Grenzen der Durchsetzung: 7 Anwendungsfälle, die über Ransomware hinausgehen
Durchsetzungsgrenzen sind das Schweizer Taschenmesser der Risikominderung. Diese berühmten roten Tools können viel mehr, als nur Käse und Äpfel in Scheiben schneiden, und Enforcement Boundaries kann viel mehr als nur Ransomware bekämpfen.
In einem vorheriger Blogbeitrag, wir haben erklärt, wie Enforcement Boundaries Ihnen helfen kann, Ransomware zu bekämpfen — sowohl proaktiv als auch reaktiv. Jetzt möchten wir Ihnen weitere Anwendungsfälle für diesen innovativen Zero-Trust-Ansatz aufzeigen.
Grenzen der Durchsetzung arbeiten Sie, indem Sie eine virtuelle Firewall für jedes Betriebssystem oder jede Anwendungsinstanz erstellen. Im Wesentlichen wandeln sie Workloads in Zero-Trust-Segmente um. Auf diese Weise können Sie einen Schutzperimeter um jeden Port, jede Workload, jede Gruppe von Workloads oder jeden IP-Bereich einrichten. Und das geht viel schneller und einfacher als mit einem vollwertigen Zero-Trust-Setup.
Hier ist unsere Liste mit sieben Möglichkeiten, wie Sie zusätzlich zur Bekämpfung von Ransomware Enforcement Boundaries nutzen können:
1. Separate Umgebungen
Eine bidirektionale Erzwingungsgrenze kann eine virtuelle Mauer zwischen zwei Umgebungen bilden. Das ist besonders hilfreich, um die Produktion, die Kundendaten verarbeitet, von der Entwicklung, die das nicht tut, zu trennen.
Diese beiden Umgebungen sollten im Allgemeinen nicht miteinander sprechen. In einem Krankenhaus würden Sie Entwicklern beispielsweise keinen Zugriff auf Patienteninformationen gewähren. Der traditionelle Ansatz bestand darin, verschiedene Geräte in verschiedenen Netzwerksegmenten zu platzieren. Dies setzt jedoch voraus, dass das Gerät und seine IP-Adresse konstant sind, eine Annahme, die heute nicht mehr sicher ist.
Sobald eine Durchsetzungsgrenze eingerichtet ist, läuft der Datenfluss innerhalb jeder Umgebung normal weiter, und die Teammitglieder können ungehindert arbeiten. Aber keine Datenflüsse können die definierte Grenze überschreiten — es sei denn, sie sind ausdrücklich in der Zulassungsliste definiert.
2. Isolieren Sie neue Umgebungen
Wenn ein Unternehmen übernommen oder fusioniert wird, möchte das übernehmende Unternehmen möglicherweise den Datenfluss der neuen Einheit einschränken. Eine Durchsetzungsgrenze kann verwendet werden, um sicherzustellen, dass nur ganz bestimmter Verkehr von der neuen Tochtergesellschaft aus zugelassen wird.
Das könnte bedeuten, dass die Rechtsabteilung des neu erworbenen Unternehmens mit der Rechtsabteilung des übernehmenden Unternehmens kommunizieren kann. Es könnte aber auch bedeuten, dass der gesamte andere unternehmensinterne Verkehr blockiert wird.
3. PCI-DSS-Segmentierung
Das Datensicherheitsstandard der Zahlungskartenbranche (PCI-DSS) schreibt vor, dass Kontrollen rund um die Karteninhaberdatenumgebung (CDE) eingerichtet werden, um sicherzustellen, dass Zahlungskartendaten enthalten sind.
Um die Anforderungen schnell einzuhalten, kann ein Unternehmen eine Durchsetzungsgrenze zwischen seiner Sammlung von PCI-DSS-Anwendungen und anderen Systemen definieren. Dadurch wird verhindert, dass der gesamte Datenverkehr vom CDE nach außerhalb des CDE weitergeleitet wird — mit Ausnahme bestimmter Datenflüsse, die das Unternehmen zu seinem System hinzufügt Liste zulassen.
4. Sperren Sie den Admin-Zugriff auf Jump-Hosts
Ein Jump-Host ist ein System in einem Netzwerk, das zur Verwaltung von Geräten in einer separaten Sicherheitszone verwendet wird. Sobald sich ein Administrator bei einem Jump-Host anmeldet, kann er sich dann bei anderen Servern anmelden. Aus diesem Grund möchte eine Organisation sicherstellen, dass nur bekannte Systemadministratoren die Administratorzugriffsprotokolle nutzen können.
