveau de la charge de travail. Le mappage des politiques de sécurité pour les charges de travail dynamiques entre l'Est-Ouest et le Nord-Sud est complexe et difficile à gérer à grande échelle. Des incohérences peuvent survenir si les changements de politique de sécurité sont gérés en silos par le NGFW et les outils de microsegmentation basés sur des agents.
Automatiser la sécurité dynamique à l'aide de métadonnées
Illumio Core uses metadata in the form of labels to identify workloads, instead of relying on network addressing. The administrator can assign different labels to different workloads, and these labels can then be used to define policy. Using Virtual Enforcement Node (VEN) agents deployed on each workload, Illumio Core keeps track of the changing IP addresses of that workload behind the scenes. Even if a workload changes its IP address ten times across its lifecycle, the label remains consistent. The result is that policy is defined independently of how the underlying network is designed. Packet forwarding is still performed via IP lookups, but this happens behind the scenes. Labels become the construct used to identify different workloads, and since policy is written using these labels, the result is labels that read more like a human sentence, rather than a list of IP’s and ports.
Palo Alto Networks a une philosophie similaire concernant l'utilisation des métadonnées sous forme de balises pour identifier les charges de travail à l'intérieur des groupes d'adresses dynamiques (DAG) dans Panorama ou les NGFW de Palo Alto Networks tels que les séries PA-7000, PA-5200, PA-3200 et les pare-feu virtuels de nouvelle génération de la série VM. Le pare-feu peut créer un groupe d'adresses et le définir comme statique ou dynamique, ce qui permet de définir une politique. Il en résulte une règle de pare-feu qui se lit davantage comme une phrase humaine, définissant qui peut faire quoi à qui, en utilisant les noms des DAG plutôt que des adresses IP spécifiques. Un DAG est en quelque sorte un "seau vide" auquel aucune adresse IP n'est attribuée. S'il s'agit d'un groupe d'adresses dynamiques, cet espace vide est rempli d'adresses IP provenant d'une entité externe.
En utilisant Illumio Core pour la microsegmentation basée sur les agents, les utilisateurs peuvent obtenir un contexte en temps réel de leurs charges de travail poussées directement dans les DAG à l'intérieur de Panorama ou dans les NGFW de Palo Alto Networks. Cette solution permet aux utilisateurs de Palo Alto Networks de s'assurer que leurs politiques basées sur le DAG sont parfaitement à jour avec les derniers changements de politique de charge de travail. Comme Illumio suit les changements d'adresses IP pour toutes les charges de travail, il peut transmettre ces mappages de charges de travail étiquetées à Palo Alto Networks. Ainsi, si Illumio Core mappe dix charges de travail en tant que charges de travail " App " et que le pare-feu de Palo Alto Networks a créé un DAG également appelé " App " et utilise ce DAG dans un ensemble de politiques, ce DAG sera peuplé par Illumio dans le pare-feu. Lorsqu'une charge de travail étiquetée se voit attribuer une adresse IP, ou si elle est libérée ou modifiée, toutes ces modifications peuvent être transmises au pare-feu de Palo Alto Networks.
Le véritable avantage est que les administrateurs peuvent configurer le pare-feu une fois pour toutes, sans avoir à le modifier à chaque changement d'adresse IP. Le pare-feu reste silencieux, même si l'échelle des charges de travail augmente. Si un DAG pour les charges de travail "App" contient 10 adresses IP ou 100 adresses IP, aucun processus de contrôle des changements n'est nécessaire pour modifier le pare-feu au fur et à mesure que l'échelle de déploiement augmente. Illumio met simplement à jour le pare-feu au besoin.
Dans le cadre de l'intégration, les étiquettes et les IP des charges de travail dans Illumio Core sont dynamiquement mappées dans les DAG de Palo Alto Networks. Le résultat ? Les utilisateurs peuvent se dispenser de gérer manuellement les modifications statiques de la politique de sécurité pour les charges de travail dynamiques. Vous pouvez bénéficier de l'automatisation et éliminer l'élément humain, qui peut conduire à des configurations erronées et à des erreurs humaines lors de la mise à jour en temps réel de la sécurité de la charge de travail.
