O que você precisa para a descoberta da política Zero Trust

A verdade fundamental sobre microssegmentação é que nunca será mais granular do que nossa compreensão do tráfego a ser protegido. Realmente não podemos segmentar o que não podemos ver.

A maioria dos fornecedores de segmentação agora fornece algum tipo de mapa de aplicativos que coloca um aplicativo em uma espécie de “bolha” para mostrar seu possível isolamento. Embora seja uma grande melhoria em relação à alternativa (sem visualizações), na realidade, isso não é suficiente para escrever uma política sólida de Zero Trust. Necessário — mas insuficiente. O que mais precisamos?

Conforme discutido na introdução a esta série, o sucesso da microssegmentação Zero Trust é determinado pela eficácia do processo de gerenciamento de políticas. Escrever regras de segmentação não é uma tarefa — é uma variedade de etapas analíticas e de tomada de decisão. Portanto, melhorar a segmentação exige um nível profundo de compreensão e deve se refletir na visibilidade e no fluxo de trabalho corretos para cada etapa; não há possibilidade de que uma única visualização simples funcione para todas as tarefas e pontos de decisão.

A descoberta de políticas é o conjunto de tarefas pelas quais uma organização passa para entender um aplicativo e seu contexto bem o suficiente para escrever uma política de Zero Trust. Ele inclui informações em nível de serviço, host e aplicativo, mas também muitas outras coisas.

Contexto completo do aplicativo

O contexto completo de um aplicativo vai além de sua operação interna. Ele pode se comunicar com outros aplicativos, provavelmente se conectar a 20 a 30 serviços principais comuns, ter usuários provenientes de locais corporativos e de VPN e pode interagir com serviços SaaS ou outros espaços de endereço remotos. Simplesmente colocar tudo isso em um mapa sem organização é uma receita para confusão que retardará o progresso até ficar lento!

É importante resumir a conectividade externa nos intervalos de endereços nomeados normais que podem estar no sistema de gerenciamento de IP. Dessa forma, é fácil identificar sub-redes de usuários, tráfego de DMZ etc. Especialmente nos primeiros dias de uma implantação de microssegmentação, há mais sistemas “desprotegidos” do que sistemas “protegidos”. Como esses sistemas são exibidos, organizados e categorizados? Quando esses sistemas são objetos no modelo de política e exibidos como tal no mapa, a complexidade e a criação de regras são simplificadas. Finalmente, a maioria dos aplicativos existe para usuários. Como esse contexto de usuário é compreendido, exibido e disponível para ação?

Em última análise, a descoberta de políticas exige um contexto completo do aplicativo, e isso envolve mais do que simples desenhos de aplicativos com cem ou mais linhas para endereços IP externos ou nomes de host.

Fluxos de trabalho micro versus macro

Os data centers ou ambientes de nuvem são locais complexos, com muito mais do que aplicativos a serem considerados. Os mapas de dependência de aplicativos são essenciais para entender os aplicativos, mas que tal poder ver construções maiores? Como é possível saber qual tráfego está passando entre Dev e Prod? Como ver todo o tráfego do banco de dados na porta 3306 em todo o ambiente para garantir que nenhum seja esquecido? Que tal ver o “alcance” de um serviço principal, como LDAP ou RDP, para entender a atividade atual?

A experiência da Illumio em proteger vários ambientes com mais de 100.000 nós se reflete em ter ferramentas de visualização e exploração para o ambiente macro, além do contexto do aplicativo. Escrever políticas eficazes baseadas em rótulos abstratos também requer a capacidade de visualizar e inspecionar as comunicações em todos os níveis de abstração oferecidos pelo modelo de política. Curiosamente, as bolhas de aplicativos tão úteis para visualizações de aplicativos são de pouca utilidade nesse contexto. As melhores soluções de descoberta de políticas terão maneiras claras de mostrar as comunicações em todos os níveis de abstração e não apenas os despejos de dados de fluxo coletados no banco de dados.

Exija uma solução de microssegmentação que forneça as visualizações em nível macro essenciais para lidar rapidamente com grandes faixas de tráfego por meio da elaboração de políticas em massa ou agregadas.

Visões diferentes para diferentes partes interessadas

A equipe de firewall não será a única a inspecionar fluxos e políticas durante as atividades de descoberta de políticas. À medida que o limite de segmentação passa para o servidor de aplicativos ou o host do contêiner, as equipes de operações e aplicativos terão um grande interesse em garantir que todos os serviços de que precisam sejam provisionados adequadamente. Para esses colegas de trabalho, suas perguntas são melhor respondidas por meio de visualizações específicas, adaptadas à necessidade de inspecionar rapidamente uma política e validar a funcionalidade. Muitos dos detalhes do desenvolvimento de políticas não são necessários e, na verdade, desviam a atenção das principais preocupações das equipes de aplicação e operações.

Procure um produto de microssegmentação que tenha visualizações e fluxos de trabalho cuidadosamente construídos para equipes de aplicativos e operações. Eles fazem parte do fluxo de trabalho da política e devem ter ferramentas que atendam às suas necessidades. Um BRACO a visualização filtrada é essencial, é claro, mas espere mais — obtenha visualizações específicas do proprietário do aplicativo para acelerar o processo de descoberta de políticas.

Em resumo

Ninguém pode escrever uma política mais rápido do que entender o que é necessário! A descoberta de políticas é a primeira parte de qualquer fluxo de trabalho de gerenciamento de políticas. As demandas políticas de um aplicativo moderno ou de uma coleção de microsserviços em contêineres exigem um contexto completo do aplicativo, muito além de uma simples bolha de aplicativos. Representar faixas de IP, sistemas não gerenciados, serviços principais e muito mais são essenciais para entender um serviço de aplicativo no contexto.

Qualquer bom modelo de política oferecerá a abstração das comunicações em vários níveis ou “rótulos”, por isso também é importante ter visualizações que apoiem esses objetivos políticos de alto nível. Afinal, a política em massa é uma política rápida, portanto, ter os recursos certos acelerará radicalmente o desenvolvimento de políticas.

Finalmente, a microssegmentação envolve várias organizações. A descoberta de políticas é um esporte coletivo — certifique-se de que todos tenham visões de descoberta personalizadas para que cada equipe trabalhe da forma mais eficiente possível.

A descoberta rápida e eficiente de políticas leva à criação rápida e eficiente de políticas. Junte-se a nós na próxima semana para discutirmos o que é necessário para acelerar a criação de políticas.