.png)
Combata o ransomware com mais rapidez: visibilidade centralizada para limites de fiscalização
A true Zero Trust Segmentation architecture pushes the trust boundary directly to individual application workloads. That's why Illumio's allow-list security model gives you the ability to allow only the traffic your workloads require — denying all else by default.
O Illumio bloqueia ou permite decisões tomadas diretamente na carga de trabalho antes que um pacote chegue ao plano da rede ou precise acessar qualquer ferramenta de segurança em sua rede ou malha de nuvem. A fiscalização total com o Illumio significa que você pode segmentar com precisão o tráfego para dentro e para fora de suas cargas de trabalho em alta escala.
No entanto, em alguns casos, você nem sempre tem informações suficientes para saber qual tráfego deseja permitir que se comunique com suas cargas de trabalho, mas talvez saiba o que não quer permitir que se comunique.
Modelos de segmentação de lista negada versus lista de permissões
Essas situações exigem a opção de usar temporariamente um modelo de segmentação de lista de negação, que bloqueia determinadas portas entre cargas de trabalho e permite todo o resto por padrão.
It's important to note that this should be only a temporary solution. You'll want to use analytics tools to collect the required application dependency traffic behavior that's necessary to define an eventual allow-list policy model. Then, you can switch from the deny-list segmentation model to an allow-list approach and a Zero Trust security model.
The flexibility becomes particularly important for ransomware protection. Most modern ransomware uses open ports on a workload’s network to move laterally across the environment. Take, for example, Remote Desktop Protocol (RDP) and Server Message Block (SMB). These ports are designed for workloads to access a small set of central resources, such as those managed by IT teams, and are rarely intended to be used between workloads. However, ransomware commonly uses them as easy "open doors" to propagate across all workloads.
To quickly solve this problem, you should have the ability to block RDP and SMB ports between all workloads at high scale. Then, create a small number of exceptions that allow workloads to access specific central resources. This is how Enforcement Boundaries work in Illumio Core.
Definindo limites de fiscalização
Os limites de imposição são um conjunto de regras de negação aplicadas a cargas de trabalho que foram colocadas no modo " Selective Enforcement ". Ao contrário do modo " Full Enforcement ", que segmenta e impõe o tráfego de carga de trabalho sob uma política de lista de permissões, " Selective Enforcement " bloqueia somente as portas selecionadas e o tráfego que você especificar.
O Illumio exibe regras de segmentação em três fluxos de trabalho diferentes:
- No menu Conjuntos de regras e regras, onde as regras são criadas
- No Explorer, onde você pode consultar o histórico de tráfego e eventos e analisar e visualizar todas as portas em todos os fluxos em um formato de tabela ou coordenada
- No Illumination, o mapa em tempo real a partir do qual você pode ver as dependências e a conectividade dos aplicativos em todos os ambientes
Enforcement Boundaries were visible in the "Rulesets and Rules" section upon its initial release, and could be applied to all workloads in "Selective Enforcement" mode. You can also view Enforcement Boundaries in the Explorer tool — making it possible to see port behavior and whether flows are impacted by an Enforcement Boundary rule.
And with the latest release of Illumio Core, the Illumination map displays Enforcement Boundaries in all flows across all application dependencies. Centralizing Enforcement Boundaries in Illumination enables you to efficiently correlate events during a security breach.
Visualizando limites de fiscalização e tráfego de fluxo de trabalho
Você pode visualizar os limites de fiscalização no Illumination por meio dos menus exibidos ao selecionar uma carga de trabalho ou um fluxo de tráfego.
No menu, você verá o conhecido ícone de “parede de tijolos” indicando a presença de um limite de fiscalização próximo ao tráfego que será afetado por ele. Esse é o mesmo método usado para visualizar os limites de aplicação no Explorer, permitindo uma representação visual e uma experiência consistentes.
Essa visualização exibe todo o tráfego entre cargas de trabalho selecionadas, seja no modo " Selective Enforcement " ou no modo " Mixed Enforcement ", e quais fluxos de tráfego serão afetados por um limite de fiscalização.
Você também pode ver o tipo de tráfego entre fluxos de trabalho ao lado de cada fluxo como tráfego unicast, broadcast ou multicast. Os tipos de tráfego são indicados pelos novos “B” e “M” ao lado de cada fluxo (o tráfego sem letra ao lado é unicast).
Centralizando os fluxos de trabalho do Enforcement Boundary na iluminação
Além de exibir limites de fiscalização junto com cargas de trabalho e fluxos de tráfego no Illumination, você pode selecionar e modificar limites de fiscalização específicos diretamente no Illumination. Ao selecionar a decisão de tráfego e política para uma carga de trabalho, você pode exibir ou editar esse limite de fiscalização.
Isso elimina a necessidade de alternar entre a visualização do tráfego no Illumination e o acesso a limites de fiscalização específicos em diferentes fluxos de trabalho. Você pode visualizar os dois tipos de políticas de segmentação — listas de permissão e listas de negação — como parte das dependências do aplicativo no Illumination.
Limites de fiscalização: a diferença da Illumio
Unlike many other security platforms, Enforcement Boundaries expand Illumio's capabilities to offer both allow-list and deny-list segmentation policy models. This allows you to take a granular approach to either security architecture and to implement a quick solution to ransomware. And you can do so safely, with the ability to analyze the effect of Enforcement Boundary rules on specific traffic patterns in Explorer and within application dependencies displayed in Illumination. You can now protect against what you want to allow and what you don’t want to allow — and see the effects in all three primary workflows.
Enforcement Boundaries also solve a long-standing problem with firewalls: rule ordering. Traditional firewalls read rules from top to bottom with an implicit "deny" at the end. Placing a new rule in an existing firewall ruleset is not for the faint of heart since putting one or more new rule statements in the wrong place, before or after some other existing rule, runs the risk of breaking dependencies.
This challenge requires a carefully defined change-control process during a planned change-control window. And if a dependency suddenly breaks during the change, you are required to roll back and try again later.
Para evitar esse problema, a Illumio oferece um modelo declarativo em que o administrador define o estado final de qualquer nova regra de segmentação ou limite de execução e a Illumio implementa cuidadosamente a ordem correta das regras. Isso significa que o administrador define o " what " e o Illumio implementa o " how. "
Since the weakest link in any security architecture is a human typing on a keyboard, Illumio removes the risk of configuration errors, which remains the single most common source of weak security in any cloud or enterprise network. You can clearly define and visualize Enforcement Boundaries — and guarantee that you can safely and efficiently implement workload segmentation at scale.
Para saber mais sobre a Illumio, líder em segmentação Zero Trust:
- Baixe os relatórios Forrester Wave que nomeiam a Illumio como líder em Zero Trust e microsegmentação.
- Leia como a Illumio ajudou um escritório de advocacia global a impedir um ataque de ransomware.
- Entre em contato conosco hoje mesmo para agendar uma consulta e demonstração.