Avec Illumio et Palo Alto Networks, vous n'avez pas besoin de sacrifier la sécurité lorsque votre réseau s'étend ou évolue. Vous bénéficiez d'une mise à jour automatique des DAG dans Panorama et de vos NGFW avec un contexte de charge de travail en temps réel qui peut vous aider à économiser du temps, des efforts et des maux de tête associés à l'orchestration d'une politique de microsegmentation efficace pour vos charges de travail d'application changeantes.
Le flux de travail API entre Illumio et Palo Alto Networks
Dans Illumio Core, les charges de travail se voient attribuer les étiquettes de métadonnées Rôle, Application, Environnement et Emplacement pour fournir un contexte supplémentaire. Par exemple, les charges de travail de niveau web faisant partie d'une application de commande déployée pour le développement dans un centre de données de New York se verraient attribuer le label Role Web, Application label Ordering, Environment label Development et Location label NY_DC.
Dans Palo Alto Networks Panorama, la politique peut être créée à l'aide de groupes d'adresses dynamiques (DAG) définis par des critères de correspondance à l'aide d'étiquettes. Les changements d'adhésion à DAG sont automatiques, ce qui élimine le besoin de gestion des changements et d'approbations !
L'outil d'intégration piloté par API "Illumio-Palo Alto Networks DAG Updater" enregistre et désenregistre les charges de travail dynamiquement pendant tout le cycle de vie, y compris les changements d'adresse IP (par exemple, les migrations de VM dans un centre de données, ou les changements d'ENI sur un hôte dans le Cloud) et les changements de métadonnées (par exemple, une charge de travail réétiquetée en tant que Quarantaine). Au fur et à mesure que les charges de travail sont enregistrées et désenregistrées de manière dynamique, l'appartenance au DAG change et le bon ensemble de politiques est automatiquement appliqué aux charges de travail.
La possibilité de mettre à jour automatiquement l'appartenance à un DAG tout au long du cycle de vie d'une charge de travail permet de mettre en place des politiques centrées sur l'application qui peuvent s'étendre sur plusieurs centres de données et s'adapter facilement à des architectures à plusieurs niveaux.
Voici un exemple simple de segmentation de l'environnement entre les charges de travail du développement et de la production.
Configuration
Les charges de travail sont associées à Illumio PCE et se voient attribuer des métadonnées de rôle, d' application, d' environnement et d'emplacement à l'aide d'étiquettes :
Le DAG est créé à l'aide de critères correspondants Développement - toutes les charges de travail de développement :
Un DAG est créé en utilisant les critères de correspondance Production - toutes les charges de travail de production :
Politique créée à l'aide du DAG pour autoriser le trafic entre les charges de travail de développement et le trafic entre les charges de travail de production:
Intégration API
L'outil d'intégration fait partie de l'outil Workloader d'Illumio, qui peut être téléchargé à partir du portail d'assistance d'Illumio:
Workloader pousse les étiquettes et les adresses IP associées à chaque charge de travail gérée vers le pare-feu de Palo Alto Networks, lorsque vous émettez la commande dag-sync:
Le résultat s'affiche dans l'appartenance au DAG sur le pare-feu de Palo Alto Networks, avec les adresses IP reçues d'Illumio pour les étiquettes associées :
Mise à jour de la composition du DAG Développement :
Et c'est tout ! La meilleure partie de l'intégration est qu'au fur et à mesure que l'environnement augmente et diminue, les charges de travail sont enregistrées et désenregistrées de manière dynamique, modifiant automatiquement l'appartenance au DAG, ce qui déclenche automatiquement les politiques de segmentation de l'environnement !
Amazing, isn’t it? Visit Illumio Support Portal to download the integration tool.
- Read our guide on Illumio + Palo Alto Networks
- Learn more about Palo Alto Networks NextWave Technology
.webp)
.webp)
.webp)