Blogue
/
Segmentation Zero Trust

C'est un oiseau, c'est un avion, c'est... un superamas !

Éditorial Illumio
,
November 4, 2018
23 min. de lecture

Les grandes entreprises disposent souvent de centres de données situés dans différentes régions géographiques. Les centres de données distribués permettent à ces organisations de localiser leurs applications à proximité de leurs clients et de leurs employés, de se conformer aux exigences de résidence des données et d'assurer la reprise après sinistre de leurs applications métier critiques. L'adoption du cloud public permet aux entreprises de toutes tailles de répartir encore plus facilement leurs charges de travail dans plusieurs régions. Par exemple, AWS couvre désormais 18 régions géographiques à travers le monde.

Nous sommes ravis de présenter PCE Supercluster pour fournir une visibilité totale, une gestion centralisée et fédérée et une application cohérente des politiques de microsegmentation sur l'ensemble des infrastructures multirégionales, à très grande échelle. Cet article explore les principales exigences pour sécuriser une infrastructure multirégionale et explique pourquoi nous avons conçu PCE Supercluster avec une architecture fédérée.

Exigences relatives à une solution de microsegmentation multirégionale

Si vous disposez d'une infrastructure distribuée dans le monde entier, une solution de microsegmentation doit répondre à plusieurs exigences clés. Il est important de prendre en compte ces exigences dès le départ, même si votre déploiement initial de microsegmentation est limité à un seul emplacement.

  • Résilience: La solution de microsegmentation doit continuer à fonctionner et à sécuriser l'infrastructure en cas de panne du centre de données ou de panne du réseau entre les régions.
  • Évolutivité: La solution de microsegmentation doit évoluer en fonction du nombre de charges de travail dans chaque centre de données et du nombre total de charges de travail dans le monde.
  • Gérabilité: La solution de microsegmentation doit être gérable par les équipes de sécurité et d'application mondiales et régionales.
  • Efficacité de bande passante: La bande passante réseau entre les régions est coûteuse, la solution ne doit donc pas consommer de grandes quantités de bande passante.

Architectures pour une solution de microsegmentation multirégionale

ceux d'Illumio Moteur de calcul des politiques (PCE) est un contrôleur logiciel chargé d'orchestrer la politique de microsegmentation entre les charges de travail et les autres points d'application de l'infrastructure. Le PCE collecte également des données de télémétrie provenant de l'infrastructure, telles que des informations sur le flux réseau et des informations sur les processus exécutés sur les charges de travail.

Il existe plusieurs approches possibles pour concevoir le PCE, ou toute autre solution de microsegmentation logicielle, afin de sécuriser les charges de travail situées dans différentes régions géographiques.

Voici une ventilation des différentes approches d'architecture et de la manière dont elles répondent aux exigences décrites ci-dessus.

Architecture centralisée — le responsable du traitement réside en un seul endroit.

  • Résilience : une architecture centralisée crée un point de défaillance unique et offre une résilience limitée.
  • Évolutivité : une architecture centralisée peut évoluer à la fois verticalement et horizontalement pour prendre en charge le nombre total de charges de travail dans le monde entier.
  • Facilité de gestion : une architecture centralisée permet aux équipes chargées de la sécurité et des applications à l'échelle mondiale de configurer et d'appliquer facilement une politique de microsegmentation à l'ensemble de l'infrastructure. Le contrôle d'accès basé sur les rôles (RBAC) peut être utilisé pour fournir aux équipes régionales un accès limité leur permettant de consulter et de modifier la politique uniquement pour les applications de leur région.
  • Efficacité de la bande passante : une architecture centralisée utilise davantage de bande passante car toutes les données de flux réseau et autres données de télémétrie doivent être renvoyées au contrôleur. La bande passante augmente en fonction du nombre de charges de travail par région et du nombre de connexions entre ces charges de travail.

Architecture distribuée — place un contrôleur dans chaque centre de données et les contrôleurs sont totalement indépendants les uns des autres.

  • Résilience : une architecture distribuée est hautement résiliente. La défaillance d'un contrôleur dans une région n'affecte pas les autres régions.
  • Évolutivité : une architecture distribuée peut évoluer en fonction du nombre de charges de travail dans chaque centre de données et du nombre total de charges de travail dans le monde entier en déployant davantage de contrôleurs.
  • Facilité de gestion : une architecture distribuée permet aux équipes régionales de créer des politiques locales, mais cette architecture pose des défis pour l'application des politiques mondiales, car celles-ci doivent être répliquées manuellement dans chaque région. De plus, il n'est pas possible de visualiser toutes les applications en un seul endroit et de voir les dépendances entre les régions.
  • Efficacité de la bande passante : une architecture distribuée est plus efficace en termes de bande passante car toutes les données restent locales à la région.


Architecture fédérée — place un contrôleur dans chaque centre de données et les contrôleurs communiquent entre eux pour partager des informations sur la politique de sécurité de l'organisation et les charges de travail qui sont sécurisées.

