Mikro-segmentering: Et krav i fremtiden


Ved å segmentere nettverket oppnår man ikke bare større sikkerhet, men også å forlenge levetiden på den tradisjonelle brannmuren.


Ved å segmentere nettverket oppnår man ikke bare større sikkerhet, men også å forlenge levetiden på den tradisjonelle brannmuren.

Kunder som har et lokalt datasenter merker at antall tjenere øker og trafikkmengden i datasenteret øker. I en klassisk sonemodell betyr dette at brannmuren får stadig mer belastning og nærmer seg metning. Noe må gjøres.

En mulig løsning er å dele brannmuroppdraget i to: (1) Kontroll av trafikk internt i datasenteret og (2) kontroll av egress (trafikk til partnere og til Internett). Mikrosegmentering tar i bruk brannmurteknologi i selve virtualiseringslaget rundt de virtuelle tjenerne, og står for kontroll av trafikk ut og inn av tjenerne. Selve tankegangen er ikke ny, men verktøyene som kan gjøre dette mulig har nådd den rette modningsgraden. Vi ser at mikrosegmentering blir et alternativ til å kjøpe flere og større konvensjonelle brannmurer.

Konseptet likner på det en ser for sikkerhets- og kommunikasjonsregler i skyteknologi. Disse er obligatoriske atributter rundt tjenerobjektene og i reglene forteller vi (a) hvilken trafikk som skal gå ut og inn av tjeneren, og (b) hvor denne får gå. Vi finner samme løsning i lokal brannmur i operativsystem til tjenere. Mikrosegmentering tar dette videre og gir støtte til å kunne se hvilken trafikk som går FØR man legger på nye avgrensninger. Derfor fungerer dette i samspill med eksisterende lokale og eksterne brannmurer.

Typisk begynner arbeidet med mikrosegmentering ved at en setter opp verktøyene i en eksisterende virtualiseringsplatform. Så starter en innkjøringsfase der trafikk logges og verktøyene lærer seg hva som går av trafikk ut og inn av tjenerne. Etter en stund kan man analysere hvilke tjenere som kommuniserer med hverandre. Tjenerne deles inn i grupper, og en setter opp regelsett for ønsket kommunikasjon mellom gruppene. Alt annet blir blokkert. Dette kunne en gjort med konvensjonell brannmur, men fordelen med mikrosegmentering er at man nå stopper uønsket trafikk ved kilden – ved tjeneren.

En ser at 80-90% av trafikken til og fra tjenere er internt i datasenteret. Med mikrosegmentering blir den konvensjonelle brannmuren grundig avlastet og får muligheten til et forlenget liv der den konsentrerer seg om å kontrollere egress-trafikken.