Zero trust Il passaggio da legacy a cloud-native

Le imprese che operano nel tradizionale ambiente monolitico possono avere strette strutture organizzative. Di conseguenza, il requisito di sicurezza potrebbe impedire loro di passare a un modello di distribuzione di applicazioni ibrido o cloud-native.

Nonostante le ovvie difficoltà, la maggior parte delle aziende desidera sfruttare le funzionalità native del cloud. Oggi, la maggior parte delle entità sta valutando o valutando il cloud nativo per migliorare l'esperienza dei propri clienti. In alcuni casi, è la capacità di disegnare analisi di mercato dei clienti più ricche o di fornire eccellenza operativa.

Il cloud nativo è un'agenda strategica chiave che consente ai clienti di sfruttare molte nuove funzionalità e framework. Consente alle organizzazioni di costruire ed evolversi in futuro per guadagnare un vantaggio rispetto ai loro concorrenti.

Le applicazioni si stanno evolvendo

Affrontiamolo! Le applicazioni si stanno evolvendo molto rapidamente. Le applicazioni tradizionali sono ora integrate con funzionalità native native aggiuntive. Abbiamo applicazioni tradizionali che funzionano con i nuovi servizi front-end modulari containerizzati o back-end.

L'applicazione principale è ancora un monolite a 3 livelli, ma i servizi nativi cloud sono bloccati per inviare i dati all'applicazione principale del data center privato.

Obiettivi di transizione

Idealmente, le aziende avranno una posizione di sicurezza di cui sono contente. Hanno firewall, IDS / IPS, WAF e segmentazione: approcci che funzionano perfettamente.

Mentre ci imbarchiamo in servizi nativi cloud, dobbiamo aggiungere un altro livello di sicurezza. Le imprese devono garantire di avere capacità di sicurezza uguali o migliori rispetto a prima.

Questo crea un vuoto che deve essere colmato. La transizione implica la capacità di mantenere la copertura, la visibilità e il controllo, negli ambienti tradizionali, sfruttando al contempo i servizi nativi del cloud. Tutto fatto con una posizione di sicurezza zero trust di default deny.

L'ambiente complesso

Oggettivamente, all'interno degli ambienti tradizionali, esistono diverse architetture di data center che operano in modelli di implementazione pubblici, privati, ibridi e multi-cloud. Formalmente era solo privato e pubblico, ma ora ibrido e multi-cloud sono le norme convenzionali.

È in atto una transizione vettoriale nell'ambiente fisico, cloud e applicativo. Questa transizione è altamente dinamica ed eterogenea. In futuro, probabilmente avremo connettività ibrida. 

Sicurezza e cloud ibrido

Uno dei principali obiettivi della connettività ibrida è sulle interazioni. È comune per le grandi imprese avere un po 'di tutto. Ci saranno applicazioni nel cloud, on-premise, microservizi e monoliti. Tutte queste entità vivono e operano in silos.

È necessaria una buona copertura di ogni interazione tra componenti all'interno di architetture diverse. Per una sicurezza efficace, è necessario monitorare comportamenti imprevisti durante le interazioni. Se questa copertura viene trascurata, la porta è aperta a compromessi poiché questi componenti comunicano con altri. La sicurezza sarà l'anello più debole.

L'approccio di rete tradizionale

L'approccio di rete tradizionale è ciò che tutti conoscono ed è il modo in cui oggi viene implementata la maggior parte della sicurezza. È anche l'architettura meno flessibile, poiché la sicurezza è legata a un indirizzo IP, VLAN o tradizionale a 5 tuple. L'approccio tradizionale è un modo inefficace di stabilire una politica di sicurezza.

Inoltre, la rete è specifica del fornitore. Il modo in cui si implementa un ACL o VLAN pone diverse configurazioni per fornitore e in alcuni casi, esistono differenze anche all'interno dello stesso fornitore. Alcuni si sono evoluti in Chef o Puppet, ma la maggior parte dei fornitori sta ancora eseguendo la CLI, che è manuale e soggetta a errori.

L'hypervisor

Per l'applicazione, esiste una superficie di attacco che comprende tutto sull'hypervisor. È molto esteso se si considera quante VM possono essere posizionate su un hypervisor. Più sono le VM, maggiore è il raggio di esplosione.

Quindi, esiste la possibilità di fuga dalla VM, in cui il compromesso di una VM può comportare che un cattivo attore acceda a tutte le altre VM su quell'hypervisor. In sostanza, un hypervisor può inavvertitamente ingrandire la superficie di attacco.

Firewall basati su host

In tempi recenti, i firewall basati su host hanno apportato alcuni miglioramenti alla sicurezza impedendo l'accesso al traffico in entrata indesiderato attraverso il numero di porta. Di conseguenza, la superficie di attacco e il controllo ora si trovano al livello del carico di lavoro. Tuttavia, siamo ancora di fronte al problema che la politica è condotta in modo distribuito.

Gli strumenti sopra descritti descrivono una varietà di approcci di sicurezza, tutti ampiamente implementati oggi. Sono tutte le soluzioni necessarie che ti portano da un modello di sicurezza grossolano a uno a grana fine. Tuttavia, il passaggio a ibrido e cloud-native richiede un approccio ancora più approfondito, chiamato zero trust.