Eine Durchsetzungsgrenze kann helfen, indem sie Produktions-, Test-, Integrations- und Entwicklungsgruppen voneinander trennt. Dabei wird eine adaptive Benutzersegmentierung verwendet, um den Zugriff auf interne Apps auf der Grundlage von Active Directory-Mitgliedschaften einzuschränken.
Die Enforcement Boundary kann auch den Zugriff sowohl auf Remote Desktop Protocol (RDP) als auch auf Secure Shell (SSH) einschränken. Der Zugriff kann dann nur bestimmten Gruppen gewährt werden.
5. Durchsetzung nur im Inlandseinzug
Eine Erzwingungsgrenze kann verwendet werden, um einen unidirektionalen Datenfluss festzulegen. Dies kann zu Beginn eines Segmentierungsprojekts hilfreich sein, wenn das Unternehmen festlegt, wer und was Zugriff auf geschützte Anwendungen erhalten kann.
Erschwerend kommt hinzu, dass diese Anwendungen möglicherweise Daten aus anderen Anwendungen verbrauchen, die nicht in den Geltungsbereich fallen. Dies kann dazu führen, dass Unternehmen eine Richtlinie für ausgehende Nachrichten festlegen müssen, was zusätzliche Arbeit bedeutet.
Eine Durchsetzungsgrenze kann diese Anforderung beseitigen, indem nur eingehende Datenflüsse zur geschützten Anwendung zugelassen werden.
6. Steuern Sie die IT/OT-Konnektivität
In Unternehmen gibt es wichtige Ressourcen, die dringend geschützt werden müssen. Diese hätten virtuelle Durchsetzungsknoten (VENs) installiert.
Eine Durchsetzungsgrenze kann zwischen nicht verwalteten Workloads und einem definierten Satz von VENs angewendet werden. Zum Beispiel eine Organisation mit einer Mainframe-System könnte eine Enforcement-Grenze verwenden, um Verbindungen zwischen diesem System und nicht autorisierten Apps zu blockieren.
7. Isolieren Sie den Ost-West-Verkehr innerhalb einer DMZ
Obwohl die meisten demilitarisierten Zonen (DMZs) mit Firewalls verbunden sind, können Kriminelle kompromittierte DMZ-Hosts nutzen, um zu anderen Hosts in derselben Zone zu wechseln.
Eine Durchsetzungsgrenze kann helfen, indem alle Workloads innerhalb der DMZ getrennt werden. Dann kann der Traffic nur bestanden werden, wenn er zwei Tests erfüllt: Erstens, er entspricht der definierten Zulassungsliste. Und zweitens können so andere Anwendungsrichtlinien in einem angemesseneren Zeitrahmen überprüft und bestätigt werden.
Der Ansatz von Illumio
Illumios „Durchsetzen und Erweitern“ -Ansatz with Enforcement Boundaries ist schnell und einfach einzusetzen. Während eine Richtlinie auf der Zulassungsliste perfekt sein muss, bevor sie durchgesetzt werden kann, können Durchsetzungsgrenzen dagegen in nur wenigen Minuten bis Stunden festgelegt, eingesetzt und durchgesetzt werden.
Illumio verwendet ein deklaratives Modell, mit dem Sie nur das „Was“ definieren können — das heißt, was Sie blockieren möchten — und Illumio sich um das „Wie“ kümmert. Es ist, als würde man ein Alexa-Gerät fragen: „Musik abspielen“. Sie müssen nicht wissen, wie das System funktioniert, sondern nur, was es tun soll.
Du kannst auch Enforcement Boundaries vor dem Einsatz testen und simulieren — verabschiede dich von „Einsatz und Gebet“ und hallo zu „Das funktioniert einfach“.
Um mehr darüber zu erfahren, wie Illumio Core beschleunigt Workload-Sicherheit:
- Auschecken „Vereinfachte Zero-Trust-Segmentierung mit Illumio.“
- Sehen Sie sich das Webinar an, Fortschritte bei der automatisierten Durchsetzung: Schutz vor Ransomware und Cyberangriffen.