Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Segmentação Zero Trust

Não deixe sua rede ser um obstáculo para a segmentação da carga de trabalho

Christer Swartz
,
Diretor de marketing de soluções
May 13, 2020
23 leitura mínima

A segurança e a rede sempre foram uma fonte de prioridades conflitantes. Ao projetar um data center tradicional ou uma malha de nuvem híbrida, a prioridade da arquitetura de rede é a entrega confiável e resiliente de tráfego. A rede é, talvez, o recurso mais crítico em qualquer arquitetura de data center ou nuvem. Finalmente, cargas de trabalho, clientes e bancos de dados não podem se comunicar entre si, a menos que haja uma rede entre eles. E todas as redes operam tomando decisões de encaminhamento com base na análise dos cabeçalhos dos pacotes e em várias outras métricas. Além disso, roteadores e switches trocam informações sobre os conceitos da camada 2 e da camada 3, ambos amplamente independentes dos detalhes específicos do aplicativo contidos na carga útil de dados dos pacotes. As redes se concentram principalmente em mover o tráfego de forma confiável e rápida, em vez de nos dados do aplicativo contidos nesse tráfego.

Então, quando se trata de proteger esses aplicativos — e suas cargas de trabalho — por que ainda consideramos abordagens vinculadas à rede? Vamos explorar como desenvolver sua abordagem para que a rede não seja mais um obstáculo para a entrega ágil de cargas de trabalho, automação e segurança.

Funcionamento interno das cargas de trabalho modernas

As cargas de trabalho, que se comunicam em qualquer rede, são projetadas para fazer isso com base nas prioridades específicas do aplicativo. O que uma carga de trabalho está fazendo é mais importante do que a aparência da malha de rede subjacente. Os clientes se comunicam com cargas de trabalho e as cargas de trabalho se comunicam com bancos de dados com base em conceitos que geralmente não dependem dos detalhes contidos nos cabeçalhos dos pacotes de rede.

Diferentemente das cargas de trabalho tradicionais de bare-metal, as cargas de trabalho modernas são em grande parte abstraídas acima dos recursos subjacentes da rede ou do servidor. Suponha que a presença de uma carga de trabalho em qualquer recurso subjacente seja transitória e possa ser migrada dinamicamente ao vivo entre hosts, data centers e nuvens. Essas migrações geralmente ocorrem dinamicamente, sem orientação humana manual. Devido a essa abstração das cargas de trabalho acima dos recursos subjacentes, não é mais realista considerar o endereço IP de uma carga de trabalho como uma forma útil de identidade durante a vida útil dessa carga de trabalho. Uma carga de trabalho pode ter muitos endereços IP diferentes ao longo de seu ciclo de vida, e isso afeta diretamente da mesma forma que os limites de segurança são definidos nas redes modernas.

Segmentação de rede e firewalls tradicionais

As mudanças nas redes são tradicionalmente lentas, por design, devido à natureza crítica das estruturas de rede. Muitas redes de data centers são em grande parte planas e muitas estruturas de rede de nuvem pública contêm apenas níveis grosseiros de segmentação. Quando as redes são segmentadas em qualquer ambiente, isso geralmente é feito para prioridades específicas da rede, como criar isolamento em amplas categorias de recursos, como uma DMZ, um segmento de WAN, um segmento de campus ou os segmentos tradicionais de Web/App/Dev. Outros motivos para segmentar uma rede são otimizar o desempenho da rede, aumentar a taxa de transferência, implementar redundância de caminhos ou tornar tarefas como resumo de rotas, Spanning Tree e ECMP mais eficientes.

Tradicionalmente, os segmentos de rede são implementados por meio da criação de VLANs e sub-redes, seja em redes “subjacentes” legadas ou em redes “sobrepostas”, implementadas usando controladores SDN e tunelamento, como VXLAN. Independentemente da topologia ser subjacente ou sobreposta, todos esses segmentos de rede terminam em roteadores ou switches, sejam eles de hardware ou virtuais. E a implementação da segurança nesses segmentos geralmente é feita usando firewalls de rede.

Os firewalls tradicionalmente veem qualquer segmento como um grupo de intervalos de IP junto com as portas TCP/UDP associadas ou como zonas, que são uma coleção de segmentos, junto com as portas a serem bloqueadas ou permitidas entre os intervalos de IP relevantes. Os firewalls de rede não implementam segurança com base no conteúdo específico do aplicativo de carregamento útil de dados de um pacote. Os firewalls consideram o endereço IP e a porta de destino ou origem de um pacote como a identidade de uma carga de trabalho. Mesmo com o moderno firewalls da “próxima geração”, que são capazes de tomar decisões com base nos dados do aplicativo contidos no pacote, a maioria das regras de firewall ainda está configurada em intervalos tradicionais de IP e portas. Velhos hábitos são difíceis de morrer.

Rompendo com as tradições

A filosofia DevOps coloca uma forte ênfase na velocidade de implantação e na automação. E, conforme mencionado, mudanças nos segmentos de rede e firewalls geralmente são lentos e manuais. A automatização de mudanças nas redes e na segurança geralmente encontra barreiras operacionais, que podem ser difíceis de modificar. O resultado é que a segurança geralmente é uma reflexão tardia, pois simplesmente retarda os processos. Normalmente, as cargas de trabalho são implantadas de forma rápida e ágil, e a segurança retorna como prioridade somente depois que uma violação ocorre e a empresa enfrenta um litígio. Ninguém quer ser a pessoa que explica ao CEO por que a segurança não era uma alta prioridade e por que sua empresa agora está sendo processada.

A Amazon expressou de forma famosa esse conflito de prioridades entre agilidade da carga de trabalho e mudanças na rede em 2012, dizendo: “A rede está no meu caminho”. A rede e as mudanças nos segmentos de rede são obstáculos para implantações ágeis de cargas de trabalho. Então, segmentação de rede muitas vezes não é feito, ou é feito de forma muito grosseira pelas equipes de rede.

Mas e se a segmentação e a segurança da rede pudessem ser implementadas diretamente dentro da carga de trabalho? Chega de esperar que as operações de rede implementem a segmentação na malha de rede subjacente.

Em vez disso, e se você pudesse implementar os segmentos necessários diretamente do mesmo processo ágil da implantação de uma carga de trabalho por meio do processo de DevOps?

E, o mais importante, e se a segurança entre esses segmentos poderia ser definida usando a política de linguagem natural, em vez de depender de regras desatualizadas de firewall de IP/porta? Não há mais políticas definidas em relação ao IP de origem e às portas que apontam para o IP e as portas de destino, pois elas não estão mais vinculadas às cargas de trabalho durante todo o ciclo de vida.

Em vez disso, e se você pudesse escreva uma política que reflita a forma como os usuários percebem os recursos, como “Somente servidores Web implantados em Nova York podem se comunicar com servidores de banco de dados em Londres?”

E se você pudesse define isso em uma abordagem granular, alcançando uma verdadeira abordagem de Zero Trust “microsegmentada”, como “Somente o Webserver-1 pode conversar com o Webserver-2 no mesmo local”?

Há quatro camadas amplas em uma arquitetura de rede nas quais a política pode ser aplicada, conforme ilustrado neste diagrama:

Security Options

À medida que você sobe nas camadas, a política é expressa em uma linguagem mais natural, independente das camadas inferiores. A aplicação da política de carga de trabalho diretamente nas cargas de trabalho libera as camadas inferiores para se concentrar nas prioridades da rede.

Permitir que as ferramentas da camada de carga de trabalho definam a segmentação e a imposição entre cargas de trabalho, de uma forma que seja abstrata acima da malha de rede subjacente, libera as equipes de operações de rede de terem requisitos de aplicativos influenciando o design da rede. Levar a segmentação e a fiscalização de aplicativos “até a camada de carga de trabalho” permite que as equipes de operações de rede projetem estruturas de rede de acordo com as prioridades da rede.

Os firewalls ainda serão usados para criar segmentos amplos em toda a estrutura, como sempre foi feito, mas não há mais a necessidade de criar um grande número de VLANs ou sub-redes para acomodar os requisitos de segmentação de aplicativos. Em vez disso, os arquitetos de rede podem se concentrar nas prioridades da rede ao projetar segmentação de rede, como taxa de transferência, redundância, resumo de rotas, Spanning Tree e ECMP. A segmentação de aplicativos não precisa mais adicionar dores de cabeça ao design da rede. Fazer com que as cargas de trabalho criem e apliquem limites de segmentação também libera a rede de ser a primeira na fila quando as causas são procuradas ao solucionar problemas de segurança.

Segmentação moderna para cargas de trabalho modernas

De Illumio Plataforma de segurança adaptável (ASP) permite a microssegmentação entre cargas de trabalho, essencial para criar uma verdadeira Arquitetura Zero Truste usa expressões de linguagem natural para definir políticas entre essas cargas de trabalho. Isso lhe dá um mapa de dependência de aplicativos que fornece uma imagem clara de exatamente quais cargas de trabalho estão se comunicando entre si e quem está iniciando conexões com quem — em toda a sua estrutura de nuvem híbrida. E embora você tenha total visibilidade do endereçamento IP usado pelas cargas de trabalho, a política não é — e não deve — ser definida em relação ao endereçamento IP, pois a associação entre endereçamento de rede e aplicativos é transitória.

O Illumio usa rótulos para identificar cargas de trabalho com base em critérios que são resumidos acima de qualquer segmento dos segmentos subjacentes da rede de nuvem híbrida em que elas estejam hospedadas:

  • Esses rótulos incluem metadados associados às cargas de trabalho, independentemente do endereço IP atual.
  • Os rótulos são Função, Aplicação, Ambiente e Localização (“RAEL”).
  • Eles são usados para definir segmentos entre cargas de trabalho, e a imposição entre essas cargas de trabalho rotuladas é definida usando expressões de linguagem natural, como cargas de trabalho da Web que podem se comunicar com cargas de trabalho de aplicativos, mas somente cargas de trabalho de aplicativos podem se comunicar com cargas de trabalho de bancos de dados. A política não é específica para endereçamento IP.
  • Em seguida, a Illumio traduz essas regras de política baseadas em rótulos em configurações específicas para os recursos de filtragem de rede de qualquer sistema operacional que esteja executando essas cargas de trabalho no momento — Linux iptables e ipsets, Windows Filtering Platform (WFP) ou a tabela de estados IPFilter para cargas de trabalho Solaris e AIX.

Como o Illumio permite que você defina políticas de uma forma totalmente abstrata de como e onde uma carga de trabalho é hospedada, o resultado é que as prioridades de rede e as prioridades de aplicativos não estão mais em conflito.

Resumindo

Nas arquiteturas modernas de data center e rede de nuvem híbrida, o perímetro é simplesmente definido como onde sua carga de trabalho está hospedada atualmente, e essa carga de trabalho pode se mover dinamicamente em qualquer segmento da nuvem. A definição antiga do perímetro como estando entre o data center e a Internet não é mais relevante, e é difícil escalar tentar arquitetar a malha de rede para permitir a microssegmentação entre os limites do aplicativo. As soluções SDN usando controladores e redes de sobreposição que terminam em hipervisores movem-se efetivamente para a fronteira entre a rede e as cargas de trabalho para o host, mas ainda dependem da definição de segmentos “de baixo para cima”: da camada de rede para resolver um problema na camada de carga de trabalho.

Uma abordagem muito mais escalável nas estruturas de nuvem modernas é usar a carga de trabalho para criar microssegmentos e aplicar políticas relevantes às cargas de trabalho, liberando assim a segmentação da rede para ser definida de acordo com as prioridades relevantes para o design da rede. A rede não é mais o obstáculo para carga de trabalho do aplicativo agilidade e segurança. E a rede não é mais a primeira da fila quando segurança de aplicativos ocorre a solução de problemas, o que reduz o ato de apontar o dedo durante as respostas a incidentes.

Confira isso vídeo para uma jornada rápida que detalha a evolução da segmentação e saiba mais sobre nossa solução aqui.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Simplifique as implantações de SDN e firewall com microssegmentação baseada em host
Segmentação Zero Trust

Simplifique as implantações de SDN e firewall com microssegmentação baseada em host

A rede definida por software (SDN) e a segmentação geralmente são discutidas simultaneamente porque ambas priorizam a automação.

Leia mais
4 principais insights do guia de mercado da Gartner® de 2023 para microssegmentação
Segmentação Zero Trust

4 principais insights do guia de mercado da Gartner® de 2023 para microssegmentação

Obtenha informações do Guia de Mercado do Gartner sobre a implementação da microssegmentação, também chamada de Segmentação Zero Trust (ZTS), para proteger ambientes híbridos, interromper o movimento lateral e criar Zero Trust.

Leia mais
Como a Illumio simplificou o projeto de microssegmentação em grande escala do eBay
Segmentação Zero Trust

Como a Illumio simplificou o projeto de microssegmentação em grande escala do eBay

Conheça a história de sucesso do eBay ao usar a plataforma Illumio Zero Trust Segmentation (ZTS) para implementar a microssegmentação em sua rede.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais