אתגר ושמו מיקרו-סגמנטציה
05כתב: דן כהן, מנהל תחום ענן ואוטומציות בטרה סקיי (TeraSky).
כבר כמה שנים שהמונח מיקרו-סגמנטציה מרחף מעל ראשם של אנשי אבטחת המידע, התקשורת וה-IT בכלל. לאחר שמקבלי ההחלטות למדו את המתודולוגיה והבינו את היתרונות, נותר רק ליישם. אתאר בפשטות מיקרו-סגמנטציה כחלוקת רשת לאזורים מאובטחים המכילים שרת אחד או יותר, כאשר בין אותם אזורים נאכפת חוקה המאפשרת תקשורת חיונית בלבד. למעשה, עבור יישום מוצלח נזדקק לטכנולוגיה המאפשרת שלושה דברים: יצירת קבוצות לוגיות של שרתים, שיוך שרתים לאותן קבוצות לוגיות ויצירת פוליסת אבטחה והחלתה.
אף על פי ששחקניות רבות בשוק מציעות מגוון פתרונות עם פחות או יותר אותן יכולות, כגון מודולים המותקנים ישירות על Hypervisor בסביבות וירטואליות או יכולות מובנות במערכת ההפעלה, חברות רבות המעוניינות ביישום של המתודולוגיה ממאנות לעשות זאת או שנתקלות בקשיים גדולים ביישום כבר בתחילת הדרך.
הסיבה העיקרית טמונה בקושי שבמיפוי האפליקציות והשירותים בנוסף ליצירת החוקה עצמה. כהתחלה נתמקד בסביבה וירטואלית קטנה, המכילה כמה עשרות מכונות וירטואליות. בהמשך נתייחס בקצרה גם לקונטיינרים. בסביבה כזו לא תהיה בעיה לאתר את אנשי האפליקציה או התשתיות שהשרתים בבעלותם, וביחד להבין באילו אפליקציות ושירותים מדובר ולתשאל לגבי אופי התעבורה. גם במקרה שאנשי האפליקציה לא ידעו לומר אילו פורטים חיוניים עבור האפליקציה, נוכל לבצע את הניתוח באמצעות כלים מקומיים על מערכת ההפעלה, כיוון שסביבת השרתים קטנה.
האם מיקרו-סגמנטציה אפשרית גם בסביבות גדולות?
מה קורה בסביבות גדולות יותר, עם מאות מכונות וירטואליות וכמה עשרות אפליקציות? מיפוי ידני של האפליקציות הוא מעט סיזיפי, אך עדיין אפשרי. אולם, מה עם עניין החוקה? ניתוח ידני של התעבורה הופך להיות במקרה הטוב פרויקט מאתגר וממושך וברוב המקרים בלתי ישים. VMware, שמורגלת באיתור אתגרים בשלב מוקדם, זיהתה את האתגר מבעוד מועד, ומספקת פתרונות לאיסוף וניתוח של תעבורת רשת. פתרון vRNI (ר"ת vRealize Network Insight) של החברה מאפשר הפקת המלצות לצורך יצירת החוקה, בנוסף להצגה וניתוח של הנתונים.
כשמגיעים לסביבות גדולות, האתגר המתואר לעיל גדול אף יותר. סביר מאוד שהטכניקות הקודמות שהשתמשנו בהן לטובת המיפוי כבר לא יהיו רלוונטיות. במחלקות IT ניתן לעתים למצוא CMDB מתוחזק היטב, שבו כל שרת פעיל מתועד לפרטים. במקרה הזה ניתן לבנות אוטומציות די פשוטות, שייצרו את הקבוצות ויבצעו את השיוכיים על בסיס המידע הטמון ב-CMDB.
בסביבות גדולות ומסועפות, ללא אמצעי תיעוד הסביבה, הסיכויים למימוש מוצלח של מיקרו-סגמנטציה פוחתים. האמיצים ייתקלו במהרה באתגר מהותי נוסף – תוספת תמידית של שרתים ואפליקציות חדשים. המיפוי הופך לעבודה בלתי נגמרת.
