マイクロセグメンテーションのポリシーモデルで重要なことは何ですか?
マイクロセグメンテーションソリューションで議論すべきすべての機能のうち、ほとんどのベンダーはポリシーモデルから始めません。ただし、特定のソリューションがもたらす可能性のある結果という点では、ポリシーモデルによって何が可能かが決まります。したがって、政策モデルに何が必要かを熟考することは、質が高く後悔の少ない購入決定を下すための優れた準備となります。では、望ましいマイクロセグメンテーション政策モデルの重要な要素を 1 つずつ見ていきましょう。
多次元ラベル
マイクロセグメンテーションポリシーでは、ラベルを使用して、基盤となるネットワークアドレスとデバイスからセグメンテーションを抽象化します。理想的には、これらのラベルは「多次元の便利なもの」であることが理想的です。ラベル数に制限のないフラットな名前空間は役に立ちません。多くのマシンに影響するポリシーステートメントをハングアップするような要約や構造が得られないからです。すべてのシステムにフラットな名前空間にラベルを付ける場合、IP アドレスだけを使用してポリシーを指定するよりは、ほとんど意味がありません。興味深いことに、特定のポリシーディメンション内のラベルの数に制限を設けるべきではありませんが、ポリシーディメンションを制限することは大規模な導入において有用であることが証明されています。
私たち人間は、たとえば3つの物理次元に時間を加えた4つの次元を簡単に視覚化できます。しかし、物理学者の考えが正しく、私たちが11次元または13次元の空間に住んでいる場合、それらの次元を捉えることができるのは数学だけです。それらを私たちの脳で視覚化することは不可能です。これはマイクロセグメンテーションに実際的な影響を及ぼします。11 次元のポリシーを理解して計算するようにコンピューターをプログラムすることはできますが、人間には理解できません。人間はマイクロセグメンテーションポリシーを検査、監査、理解できなければなりません。
私たちの経験では、 四次元 モデルを理解する能力を維持しながら、地球上で最大規模のネットワークでも政策目的で効果的にモデル化できます。そこで、フラットタグやラベルスペース以外にもあるポリシーモデルを探してください。数次元の構造は数十万のシステム規模で機能しますが、それでも理解しやすく、操作も簡単です。ラベルの力について詳しくは、この動画をご覧ください。
リッチオブジェクトモデル
品質政策言語には、十分に豊富なオブジェクトモデルがあります。ハイパースケールのエンタープライズデータセンターは複雑な場所です。このモデルは、サーバー、VM、コンテナ、クラウドインスタンスなど、保護が必要なすべてのものに対応する必要があることは明らかですが、これらの保護されたシステムだけでは、有用なポリシープリミティブをすべて抽象化するには不十分です。サービス/ポートマッピングと IP アドレス範囲用のオブジェクトが必要です。共有サーバー (複数のデータベースインスタンスを持つサーバーなど) 内では、これらのインスタンスを互いに異なる仮想サービスとして抽象化できなければなりません。 コンテナ そして、コンテナホストはすべてのビジュアライゼーションに登場する「第一級市民」でなければなりません そして ポリシーステートメントの一部。興味深いことに、保護されていないシステムをオブジェクトモデルに追加することも重要です。特に、保護されていないものよりも保護されていないものの方が多く、これらのシステムが相互に通信する展開の初期段階では特にそうです。すべてのフローをわかりやすく表現できれば、目的のポリシーを指定するのがずっと簡単になります。最善の解決策は、エクスポートして実装できるようにしたい場合に、管理対象外のオブジェクト用のポリシーを構築できることです。
継承
ポリシーの継承は、マイクロセグメンテーションポリシーを既存のデータセンターに拡大する唯一の方法です。トラフィックの約 80% がデータセンター内を流れる場合、既存の境界ファイアウォールルールはトラフィックの 20% しかカバーしていないことになります。つまり、データセンター内に存在するルールの数は、現在すべてのファイアウォールに存在するルールの5倍になる可能性があるということです。ポリシーモデルによって提供される抽象化とその有用な側面は、純粋な許可リストポリシーモデルと組み合わせる必要があります。この方法でのみ、ポリシーを一度作成して多くの場合に適用できます。次のような一般的なマイクロセグメンテーションポリシーを中心とした継承とスマートなポリシー自動化 アプリケーションリングフェンシングを組み合わせることで、数万のシステムを正常にセグメント化する唯一の実証済みの方法が実現します。
宣言型と命令型
