Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Segmentação Zero Trust

Por que a nuvem híbrida não deve ser igual à segurança híbrida

Christer Swartz
,
Diretor de marketing de soluções
May 21, 2020
23 leitura mínima

Atualmente, as estruturas de rede de nuvem híbrida resolvem muitos desafios nas redes corporativas. Eles permitem a criação de uma única arquitetura de rede, que é resumida acima dos ambientes subjacentes de data center. Eles também permitem tolerância a falhas, resiliência, serviços “elásticos” em todos os data centers e uma topologia de rede que não depende de nenhum fornecedor de rede subjacente. Uma empresa pode gerenciar vários ambientes de rede física, mas pode criar uma única malha de rede em todos eles?

Por exemplo, uma empresa pode manter dois data centers (um primário e outro para recuperação de desastres), além de várias implantações de nuvem pública na AWS, Azure e/ou GCP. Cada um desses ambientes de hospedagem implementa suas próprias arquiteturas de rede física subjacentes com suas próprias tecnologias específicas, geralmente com diferentes fornecedores de roteamento e comutação.

Mas com o advento do Rede definida por software (SDN) em todo o setor de redes, a maioria dos fornecedores de redes atualmente pode criar sua própria “nuvem”. Na terminologia de rede, uma nuvem é essencialmente uma rede virtual, em que a topologia da rede é abstraída acima da topologia física, geralmente chamada de “rede sobreposta”. E uma rede de sobreposição é essencialmente uma coleção de túneis, todos gerenciados por um controlador SDN central. Essa nuvem pode criar uma malha de rede única e unificada em todos os ambientes de hospedagem gerenciada.

Um protocolo de tunelamento, como o VXLAN, é usado para criar a topologia de rede de sobreposição, de forma que o caminho do tráfego seja determinado pela forma como esses túneis são implantados e não pela forma como a topologia física subjacente é implantada. Todos os fornecedores de redes usam termos diferentes para descrever sua abordagem baseada em SDN para permitir isso, mas, no final das contas, todos estão basicamente fazendo a mesma coisa: usando túneis para criar uma rede de sobreposição que é automatizada e gerenciada por um controlador central.

Embora muitos desses fornecedores tenham a capacidade de estender redes de sobreposição de data centers locais para fornecedores de nuvem pública, a realidade é que muitas empresas só implantam redes de sobreposição localmente em seus data centers locais.

Em vez de estender sua solução de SDN local para a nuvem pública (por exemplo, estender sua topologia de rede tunelada para AWS ou Azure), muitas empresas criam ambientes gerenciados localmente em suas instâncias de nuvem pública e gerenciam essas redes de forma diferente de como gerenciam suas redes locais de data center. Eles geralmente optam por usar as abordagens de rede já usadas em cada fornecedor de nuvem pública, como VPCs na AWS e VNet no Azure, e depois gerenciam as soluções de SDN em seus datacenters locais de forma diferente.

O resultado é uma implantação de rede de nuvem híbrida que é gerenciada em uma abordagem de “cadeira giratória”. O gerente de rede girará sua cadeira para frente e para trás entre as ferramentas usadas para gerenciar seu data center local e outras ferramentas usadas para gerenciar suas redes de nuvem pública. O termo nuvem híbrida geralmente implica uma arquitetura única e unificada, que geralmente não é precisa quando se trata de operações.

Protegendo seu ambiente híbrido

Essa abordagem fragmentada do gerenciamento de rede é especialmente verdadeira para a segurança em uma nuvem híbrida. Assim como as ferramentas de rede gerenciadas localmente são usadas em cada ambiente em data centers locais e nuvens públicas, o mesmo vale para soluções de segurança. A maioria dos fornecedores de rede SDN tem suas próprias ferramentas de segurança básicas e integradas que podem ser usadas para permitir algum nível de aplicação de políticas em seu ambiente gerenciado localmente. E todos os principais fornecedores de nuvem pública têm suas próprias soluções de segurança, permitindo também níveis básicos de aplicação de políticas.

Mas, infelizmente, essas ferramentas de segurança estão isoladas na arquitetura geral. Cada solução de segurança não funciona bem na sandbox com outras, e correlacionar uma violação de segurança entre todas elas é uma tarefa complicada que causa grandes atrasos na resolução.

Além disso, se as cargas de trabalho forem migradas ao vivo entre ambientes, como entre um data center local e uma instância de nuvem pública, a aplicação da política geralmente não seguirá essa carga de trabalho até o destino. Isso resulta na necessidade de abordagens manuais para, de alguma forma, transferir políticas entre as ferramentas de segurança em cada ambiente ou na dependência de uma solução SIEM para fornecer informações de todos os ambientes, o que exige muito trabalho inicial de criação de scripts.