בדיוק כשחשבתי שסיימתי לסקור את כל האתגרים המרכזיים, נשאלת השאלה: מה עושים עם סביבות הקונטיינרים? על פניו, נראה שסיבכנו פרויקט שכבר היה מסובך מלכתחילה. אולם, מסתבר שסביבות אלה ידידותיות יותר ליישום מיקרו-סגמנטציה. הסיבה היא שקונטיינרים מתויגים מלכתחילה ובנוסף, בקובץ המניפסט שלהם נקבע הפורט שלו הם מאזינים. את העובדה הזו ניתן לנצל לטובתנו.
איך מצליחים ביישום מיקרו-סגמנטציה?
על אף שהטכנולוגיה בשלה, יישום של מיקרו-סגמנטציה בסביבות וירטואליות עלול להיות מאתגר מאוד, בעיקר עבור ארגונים גדולים. יחד עם זאת, יש ארגונים שיישמו בהצלחה פרויקטים מסוג זה גם בחברות גדולות.
ההצלחה טמונה בבניית אסטרטגיה חכמה ויצירתית. אלה כמה מהנקודות שיש לתת עליהן את הדעת כדי שזה יקרה:
- טכנולוגיה – מעבר לפונקציונליות בסיסית, שימוש בכלים נוספים שיעזרו לנו לבצע מיפוי מוצלח, ניתוח תעבורה ואף הפקת המלצות לחוקה.
- מרחב מימוש – בסביבה קטנה, עדיף ליישם על כולה. בסביבה גדולה, לעתים עדיף לסמן כמטרה אפליקציות קריטיות ולהתחיל מהן.
- רזולוציית מימוש – סגמנטציה יכולה להיעשות על בסיס סביבה, אפליקציה, שירות, מיקום ותהליך. עם הרזולוציה משתנה גם הסיבוכיות.
- פריסה של מכונות – עוד לפני אכיפת חוקה על סביבות פעילות, צריך לדאוג שבפריסה של שרתים חדשים לסביבה, הם יתווספו לקבוצות אבטחה ויקבלו חוקה. האידיאל הוא תהליך פריסה אוטומטי שיבצע את השיוך.
- תשומת לב ארגונית – יישום מוצלח מחייב שיתוף פעולה הדוק ומתמשך מצד כל הגורמים הרלוונטיים להמשך הפרויקט.
לסיכום ניתן לומר שאין ספק שאסטרטגיה מוצלחת תוביל, בסופו של דבר, לפרויקט מוצלח.
על הכותב והחברה
הכותב הוא המוביל הטכנולוגי של יישום הפתרונות החדשים והמובילים של VMware, ומאחוריו שנים רבות של ניסיון ביישום והטמעה של פרויקטים מורכבים בסביבות טכנולוגיות מתקדמות.
טרה סקיי היא שותפה בכירה של VMware בארץ ובעולם. טרה סקיי מובילה ביישום פתרונות מתקדמים בתחום הדטה סנטר מוגדר התוכנה (SDDC) ומימוש פתרונות מיקרו-סגמנטציה על ידי שימוש בכלים שונים מבית VMware, דוגמת NSX. במהלך השנים האחרונות פיתחה החברה אסטרטגיות ומימשה פתרונות מורכבים ומתקדמים מעין אלה. תוכלו לפגוש את נציגי טרה סקיי ולהיווכח בכך בכנס השנתי של VMware, שיתקיים ב-9 בדצמבר.
ככלל, טרה סקיי היא חברה גלובלית, שמסייעת לעסקים לחדש ולייעל את סביבת המחשוב שלהם. החברה הינה ספקית פתרונות טכנולוגיים מתקדמים בעלת יכולות מוכחות בתכנון, פריסה ותמיכה בארכיטקטורות IT "מסורתיות" וכן בתחומי הענן השונים – הפרטי, ההיברידי והציבורי. לחברה ניסיון של עשרות שנים ופורטפוליו שירותים רחב ממדים.
להרשמה לאירוע לחצו כאן.