Simplifique as implantações de SDN e firewall com microssegmentação baseada em host

Rede definida por software (SDN) e a segmentação geralmente são discutidas simultaneamente porque ambas priorizam a automação. O SDN automatiza muitas tarefas envolvidas na rede e, como a maioria das violações de segurança modernas é automatizada, as ferramentas de segmentação devem seguir um exemplo semelhante. Além disso, os limites de confiança são tradicionalmente entendidos como residindo na camada de rede de qualquer arquitetura de nuvem. Como os controladores SDN permitem que arquiteturas de rede de grande escala sejam gerenciadas e orquestradas centralmente, faz sentido adicionar segmentação a esses controladores para uma melhor orquestração.

Dito isso, você deve ter em mente que o “N” em SDN significa rede. Portanto, qualquer segmentação implantada por qualquer controlador SDN será implementada para se concentrar nos desafios da rede, não nos desafios do host. Os controladores SDN veem os hosts da maneira tradicional, como nós que se conectam à malha da rede, e os aplicativos executados nesses hosts são gerenciados usando ferramentas centradas no host, não ferramentas centradas na rede. As ferramentas de rede raramente gerenciam tarefas específicas de cada host ou aplicativo. Os controladores criam segmentos de rede para impor decisões de encaminhamento de tráfego na malha de rede, e essas decisões são tomadas de acordo com as métricas mais relevantes para roteadores e switches, incluindo carga de rede, latência, falhas de link e custos de protocolo de roteamento dinâmico. Essas métricas raramente são relevantes para os requisitos de segmentação específicos do host.

Segmentação de rede e microssegmentação baseada em host

Ao definir limites de confiança, decidir onde criar segmentos relevantes resultará em duas conversas paralelas: uma entre a equipe que gerencia as cargas de trabalho do host e outra entre a equipe que gerencia a rede. Ambas as equipes usarão o mesmo termo — “segmentação” ou “microssegmentação” — mas significarão coisas diferentes. Se as duas equipes usarem suas próprias ferramentas para implantar e gerenciar cada tipo de segmento, em vez de trabalharem juntas, o resultado será uma abordagem isolada que levará a limites operacionais à medida que a escala da arquitetura crescer.

Por exemplo, sua equipe de rede pode ter implantado o Cisco ACI como sua solução SDN de data center. A ACI usa seus próprios mecanismos para criar segmentos, como domínios de ponte e grupos de terminais (EPGs). As cargas de trabalho são implantadas nos EPG e podem ser divididas em “micro EPGs” menores para criar segmentos de rede mais granulares.

No entanto, esses ainda são conceitos de segmentação centrados na rede. Se você tiver dez hosts em seu data center, por exemplo, poderá simplesmente criar dez segmentos de EPG no Cisco ACI para impor um limite de confiança em cada host. Mas se você tiver 100 ou 1.000 cargas de trabalho, não é operacionalmente realista criar 100 ou 1.000 segmentos de EPG para cada host. Usar o controlador SDN para criar um número igual de segmentos de rede e hosts simplesmente não escalará.

As soluções SDN criarão seus próprios segmentos para abordar segmentação de rede prioridades, mas para segmentar hosts individuais, você deve considerar uma abordagem baseada em host.

Redes SDN e de sobreposição

Um dos benefícios do SDN é o fato de que as topologias de rede não dependem mais da topologia física dos roteadores e switches. Protocolos de tunelamento, como VXLAN ou GENEVE, são usados para virtualizar a rede. Como a rede agora pode ser virtualizada da mesma forma que os recursos de computação e armazenamento do data center, esses métodos de tunelamento são usados para permitir que caminhos e links de rede sejam definidos de forma programática, permitindo que o controlador reconfigure rapidamente as topologias de rede conforme necessário, sem a necessidade de alterações na infraestrutura física. Isso permite que a malha de rede em um data center local seja virtualizada, da mesma forma que as redes são virtualizadas em malhas de rede de nuvem pública.

Como as redes de sobreposição, como a VXLAN, têm um grande número de IDs exclusivos — mais de 16 milhões — é tentador querer usar esses IDs para criar arquiteturas de microssegmentação que permitam ao controlador SDN alocar segmentos para cada host na rede. Mas os controladores SDN não encerram segmentos de VXLAN em hosts individuais. Todos esses IDs exclusivos são usados pelos controladores SDN para resolver desafios de rede, como encapsular pacotes de camada 2 em quadros de camada 3. Para permitir a microssegmentação em cada host, o mecanismo usado precisa ser ativado no próprio host, e não por qualquer controlador SDN externo implantado na rede e focado nas tarefas de rede.

Como as ferramentas em nível de host podem ajudar a SDN?

Um desafio para a maioria das soluções de SDN é a visibilidade dos fluxos de aplicativos. Ser capaz de determinar o comportamento do aplicativo do ponto de vista do aplicativo é um desafio para as ferramentas de rede. Os controladores SDN têm uma visibilidade profunda das topologias de rede, segmentos de rede, endereços IP e métricas de tráfego, mas obter uma visão clara do comportamento e dos recursos de rede necessários entre seus servidores SQL e seus servidores web, por exemplo, geralmente não é fácil com os controladores SDN. Conhecer os requisitos dinâmicos entre aplicativos em uma rede é necessário para projetar uma arquitetura de nuvem escalável.

Ao implantar soluções baseadas em host, como o Illumio, em um data center que usa uma arquitetura SDN, você deve procurar recursos de mapeamento, como nossos mapa de dependência de aplicativos, para auxiliar no design de recursos de rede que atendam aos requisitos específicos do host. O Illumio coexiste com qualquer solução SDN e, embora o mapa de dependência do aplicativo seja usado para definir segmentos específicos do host, esse mesmo mapa permite uma visão clara dos requisitos do aplicativo quando a rede é implantada e gerenciada pelo controlador SDN.

A microssegmentação baseada em host e a segmentação em nível de rede podem e devem coexistir, pois cada uma atende a um requisito diferente. Ao implementar uma abordagem baseada em host, você tem os recursos de visibilidade em nível de aplicativo que permitem que as soluções SDN garantam recursos de rede em qualquer arquitetura de nuvem.

Para obter mais informações sobre a abordagem da Illumio à microssegmentação baseada em host, visite https://www.illumio.com/solutions/micro-segmentation