La prossima fase evolutiva

Stiamo appena arrivando a una fase in cui le soluzioni per ambienti virtualizzati basati su VM nei cloud pubblici e privati ​​stanno iniziando a maturare. Pertanto, quando raggiungiamo questa fase, stiamo già iniziando a testimoniare la prossima evoluzione.

Il prossimo passo nell'evoluzione degli ambienti guidati da DevOps è basato su container e framework di orchestrazione. Ciò porta un altro ordine di grandezza alla complessità dell'ambiente in termini di elaborazione e collegamento in rete.

Gli ambienti virtualizzati esistenti basati su VM non saranno in grado di gestire la complessità che presentano gli ambienti containerizzati. Quindi, qual è la strada giusta da seguire?

Indipendenza dalla rete e dalle applicazioni

Il quadro di sicurezza e conformità deve essere indipendente dalla rete. In un certo senso, dovrebbero operare come due navi che passano di notte. Inoltre, dovrebbero essere basati sull'identità.

Il vantaggio principale di una soluzione basata sull'identità è che stai ottenendo visibilità nella comunicazione da servizio a servizio, che diventa i mattoni per l'autenticazione e il controllo degli accessi.

Politiche di sicurezza uniformi e ridimensionamento adattivo

È necessaria la capacità di coprire un'ampia varietà di possibili combinazioni. Non si tratta solo di coprire diversi tipi di infrastrutture, è anche necessario coprire le interazioni tra loro, che possono essere implementate in ambienti molto complessi.

Nel mondo moderno, abbiamo servizi di orchestrazione, container, effimeri e dinamici che cambiano funzionalità con la possibilità di aumentare e ridurre le dimensioni. Pertanto, la soluzione di sicurezza dovrebbe essere adattabile ai servizi sottostanti, sia che si tratti di ridimensionamento o in evoluzione.

Crittografia automatica dei dati in movimento (mTLS)

Poiché le nostre applicazioni si estendono su modelli di distribuzione sia ibridi che multi-cloud, la crittografia diventa complicata con i sistemi PKI (Public Key Infrastructure) e la gestione dei token.

Se disponi di una soluzione che espande l'applicazione, gli ambienti fisici e cloud, avrai un approccio elastico e pervasivo. Alla fine, ciò consente di crittografare i dati in movimento senza il sovraccarico della gestione di sistemi PKI complessi.

Fiducia zero

Qualsiasi utente, microservizio, porta o API può presentare vulnerabilità. Questo ci riporta a zero fiducia - "mai fidarsi, verificare sempre". L'idea di spostare il perimetro per proteggere le risorse interne è un mandato per il modello di sicurezza zero trust. I perimetri aumenteranno di numero, diventando più granulari e più vicini al carico di lavoro. L'identità sarà il nuovo perimetro.

Tuttavia, tutte le risorse che è necessario proteggere, quando si è concentrati esclusivamente sui servizi in uscita, sono più complesse in termini di grandezza quando è ora necessario proteggere le risorse interne. Le soluzioni attuali semplicemente non si ridimensioneranno per soddisfare questo livello. Abbiamo un ordine di grandezza di dimensioni maggiori rispetto all'ambiente che devi proteggere.

Pertanto, disporre di una soluzione progettata appositamente per essere scalabile come il data center e l'ambiente di elaborazione è obbligatorio. La fiducia zero diventa ancora più importante durante il periodo di transizione perché si hanno più dialoghi incrociati tra servizi e carichi di lavoro distribuiti in ambienti diversi. Inoltre, il mezzo tra gli ambienti può avere un livello di fiducia variabile.

Pertanto, la decisione di adottare l'approccio zero trust è un elemento critico per mantenere una posizione di sicurezza efficace durante la fase di transizione. Se non ti fidi del tuo perimetro, l'unico modo per proteggere è crittografando tutte le comunicazioni tra i servizi.

Riepilogo della soluzione di esempio

Idealmente, la soluzione deve offrire una piattaforma di sicurezza unica a livello di applicazione. Una soluzione di livello 7 consente agli amministratori di comprendere il "chi" e il "quando". Inoltre, aiuta a capire i servizi utilizzati pur avendo la capacità a livello di applicazione che sfrutta la PNL.

Una rete indipendente e una soluzione di sicurezza incentrata sull'applicazione è la proposta di valore di base. Copre una vasta gamma di ambienti virtuali e di rete con particolare attenzione alla transizione verso il cloud nativo con un approccio a zero trust.

Incentrato sul carico di lavoro, non incentrato sulla rete, è ciò che rende la soluzione più stabile, leggibile e gestibile. Favorisce l'uso dell'automazione per derivare la politica dei privilegi minimi dall'attività osservata.

Ciò fornisce un approccio a tutto tondo di visualizzazione, attività, politica e differenze tra di loro. La politica incentrata sul carico di lavoro avverte quando un'attività viola la politica e dove la politica potrebbe essere troppo lenta considerando l'attività osservata. I criteri devono essere impostati utilizzando attributi logici, non attributi fisici.

La piattaforma di sicurezza ti assicura di sapere esattamente cosa sta succedendo, mentre sei sottoposto al passaggio da ambienti applicativi legacy a cloud-native. Si accerta con successo, colmando il divario per una migrazione sicura e regolare.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.