Para 57% das organizações empresariais da última pesquisa realizada pela McAfee sobre adoção de nuvem, a infraestrutura de TI assumiu a forma de uma nuvem híbrida, ou seja, uma combinação de infraestrutura de nuvem como serviço (IaaS) e alguma forma de data center de nuvem privada. Na McAfee, os executivos têm passado muito tempo falando sobre os benefícios do uso de provedores de infraestrutura de nuvem pública, como AWS e Azure, e gastado menos tempo discutindo a nuvem privada, que hoje é cada vez mais definida por software, ganhando o nome de “data center definido por software” ou SDDC.
A infraestrutura projetada para operar como um SDDC oferece a flexibilidade da nuvem com o máximo controle possível sobre os recursos de TI. Esse controle permite controles de segurança bem definidos, com o potencial de superar o que muitas equipes estão acostumadas a ter em um data center tradicional, especialmente quando se trata de políticas de microssegmentação.
Para começar, o conceito de data center definido por software descreve um ambiente em que computação, rede e, com frequência, armazenamento são virtualizados e resumidos acima do hardware físico em que são executados. A VMware lida com a maior parte dessas implantações virtualizadas, o que é uma extensão natural de seu longo histórico de transformação de servidores de finalidade única em uma infraestrutura de servidor virtual muito mais econômica. A grande mudança aqui é adicionar virtualização de rede através de sua tecnologia NSX, que libera a rede de restrições físicas e permite que ela seja definida por software.
Em uma rede física, sua infraestrutura tem um perímetro no qual você permite o tráfego de entrada / saída. Isso limita seu controle aos pontos físicos onde você pode interceptar esse tráfego. Em uma rede definida por software (uma parte essencial de um data center definido por software), sua rede pode ser controlada em todos os pontos lógicos da infraestrutura virtual. Por exemplo, digamos que você tenha 100 VMs em execução em três agrupamentos baseados em conformidade. Aqui estão as maneiras como a sua política pode ser construída em alto nível em um SDDC:
- Grupo 1: armazenamento compatível com PCI. Todas as VMs deste grupo são marcadas para o Grupo 1 e o tráfego de rede é limitado apenas a IPs internos.
- Grupo 2: aplicativo compatível com GDPR com dados do cliente. Novamente, cada VM é marcada para que seu grupo compartilhe a mesma política, desta vez aplicando criptografia e acesso somente leitura.
- Grupo 3: VMs de uso geral e uso misto com requisitos de conformidade variados. Nesse caso, cada VM precisa de sua própria política. Alguns podem estar limitados a um único acesso IP, outros abrem para a internet. Uma política por VM introduz efetivamente a microssegmentação na sua infraestrutura.
O objetivo desses exemplos básicos é esclarecer a oportunidade que um data center definido por software tem de ajustar a política de seus ativos mantidos no local. Se você também está executando no AWS ou no Azure, provavelmente o que você manteve no local consiste em seus ativos mais confidenciais, que exigem a proteção mais rigorosa. Controlar a política até a VM individual oferece essa flexibilidade. Depois de controlar a política no nível da VM, você também pode monitorar e controlar a comunicação entre essas VMs (ou seja, leste-oeste ou intra-VM), impedindo o movimento de ameaças laterais de uma VM para outra dentro do seu data center.
Se você estiver em um estado em que determinados recursos simplesmente não podem entrar na nuvem pública e quiser fazer melhorias em sua estratégia de proteção e eficiência de recursos, você deve considerar a criação de um plano para virtualizar completamente seu data center, incluindo a rede.