100,000を超えるワークロードのマイクロセグメンテーションを成功させた唯一のポリシーモデルは、宣言型の方法を使用してセグメンテーションの希望を表現することです。宣言型ポリシーモデルでは、望ましい結果を指定するのに必要なのは 1 つだけです。命令型政策モデルでは、結果を生み出すためにソリューションを正確に指定する必要があります。従来のファイアウォールのルールセットは必須です。必要な保護を実現するには、すべてのステートメントが完璧な順序で、完璧な正確さで記述されていなければなりません。そのため、困難と複雑さは尽きません。ただし、理想的なマイクロセグメンテーションポリシーでは、「Orderingアプリケーションを本番環境内で制限したい」という宣言型言語のみを使用します。それをどのように実現するかは、企業の仕事です。 ポリシーコンピュートエンジン ポリシー言語の裏側このように、ポリシーは常に指定しやすく、理解しやすく、開発しやすくなります。やるべき仕事の規模を考えれば、それ以外は何でも失敗に終わります。
一貫性のあるアプリケーション
必要なプリミティブがすべて揃っている場合、最良のマイクロセグメンテーションソリューションは製品のあらゆる領域でそれらを一貫して使用します。ラベルはポリシー作成のためだけのものではなく、可視性、ポリシーの配布、ポリシーの適用に役立つものでなければなりません。 ロールベースアクセス制御 (RBAC) アプリケーション所有者や DevOps などが必要なものすべてにアクセスできるように、ラベル構造に正確に従う必要があります。ただし、それ以上はアクセスできません。特に自動デプロイメントを保護するには、この正確な委任機能が必要です。有用で明確かつシンプルなラベル構造は、一貫して適用されればメンタルモデルとなります。管理者はほとんどすぐにソリューションの仕組みを直感的に理解し、結果を予測できます。この直感はすぐにスピードに、スピードは習熟に、マスターは完成したプロジェクトへと変わります。シンプルさ、明快さ、一貫性は、複雑なデータセンター環境のソリューションです。
完全な抽象化
私が好きなのは、オートメーションは朝食にメタデータを食い尽くすということだ。自動化は、抽象化できる速度よりも速く進めることはできません。ポリシーモデルを成功させるには、ネットワーク・アドレッシングの痕跡や強制メカニズムそのものをすべて抽象化する必要があります。政策は望まれていることだけを扱わなければならない。このように、自動化によって「ウェブはアプリと通信しなければならない」という結果を簡単に示すことができます。これを実現するために必要なルールは、動的なクラウド環境や自動化環境では常に変化し、規模を拡大するのであれば、その複雑さを自動化フレームワークに公開することはできません。IP アドレスに依存するポリシーは、どんなに善意があっても、規模を拡大することはできません。同様に、強制メカニズムも隠さなければなりません。いったん希望が示されたら、マイクロセグメンテーション・ポリシー・エンジンは、知っているリソースを考慮して、そのポリシーを実装する最善の方法を見つけ出す必要があります。この方法では、システムが現れたり消えたりするにつれて、適用ポイントの数も変化し、ポリシーとルールベースも変化しなければなりません。DevOps やクラウドアーキテクトがマイクロセグメンテーションソリューションとシームレスに連携するために必要な機能を提供できるのは、完全に抽象化されたポリシーだけです。
大規模政策
何年も前、メガファウナは地球を支配していました。どの大陸にも巨大な植物や動物が生息しており、それらは現在の種よりも高くそびえ立っていました。最良の政策モデルには、個々の用途の簡単な説明よりも優先されるスケールファクターが含まれます。あらゆるポリシーディメンションであらゆるラベルをグループ化できるため、1 つのポリシーで複数のデータセンター、環境、またはアプリケーションのシステムに適用できます。ハイパースケール企業向けのポリシーを作成する場合、これらの「メガポリシー」は驚くほど適用範囲、スピード、効率性を発揮して、マイクロセグメンテーションポリシーによって企業全体を対象とします。
ポリシーモデルは、抽象的で重要ではない概念のように思えるかもしれません。しかし、マイクロセグメンテーションの導入を成功させるには、真実からかけ離れたものはありません。ポリシーモデルによって、表現できるものとできないもの、そして表現がどれほど簡単か難しいかが決まります。企業はUIの色をすぐに変えることができますが、壊れていたり、不適切に設計されたポリシーモデルを修正するのは難しいでしょう。世界で最も実績のあるマイクロセグメンテーション・ポリシー・モデルでは、「便利な次元」ラベル・モデルを通じて、ネットワークのアドレスや適用ポイントから完全に抽象化されています。このモデルは、製品のあらゆる機能に一貫して適用されています。フル・オブジェクト・モデルを継承モデルや宣言型モデルと組み合わせると、望みどおりの結果を簡単かつ迅速に述べることができ、それを現実のものにすることができます。マイクロセグメンテーションは以下で成功します。 数十万のワークロードの規模 成熟した、完全な、よく設計された政策モデルを通じてのみ。
この連載の次は、マイクロセグメンテーションについてよくわからない質問ですが、マイクロセグメンテーションポリシーを自動化するには何が必要かを説明します。