Devido à complexidade operacional, essas etapas simplesmente não são realizadas com frequência, resultando em lacunas significativas na segurança e na visibilidade da carga de trabalho na nuvem híbrida.

Em vez de confiar nas ferramentas de segurança nativas e isoladas em cada ambiente de rede em uma nuvem híbrida para reforçar a segurança de suas cargas de trabalho, por que não simplesmente aplicar segurança e visibilidade diretamente na carga de trabalho, sem usar as ferramentas de rede subjacentes?

Da mesma forma que as redes sobrepostas criam topologias que são resumidas acima das dependências dos roteadores e switches subjacentes, por que não aplicar a mesma abordagem à segurança? A segurança também deve ser abstraída — virtualizada — das dependências subjacentes da malha de rede e ativada diretamente na carga de trabalho, independentemente de onde essa carga de trabalho esteja hospedada ou para onde ela migre ao vivo durante seu ciclo de vida. Da mesma forma que as redes de sobreposição permitem uma abordagem consistente de rede em uma nuvem híbrida, a segurança deve ser projetada da mesma forma.

Como a microssegmentação pode ajudar

Na Illumio, aplicamos segurança (microssegmentação) diretamente em cada carga de trabalho em toda a nuvem híbrida. Como a política de microssegmentação deve ser aplicada o mais próximo possível da entidade que você está tentando proteger, implantamos um agente leve em cada carga de trabalho, virtual ou bare-metal:

  • Esse agente não está alinhado a nenhum tráfego. Ele simplesmente reside em segundo plano e monitora o comportamento do aplicativo diretamente na carga de trabalho.
  • As informações são então enviadas de volta para o Policy Compute Engine (PCE) para permitir uma visibilidade clara do comportamento entre todas as cargas de trabalho, independentemente de onde elas estejam hospedadas ou de quais ambientes de rede elas migrem ao vivo. Essencialmente, virtualizamos a segurança, abstraída das dependências de rede subjacentes.
  • O PCE central usa rótulos simples para definir o que precisa ser segmentado, já que a definição de políticas em relação a endereços IP não é escalável em arquiteturas em que as cargas de trabalho migram dinamicamente e os endereços IP mudam.


Embora o PCE crie uma arquitetura de segurança virtualizada, ele também pode “alcançar” a camada de rede e configurar listas de acesso a switches de hardware em um data center local, se necessário. Portanto, embora a segurança seja virtualizada e abstraída acima da rede, a Illumio pode aplicar tanto a carga de trabalho quanto segurança de rede a partir de um modelo operacional de política central.

Se você definir os recursos básicos e essenciais em qualquer data center ou nuvem híbrida como computação, armazenamento e rede, todos esses três recursos agora são normalmente virtualizados e abstraídos acima dos recursos subjacentes.

O quarto recurso essencial do data center é a segurança e, da mesma forma, deve ser virtualizado e depender de recursos subjacentes. A nuvem híbrida não deve ser igual à segurança híbrida. A segurança deve abranger toda a malha de nuvem da rede, e a segurança da carga de trabalho deve ser aplicada diretamente na carga de trabalho, como uma “malha” de segurança unificada em todas as malhas de rede. A virtualização da segurança libera os arquitetos de rede subjacentes para se concentrarem nas prioridades da rede e coloca a segurança da carga de trabalho onde ela pertence: diretamente na carga de trabalho.

Saiba mais sobre como essa abordagem facilita a gerencie a segurança em seus ambientes de nuvem híbrida.

Tópicos relacionados

Segurança na nuvem

Artigos relacionados

Segurança de contêineres: um guia essencial para proteger o Kubernetes
Segmentação Zero Trust

Segurança de contêineres: um guia essencial para proteger o Kubernetes

Descubra por que a segurança de contêineres é crucial em um mundo onde as violações são inevitáveis e saiba como a Illumio pode proteger seus ambientes Kubernetes contra ameaças modernas.

Leia mais
Combine ZTNA e ZTS para obter Zero Trust de ponta a ponta
Segmentação Zero Trust

Combine ZTNA e ZTS para obter Zero Trust de ponta a ponta

Saiba por que sua rede tem falhas de segurança se você não estiver emparelhando ZTNA com ZTS.

Leia mais
Quais definições de Zero Trust erram — e como corrigi-las
Segmentação Zero Trust

Quais definições de Zero Trust erram — e como corrigi-las

Obtenha a definição correta de Zero Trust aprendendo por que o Zero Trust é um destino, mas o trabalho para alcançar o Zero Trust é uma jornada.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais