.png)
Limites de fiscalização: 7 casos de uso além do ransomware
Os limites de fiscalização são o canivete suíço da redução de riscos. Essas famosas ferramentas vermelhas podem fazer muito mais do que cortar queijo e maçã, e o Enforcement Boundaries pode fazer muito mais do que apenas combater o ransomware.
In a previous blog post, we explained how Enforcement Boundaries can help you fight ransomware — both proactively and reactively. Now, we’d like to show you other use cases for this innovative approach to Zero Trust.
Enforcement Boundaries work by creating a virtual firewall around every operating system or application instance. Essentially, they transform workloads into Zero Trust segments. That lets you place a protective perimeter around any port, workload, group of workloads or IP range. And you can do this far more quickly and easily than you could with a full-fledged Zero Trust setup.
Aqui está nossa lista de sete maneiras pelas quais, além de combater o ransomware, você pode usar o Enforcement Boundaries:
1. Ambientes separados
Um limite de fiscalização bidirecional pode criar uma parede virtual entre dois ambientes. Isso é especialmente útil para separar a produção, que lida com os dados do cliente, e o desenvolvimento, que não.
Esses dois ambientes geralmente não devem conversar. Por exemplo, em um ambiente hospitalar, você não daria aos desenvolvedores acesso às informações dos pacientes. A abordagem tradicional tem sido colocar dispositivos diferentes em diferentes segmentos de rede. Mas isso pressupõe que o dispositivo e seu endereço IP sejam constantes, uma suposição que hoje não é mais segura.
Quando um limite de fiscalização é estabelecido, os fluxos de dados em cada ambiente continuam normalmente e os membros da equipe podem trabalhar sem impedimentos. Mas nenhum fluxo pode cruzar o limite definido, a menos que seja explicitamente definido na lista de permissões.
2. Isole novos ambientes
Quando uma empresa é adquirida ou mesclada, a organização adquirente pode querer limitar os fluxos de dados da nova unidade. Um limite de fiscalização pode ser usado para garantir que somente tráfego muito específico possa passar da nova subsidiária.
Isso pode significar permitir que a equipe jurídica da empresa recém-adquirida se comunique com a equipe jurídica da empresa adquirente. Mas isso também pode significar que todos os outros tráfegos dentro da empresa estão bloqueados.
3. PCI-DSS segmentation
The Payment Card Industry Data Security Standard (PCI-DSS) dictates that controls be placed around the cardholder data environment (CDE) to ensure that payment card data is contained.
To quickly comply, an organization can define an Enforcement Boundary between its collection of PCI-DSS applications and other systems. This will block all traffic from passing from the CDE to outside the CDE — except for any specific flows the organizations adds to its allow list.
4. Bloqueie o acesso de administrador para pular anfitriões
Um host de salto é um sistema em uma rede usado para gerenciar dispositivos em uma zona de segurança separada. Depois que um administrador faz login em um host de salto, ele pode fazer login em outros servidores. Por esse motivo, uma organização deseja garantir que somente administradores de sistema conhecidos possam usar os protocolos de acesso administrativo.
Um limite de fiscalização pode ajudar separando grupos de produção, teste, integração e desenvolvimento. Isso usa a segmentação adaptável de usuários para limitar o acesso a aplicativos internos com base nas associações ao Active Directory.
O Enforcement Boundary também pode limitar o acesso ao Remote Desktop Protocol (RDP) e ao Secure Shell (SSH). O acesso pode então ser concedido somente a grupos específicos.
5. Aplicação somente de entrada
Um limite de imposição pode ser usado para definir um fluxo de dados unidirecional. Isso pode ajudar durante o início de um projeto de segmentação, quando a organização define quem e o que pode obter acesso aos aplicativos protegidos.
O fator complicador é que esses aplicativos podem consumir dados de outros aplicativos que não estão no escopo. Isso pode exigir que as organizações estabeleçam uma política externa, criando trabalho extra.
Um limite de aplicação pode eliminar esse requisito ao permitir somente fluxos de entrada para o aplicativo protegido.
6. Controle a conectividade de TI/OT
There are critical assets inside organizations that are urgent targets for protection. These could have virtual enforcement nodes (VENs) installed.
An Enforcement Boundary can be applied between unmanaged workloads and a defined set of VENs. For example, an organization with a mainframe system could use an Enforcement Boundary to block connections between that system and unauthorized apps.
7. Isole o tráfego leste-oeste dentro de uma zona desmilitarizada
Embora a maioria das zonas desmilitarizadas (DMZs) esteja conectada a firewalls, os criminosos podem usar hosts DMZ comprometidos para se deslocar para outros hosts na mesma zona.
Um limite de fiscalização pode ajudar separando todas as cargas de trabalho dentro da DMZ. Então, o tráfego só pode passar se atender a dois testes: um, ele está em conformidade com a lista de permissões definida. E segundo, permite que outras políticas de aplicativos sejam revisadas e atestadas em um prazo mais apropriado.
A abordagem da Illumio
Illumio’s "enforce and expand" approach with Enforcement Boundaries is fast and easy to deploy. Whereas an allow-list policy must be perfect before it can be enforced, by contrast, Enforcement Boundaries can be set, deployed and enforced in mere minutes to hours.
O Illumio usa um modelo declarativo que permite definir apenas o “o quê” — ou seja, o que você deseja bloquear — deixando que o Illumio cuide do “como”. É como perguntar a um dispositivo Alexa: “Toque música”. Você não precisa saber como o sistema funciona, apenas o que você quer que ele faça.
Você também pode testar e simular limites de fiscalização antes da implantação. Diga adeus à frase “mobilize e ore” e olá à frase “isso simplesmente funciona”.
To learn more about how Illumio Core accelerates workload security:
- Check out "Simplified Zero Trust Segmentation With Illumio."
- Watch the webinar, Automated Enforcement Advances: Protecting Against Ransomware and Cyberattacks.
