Colmare le lacune proteggendo i carichi di lavoro virtuali e containerizzati con Red Hat OpenShift e Palo Alto Networks

Sebbene la migrazione dei carichi di lavoro virtuali o containerizzati tra diversi ambienti possa sembrare semplice, i team responsabili della gestione dell'operatività dei sistemi, dell'applicazione delle policy e della protezione del traffico est-ovest si trovano spesso di fronte a un processo complesso. Piccole differenze nel comportamento degli hypervisor, applicazioni incoerenti delle policy e punti ciechi nei flussi di traffico possono introdurre rischi che non sono sempre evidenti, finché non è quasi troppo tardi.

La combinazione di Red Hat OpenShift Virtualization e dei firewall software Palo Alto Networks VM-Series aiuta a risolvere queste complessità dove in genere si presentano. 

OpenShift Virtualization semplifica la modernizzazione e la gestione del ciclo di vita dei carichi di lavoro basati su VM all'interno di una piattaforma Kubernetes native. VM-Series integra questa funzionalità portando una sicurezza di rete coerente e basata sulle applicazioni negli ambienti virtualizzati, aiutando i team ad applicare le policy e a mantenere la visibilità anche quando l’infrastruttura si evolve.

Inoltre, l'integrazione di Red Hat OpenShift con Prisma AIRS™ consente ai clienti di adottare la prevenzione delle minacce basata sull'IA per la protezione della rete in fase di runtime nei carichi di lavoro containerizzati eseguiti su cluster OpenShift.

La tensione operativa

Molte aziende operano in ambienti ibridi per necessità, non per scelta. Gli investimenti esistenti nella virtualizzazione coesistono con le applicazioni containerizzate e ci si aspetta che i team li supportino con la stessa affidabilità. La sfida operativa non consiste solo nel collegare questi domini, ma nel farlo senza frammentare i criteri di sicurezza, gli strumenti o la visibilità.

Oggi, i carichi di lavoro vengono trasferiti tra cloud privati, cloud pubblici o tra datacenter e si presentano in forme diverse (fisici, virtuali e containerizzati). Sebbene ciò offra una notevole flessibilità ai clienti, aggrava il problema di applicare un livello di sicurezza uniforme e trasforma le migrazioni in processi rischiosi. Lacune nelle policy, segmentazione incoerente o punti non visibili nel traffico est-ovest possono consentire alle minacce di passare inosservate.

Ottimizzazione strategica

OpenShift Virtualization consente di eseguire VM completamente integrate e supportate all’interno della piattaforma Kubernetes, utilizzando il progetto KubeVirt open source. In questo modo, le organizzazioni possono consolidare i carichi di lavoro delle VM e dei container all'interno dei cluster OpenShift, mantenendo la coerenza di deployment, scalabilità e controlli del ciclo di vita. Le VM sono ospitate nell'hypervisor basato su KVM e sono gestite tramite un'interfaccia web intuitiva basata su API Kubernetes familiari.

I firewall software Palo Alto Networks VM-Series estendono la prevenzione delle minacce di livello 7 in questo ambiente. Questi firewall software utilizzano criteri granulari a livello di applicazione, eseguono ispezioni del traffico in tempo reale e supportano gli aggiornamenti dinamici tramite l'automazione.

Questa architettura consente:

• una segmentazione est-ovest coerente che utilizza firewall software VM-Series per isolare il traffico tra le VM;
• un'applicazione delle policy tramite Panorama o Strata Cloud Manager (SCM), che offre una gestione centralizzata e scalabile tra i cluster, mentre i moduli di Red Hat Ansible Automation Platform consentono il provisioning automatizzato dei firewall e il deployment delle policy al variare dell'infrastruttura;
• una visibilità condivisa tra i carichi di lavoro, correlando la telemetria di rete OpenShift con i registri del traffico VM-Series;

Ottimizzazione di Red Hat OpenShift con Prisma AIRS

Con il supporto di Prisma AIRS per Red Hat OpenShift, i clienti possono utilizzare Prisma AIRS per proteggere le app containerizzate e di IA in esecuzione sui cluster Red Hat OpenShift e fornire visibilità e sicurezza in fase di runtime contro minacce sconosciute e prive di patch, consentendo loro di applicare un profilo di sicurezza più coerente in ogni cloud e negli ambienti cloud ibridi. Prisma AIRS può essere gestito con Panorama o Strata Cloud Manager (SCM), fornendo ai team di sicurezza della rete un'interfaccia e funzionalità familiari tramite un'unica console. 

Red Hat OpenShift può essere integrato con Prisma AIRS, offrendo i seguenti vantaggi per i clienti:

• aumento della sicurezza della rete durante l'esecuzione della trasformazione digitale;
• protezione delle app containerizzate e di IA dalle minacce note, sconosciute, di base e specifiche dell'IA;
• rafforzamento della sicurezza di tutte le applicazioni con una gestione centralizzata e strumenti coerenti.

Implicazioni strategiche

Per i responsabili tecnici più esperti, il valore di queste integrazioni è fondamentalmente strategico e non solo tattico. I punti salienti di questi valori includono:

• razionalizzazione dell'infrastruttura con la gestione di VM e container in un'unica piattaforma;
• contenimento più efficace delle minacce applicando una microsegmentazione e un'ispezione coerenti;
• gestione semplificata e sicurezza garantita durante le migrazioni nel cloud o il consolidamento dei datacenter.

I team di sicurezza ottengono l'uniformità, mentre i team operativi mantengono il controllo e le prestazioni. Il risultato è un piano di controllo condiviso che riflette la natura ibrida dell'IT aziendale moderno.

Scenario di utilizzo: migrazione dei carichi di lavoro con sicurezza integrata

Con la transizione aziendale dalle piattaforme di virtualizzazione tradizionali a un’architettura cloud native, la migrazione delle VM a OpenShift Virtualization rappresenta un percorso pratico e strategico verso la modernizzazione. Queste migrazioni si estendono spesso su più zone di attendibilità e richiedono comunicazioni crittografate, l'ispezione del traffico tra le VM e la riconvalida dei criteri di sicurezza.

L'utilizzo di OpenShift Virtualization con Prisma AIRS risolve questo problema: 

• mantenendo il profilo di sicurezza end to end durante le transizioni dei carichi di lavoro;
• proteggendo il traffico in transito con policy controllate in ingresso e in uscita applicate da VM-Series;
• consentendo la portabilità delle licenze tramite Flex Credits, i crediti dei firewall in disuso che possono essere riassegnati, semplificando il provisioning su nuove destinazioni.

In questo modo si riducono i costi operativi e i rischi associati alle finestre di migrazione, che sono spesso i momenti di maggiore esposizione.

Scenario di utilizzo: gestione centralizzata e uniformità delle policy

Una delle sfide costanti nelle infrastrutture ibride è l'applicazione di criteri di sicurezza coerenti su carichi di lavoro di diverso tipo. I container possono essere gestiti tramite pipeline CI/CD, mentre le VM si affidano ancora ai percorsi di deployment tradizionali. Questa asimmetria spesso porta a comportamenti frammentari nell’ambito della sicurezza, aggravati dal fatto che gli strumenti di sicurezza tradizionali non hanno visibilità sul traffico est-ovest all'interno dei cluster di container, una lacuna critica poiché Gartner prevede che oltre il 75% delle applicazioni di IA verrà eseguito su container entro il 2027.

OpenShift Virtualization aiuta ad affrontare questa sfida standardizzando il modello di deployment e integrando le VM nello stesso framework di gestione Kubernetes native utilizzato per i carichi di lavoro containerizzati. Anziché gestire le VM separatamente tramite i tradizionali strumenti specifici dell'hypervisor, i team possono definire, pianificare, monitorare e ridimensionare le VM utilizzando le stesse API, configurazioni dichiarative e pipeline di automazione che gestiscono i container.

Per completare questo approccio unificato, soluzioni come Prisma AIRS estendono la sicurezza Zero Trust e la prevenzione delle minacce basata sull'IA ai carichi di lavoro containerizzati e virtualizzati su OpenShift. Fornendo protezione della rete in fase di runtime e visibilità completa sul traffico all'interno del cluster, Prisma AIRS consente l'applicazione della sicurezza e criteri di microsegmentazione coerenti per tutti i tipi di carichi di lavoro, che si tratti di container tradizionali, VM gestite tramite OpenShift Virtualization o applicazioni di IA emergenti. Grazie a questa combinazione, i team che si occupano dell'infrastruttura non devono più gestire i sistemi paralleli per le operazioni o per la sicurezza, ottenendo una reale coerenza nell'infrastruttura ibrida e al contempo garantendo la protezione dalle minacce note e dagli attacchi zero-day a livello dell'applicazione.

Gli amministratori possono gestire questi controlli tramite Palo Alto Networks Panorama o Strata Cloud Manager (SCM), continuando a utilizzare gli strumenti nativi di OpenShift per l'orchestrazione dei carichi di lavoro. Ansible Automation Platform può anche collegare questi domini di gestione, consentendo ai team di automatizzare le configurazioni dei firewall e i criteri di sicurezza all'interno delle pipeline CI/CD esistenti. Questa separazione dei compiti aiuta a mantenere la chiarezza e a ridurre la proliferazione incontrollata degli strumenti.

Note sull'implementazione

Con questa architettura, i firewall VM-Series vengono distribuiti, all'interno di OpenShift Virtualization, come VM in esecuzione su hypervisor KVM. Ogni istanza del firewall è in grado di ispezionare il traffico instradato attraverso la rete software-defined (SDN) di OpenShift, con criteri applicati in modo dinamico in base a etichette, spazi dei nomi o identità del servizio.

Ciò consente:

• definizioni di policy che seguono i carichi di lavoro, anziché gli indirizzi IP;
• modifiche all'applicazione automatizzate e basate sui flussi di lavoro GitOps;
• ispezione del traffico in tempo reale, inclusa la decifratura TLS, l'identificazione delle applicazioni (App-ID) e il controllo degli accessi basato sugli ID utente.

Queste funzionalità sono fondamentali quando si supportano carichi di lavoro regolamentati o ambienti in cui non è possibile effettuare audit e segmentazione.

Considerazioni finali

La sfida dell'infrastruttura ibrida resta: la rapida adozione di applicazioni containerizzate e carichi di lavoro di IA sta rendendo tutto più complesso. Le organizzazioni hanno bisogno di percorsi di modernizzazione pratici, senza rinunciare agli investimenti già fatti nella virtualizzazione e senza compromettere la sicurezza.

OpenShift Virtualization fornisce una base operativa portando le VM nel mondo Kubernetes native, creando una piattaforma unificata in cui i team dell'infrastruttura possono gestire i carichi di lavoro tradizionali e cloud native tramite API coerenti, configurazioni dichiarative e pipeline di automazione. Tuttavia, con l'evoluzione e la moltiplicazione dei carichi di lavoro, la standardizzazione da sola non è sufficiente.

Per questo, le soluzioni di sicurezza complementari di Palo Alto Networks completano il quadro. I firewall software VM-Series offrono un'ispezione approfondita e basata sulle applicazioni e l'applicazione delle policy di livello 7 per i carichi di lavoro virtualizzati, mentre Prisma AIRS estende la prevenzione delle minacce basata sull'IA e la protezione del runtime alle applicazioni containerizzate, inclusa l'ondata emergente di carichi di lavoro IA. Entrambe le soluzioni possono essere integrate con OpenShift, fornendo un livello di sicurezza coerente grazie alla gestione centralizzata tramite Panorama o Strata Cloud Manager (SCM).

Questa combinazione consente alle organizzazioni di applicare criteri di sicurezza uniformi all'intero ambiente ibrido, proteggendo le VM in uso durante la migrazione, mettendo in sicurezza i microservizi moderni, e salvaguardando le applicazioni di IA. Con i moduli di Ansible Automation Platform che collegano i domini operativi e di sicurezza, i team possono integrare la sicurezza nelle pipeline CI/CD nei flussi di lavoro GitOps, trasformando la protezione in una parte integrante del ciclo di vita dello sviluppo, in modo che non sia un aspetto secondario.

Insieme, queste piattaforme forniscono ciò di cui le aziende hanno effettivamente bisogno: un unico piano di controllo per le operazioni e un motore di sicurezza efficace che si adatta alla realtà dei carichi di lavoro, non viceversa. Grazie alla flessibilità di un'infrastruttura aperta unita alla sicurezza offerta dal modello Zero Trust, la tua organizzazione può gestire con sicurezza i workload attuali e affrontare le sfide future con l’adeguata preparazione.

È tempo di allineare la modernizzazione dell'infrastruttura all'evoluzione della sicurezza. Per ulteriori informazioni, consulta queste risorse aggiuntive:

• [Sintesi della soluzione] Firewall software VM-Series e Red Hat OpenShift Virtualization
• [Pagina web] Proteggere i cluster Red Hat con Prisma AIRS Runtime Security per implementare l'approccio Zero Trust per le app containerizzate e di IA
• [Articolo del blog] Prisma AIRS aiuta a proteggere i container e le app di IA in esecuzione su Red Hat OpenShift
• [Red Hat Ecosystem Catalogue] Firewall software Palo Alto Networks VM-Series
• [Red Hat Ecosystem Catalogue] Automatizza la configurazione con Red Hat e Palo Alto Networks
• [Pagina web] Red Hat OpenShift Virtualization
• [Articolo del blog] Palo Alto Networks VM-Series migliora la sicurezza dei carichi di lavoro virtualizzati su Red Hat OpenShift Virtualization
• [Documentazione degli scenari di utilizzo] Guida all'integrazione dei partner tecnologici
• [Sintesi della soluzione] Prisma AIRS e Red Hat OpenShift