Nano-segmentação⟶: Por que toda essa confusão?

Na conferência RSA da semana passada, a Illumio apresentou a nanossegmentação, nossa inovação mais recente na proteção de aplicativos de várias camadas executados em data centers e nuvens. A Illumio Adaptive Security Platform (ASP)^TM agora estende a segmentação de aplicativos da granularidade de cargas de trabalho individuais para processos executados dentro das cargas de trabalho.

Os participantes da RSA que assistiram às apresentações da Illumio puderam constatar o poder da nanosegmentação para reduzir drasticamente a exposição da empresa a ameaças e limitar o "raio de impacto" dos ataques. Demonstramos como a nanosegmentação pode isolar um servidor comprometido usando uma simples operação de arrastar e soltar — uma inovação inédita no setor. A segmentação do centro de dados para separar aplicações (desenvolvimento, teste, produção, etc.) ou para isolar aplicações (por exemplo, para conformidade com o PCI DSS ) é necessária para lidar com a segurança em ambientes de computação dinâmicos distribuídos entre centros de dados e nuvens. Mas nem toda segmentação é igual. Deixe-me explicar.

Nem toda segmentação é criada da mesma forma.

A maioria de nós está familiarizada com o termo “microssegmentação”, que foi introduzido pelos fornecedores de SDN há alguns anos. A microssegmentação foi promovida como uma forma de as empresas isolarem aplicativos executados em ambientes virtuais. No entanto, as soluções atuais para microssegmentação vêm com várias restrições: elas estão vinculadas ao hipervisor, às construções de rede (VLANs, sub-redes, zonas de segurança etc.) ou a outro hardware (switches, roteadores etc.). A maioria das soluções não aborda a segmentação de aplicativos na nuvem ou aplicativos que incluem servidores bare-metal. O objetivo da segurança por meio da segmentação de aplicativos é bem intencionado, mas as soluções existentes são insuficientes.

Entre na nanossegmentação  

O primeiro passo para alcançar a segmentação mais granular para aplicações de data center é reduzir a superfície de ataque a unidades individuais de computação (qualquer máquina virtual ou servidor físico) em data centers e nuvens. O Illumio ASP faz isso programando dinamicamente regras de segurança precisas de entrada e saída em cada carga de trabalho. Isso permite que a plataforma crie um perímetro adaptativo em torno de cada instância de computação (em qualquer centro de dados ou nuvem), criando efetivamente um segmento único. Quando combinado com o modelo de política dinâmica e com lista de permissões do Illumio ASP, ele permite que os administradores especifiquem completamente as interações de carga de trabalho permitidas para aplicativos sem qualquer dependência da rede. Com o lançamento do produto mais recente, a Illumio deu um passo além, permitindo a segmentação de múltiplos aplicativos até processos em um único host. Por exemplo, duas instâncias do processo Apache em uma única carga de trabalho podem ser segmentadas em duas aplicações diferentes.

O que há com o nome?

Nós nos entregamos a uma pequena vantagem de marketing com um nome como nanossegmentação? Longe disso, é deliberado e apoiado por pontos de prova. A nanosegmentação, como o nome indica, permite que as empresas segmentem aplicativos da forma mais granular possível. Queríamos que as empresas soubessem que existe uma maneira de “comer seu bolo e comê-lo também”: elas podem segmentar aplicativos em data centers e nuvens, mantendo a segurança intacta. Mais importante ainda, o recurso permite que a segmentação de aplicativos seja igualmente eficaz em qualquer ambiente de computação.

E mais uma coisa: o termo “Nano” dá credibilidade ao princípio da Illumio de segurança independente de rede. É um acrônimo para “Never Again Network-Oriented”.