  • Résilience : une architecture fédérée est hautement résiliente. La défaillance d'un contrôleur dans une région n'affecte pas les autres régions.
  • Évolutivité : une architecture fédérée peut évoluer en fonction du nombre de charges de travail dans chaque centre de données et du nombre total de charges de travail dans le monde entier en déployant davantage de contrôleurs.
  • Facilité de gestion : une architecture fédérée permet aux équipes chargées de la sécurité et des applications à l'échelle mondiale de configurer et d'appliquer facilement une politique de microsegmentation à l'ensemble de l'infrastructure. Le RBAC peut être utilisé pour fournir aux équipes régionales un accès limité leur permettant de consulter et de modifier la politique uniquement pour les applications de leur région.
  • Efficacité de la bande passante : une architecture fédérée est plus efficace en termes de bande passante à condition que seule une quantité minimale d'informations soit partagée entre les contrôleurs pour que le système fonctionne.

Le tableau suivant résume les trois architectures permettant de microsegmenter l'infrastructure multirégionale :

Centralisé/Distribué/Fédéré Résilience -++ Évolutivité +++ Gérabilité +-+ Efficacité de bande passante -++

Présentation de PCE Supercluster : une microsegmentation multirégionale bien réalisée

Compte tenu de ses avantages évidents, PCE Supercluster a été conçu avec une architecture fédérée. Dans un Supercluster, la politique de sécurité globale est gérée par un PCE leader désigné. Les fonctionnalités RBAC robustes d'Illumio sont prises en charge sur Supercluster, permettant aux équipes mondiales et régionales d'accéder au PCE leader selon le principe du moindre privilège. La politique est ensuite automatiquement répliquée vers les autres PCE qui traduisent les politiques basées sur des étiquettes en instructions utilisées pour programmer des pare-feux hôtes sur les charges de travail et d'autres points d'application de l'infrastructure. Cette conception garantit que la politique mondiale sera appliquée en permanence, même si une région est isolée du reste du Supercluster.

Illumio a reconnu très tôt que la visibilité est essentielle à la microsegmentation, car vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir. Supercluster fournit une carte complète des dépendances des applications en temps réel (Éclairage) sur le leader pour visualiser les dépendances entre les applications au sein et entre les régions ainsi que la couverture des politiques. La visibilité en temps réel des systèmes à forte valeur ajoutée et des connexions et flux autorisés au sein de ces applications est une première étape essentielle pour concevoir les micropérimètres de l'organisation et créer des politiques de microsegmentation qui n'interromperont pas les applications.

Supercluster ajoute un niveau d'échelle pour soutenir les plus grandes organisations du monde.

Un seul PCE peut déjà être déployé en tant que cluster multi-nœuds pour prendre en charge des dizaines de milliers de charges de travail. En permettant de réunir plusieurs PCE, Supercluster ajoute un niveau d'échelle supplémentaire pour soutenir les plus grandes organisations du monde.

Nous avons consacré beaucoup d'énergie à la conception de Supercluster afin de minimiser la consommation de bande passante entre les PCE. Seule la quantité minimale de données de charge de travail nécessaire pour calculer la politique est répliquée entre les régions. En outre, les données de flux réseau sont prétraitées par région par chaque PCE et seules les informations minimales nécessaires pour dessiner la carte de dépendance des applications en temps réel sont répliquées sur le réseau.

Avec PCE Supercluster, les organisations peuvent :

  • Bénéficiez d'une visibilité en temps réel sur leur environnement de centre de données distribué dans le monde entier.
  • Concevez en toute confiance des micropérimètres et créez des politiques de microsegmentation qui soutiennent le trafic interrégional et appliquent la microsegmentation à grande échelle, sans interrompre les applications.
  • Atteindre leurs objectifs de microsegmentation tout en optimisant l'efficacité de la bande passante du réseau et en favorisant la reprise après sinistre et la haute disponibilité.

Sujets connexes

Microsegmentation

Articles connexes

5 conseils pour simplifier l'étiquetage des charges de travail pour la microsegmentation
Segmentation Zero Trust

5 conseils pour simplifier l'étiquetage des charges de travail pour la microsegmentation

Voici cinq conseils pour simplifier le processus d'étiquetage de votre charge de travail.

En savoir plus
Gartner Hype Cycle 2022 en matière de charge de travail et de sécurité des réseaux : pourquoi la microsegmentation est une technologie très avantageuse
Segmentation Zero Trust

Gartner Hype Cycle 2022 en matière de charge de travail et de sécurité des réseaux : pourquoi la microsegmentation est une technologie très avantageuse

Découvrez pourquoi Gartner a fait passer la microsegmentation, également appelée segmentation Zero Trust (ZTS), d'une technologie « modérée » à une technologie à bénéfices « élevés ».

En savoir plus
Le retour sur investissement de la cybersécurité, le Zero Trust pour les infrastructures critiques et le nouveau plan de mise en œuvre américain
Segmentation Zero Trust

Le retour sur investissement de la cybersécurité, le Zero Trust pour les infrastructures critiques et le nouveau plan de mise en œuvre américain

Consultez un résumé de la couverture médiatique d'Illumio en juillet 2023.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus