Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Segmentação Zero Trust

O que você precisa para criar uma política de segmentação Zero Trust

Editorial Illumio
,
May 14, 2021
23 leitura mínima

Na semana passada, nós discutida os recursos necessários para descobrir a aplicação e o contexto ambiental mais amplo necessários para escrever uma política de segmentação Zero Trust. Uma vez que sabemos o que é obrigatório, precisamos expressar isso nas declarações de política. Qualquer boa solução de microssegmentação passará perfeitamente da descoberta à criação e oferecerá suporte total a todos os fluxos de trabalho necessários para escrever uma política de segmentação refinada com eficiência. Vamos discutir o que acelera e apoia a política de segmentação Zero Trust.

Diga o que quiser, não como fazer

Historicamente, escrever listas de controle de acesso (ACLs) exige que saibamos o que queremos e como fazer isso. O resultado são tabelas de regras grandes e complexas. A segmentação Zero Trust funciona de forma declarativa modelo de política, ao contrário, cria uma separação entre “política” e “regras”. A política é o resultado que desejamos, como separar os ambientes DEV e PROD. As regras ou ACLs necessárias para tornar essa política verdadeira são resultado do mecanismo de políticas, não do esforço humano. Isso simplifica radicalmente a criação de políticas.

Se eu escrever uma regra permitindo que um dispositivo fale com outros três, não preciso escrever quatro regras. Eu só preciso escrever uma política que diga que um servidor pode conversar com os outros três. O mecanismo de política cria todas as regras para tornar essa política verdadeira. Quando considerada na escala de um data center inteiro ou implantação na nuvem, essa simplificação acelera o desenvolvimento de uma política de segmentação Zero Trust.

Nomes familiares versus endereços IP

Escrevendo regras tradicionais de firewall sempre será lento devido à necessidade constante de traduzir entre endereços IP que a infraestrutura entende e os nomes que damos aos servidores nas conversas. A eliminação dessa tradução reduz radicalmente o tempo para escrever uma política de segmentação de confiança zero.

A melhor situação é quando a organização pode reutilizar os nomes que já existem em CMDBs, SIEMs, sistemas de gerenciamento de endereços IP, convenções de nomes de host, nomes de servidores etc. Quando nomes conhecidos rotulam cada sistema na visualização e fornecem a abstração para a elaboração de políticas, de repente todos podem entender e escrever uma política de Zero Trust. Não há necessidade de tradução, e toda a equipe pode rapidamente chegar a um consenso sobre se a política escrita corresponde à necessidade descoberta por meio da visualização.

Use a herança para reduzir a carga política

Depois de resumirmos a política de Segmentação Zero Trust em nomes (ou rótulos), podemos aproveitar uma das melhores partes de uma lista de permissões do Zero Trust: a herança de políticas. Uma lista de permissões pura não exige atenção à ordenação das regras, ao contrário de um firewall tradicional.

Em um firewall, a mistura de lista de permissões e lista de negação regras significam que as regras devem estar em uma ordem estrita para funcionar conforme projetado. Em uma lista de permissões, como as coisas só são permitidas, não faz diferença em que ordem elas são permitidas ou se são permitidas mais de uma vez.

Isso significa que a política de segmentação Zero Trust pode ser herdada livremente. Posso escrever uma política uma vez e reutilizá-la quantas vezes for necessário. Uma carga de trabalho pode derivar parte de sua política da política ambiental do PROD, da política de nível de data center e da política que escrevemos para todos os bancos de dados. Podemos definir uma política para os serviços principais uma vez e depois fazer com que todas as cargas de trabalho no ambiente assumam essa política. A herança torna a criação de políticas Zero Trust muito mais fácil do que os métodos tradicionais.

Distribua a redação de regras para obter escala

A criação de regras de firewall há muito tempo é centralizada e gerenciada por uma equipe de segurança de rede, pois os dispositivos são efetivamente parte da arquitetura da rede. Isso criou conversas estranhas em que a equipe de firewall precisa que a equipe de aplicativos descreva em endereços IP como seus sistemas funcionam. E só então a equipe de firewall pode traduzir isso em regras. Mas por que se preocupar com toda essa comunicação e tradução?

Com a segmentação Zero Trust e um recurso robusto de controle de acesso baseado em funções (RBAC), a criação de regras pode ser distribuída. Quando a solução Zero Trust Segmentation foi projetada para fornecer visualizações e recursos específicos do aplicativo, é possível ter proprietários de aplicativos escrevem ou validam a política para a operação interna de seu aplicativo e, em seguida, para que a equipe centralizada aprove seu trabalho e adicione as políticas para serviços principais, data center e acesso à Internet.

Uma forte solução de segmentação Zero Trust fornece agência às equipes de aplicativos e DevOps em todo o processo de criação de políticas. Quanto mais sua organização quiser automatizar, mais importante essa delegação se torna. Quando toda a equipe pode trabalhar em prol de metas compartilhadas, ela cria confiança, coesão organizacional e acelera a entrega de uma política de segmentação de confiança zero.

Em resumo

Os data centers e os ambientes de nuvem são complexos, e seria natural supor que escrever uma política de segmentação compartilharia a mesma complexidade. Mas as melhores soluções de segmentação Zero Trust substituem o processo tradicional de desenvolvimento de regras de firewall por fluxos de trabalho simples, escaláveis e eficazes. Um modelo de política declarativa significa que você pode dizer o que quiser, não como fazê-lo.

Os humanos são bons em dizer o que querem, e um mecanismo de política inteligente pode transformar isso em regras para a infraestrutura. Quando a política é baseada em nomes conhecidos e pode ser reutilizada várias vezes, ela reduz o trabalho de toda a equipe.

E o melhor de tudo, quando toda a equipe pode colaborar, as barreiras ineficientes entre as equipes se rompem e toda a organização pode trabalhar em conjunto para proteger os ativos essenciais. A segmentação Zero Trust melhora todos os aspectos da política de segmentação, ao mesmo tempo em que restringe a segmentação e reduz a carga sobre a organização.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Três áreas de foco para reduzir a complexidade da segmentação Zero Trust
Segmentação Zero Trust

Três áreas de foco para reduzir a complexidade da segmentação Zero Trust

Os produtos de segurança e rede têm lutado para atender às necessidades de aplicativos e desenvolvedores de aplicativos por muitos anos.

Leia mais
Você pode medir a eficácia da microsegmentação?
Segmentação Zero Trust

Você pode medir a eficácia da microsegmentação?

Illumio e Bishop Fox conduziram e documentaram um plano pioneiro do setor sobre como medir a eficácia da microssegmentação.

Leia mais
A segmentação Zero Trust é fundamental para a resiliência na nuvem
Segmentação Zero Trust

A segmentação Zero Trust é fundamental para a resiliência na nuvem

A resiliência da nuvem começa com Zero Trust. Conheça os três principais problemas de nuvem resolvidos pela segmentação Zero Trust, conforme compartilhado pelo criador da ZTS, John Kindervag.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais