.png)
Grenzen der Durchsetzung: 7 Anwendungsfälle jenseits von Ransomware
Enforcement Boundaries sind das Schweizer Taschenmesser der Risikominderung. Diese berühmten roten Tools können viel mehr als nur Käse und Äpfel in Scheiben schneiden, und Enforcement Boundaries kann viel mehr als nur Ransomware bekämpfen.
In a previous blog post, we explained how Enforcement Boundaries can help you fight ransomware — both proactively and reactively. Now, we’d like to show you other use cases for this innovative approach to Zero Trust.
Enforcement Boundaries work by creating a virtual firewall around every operating system or application instance. Essentially, they transform workloads into Zero Trust segments. That lets you place a protective perimeter around any port, workload, group of workloads or IP range. And you can do this far more quickly and easily than you could with a full-fledged Zero Trust setup.
Hier ist unsere Liste mit sieben Möglichkeiten, wie Sie neben der Bekämpfung von Ransomware auch Durchsetzungsgrenzen nutzen können:
1. Getrennte Umgebungen
Eine bidirektionale Erzwingungsgrenze kann eine virtuelle Wand zwischen zwei Umgebungen erstellen. Dies ist besonders hilfreich für die Trennung von Produktion, die Kundendaten verarbeitet, und Entwicklung, die dies nicht tut.
Diese beiden Umgebungen sollten im Allgemeinen nicht miteinander sprechen. In einem Krankenhaus würden Sie Entwicklern beispielsweise keinen Zugriff auf Patienteninformationen gewähren. Der traditionelle Ansatz bestand darin, verschiedene Geräte in verschiedenen Netzwerksegmenten zu platzieren. Dies setzt jedoch voraus, dass das Gerät und seine IP-Adresse konstant sind, eine Annahme, die heute nicht mehr sicher ist.
Sobald eine Erzwingungsgrenze eingerichtet ist, werden die Datenflüsse innerhalb jeder Umgebung normal fortgesetzt, und die Teammitglieder können ungehindert arbeiten. Aber keine Flüsse können die definierte Grenze überschreiten – es sei denn, sie sind explizit in der Zulassungsliste definiert.
2. Isolieren Sie neue Umgebungen
Wenn ein Unternehmen erworben oder fusioniert wird, möchte die übernehmende Organisation möglicherweise die Datenflüsse der neuen Einheit einschränken. Eine Erzwingungsgrenze kann verwendet werden, um sicherzustellen, dass nur sehr bestimmter Datenverkehr von der neuen Niederlassung überquert werden darf.
Das könnte bedeuten, dass die Rechtsabteilung des neu erworbenen Unternehmens mit der Rechtsabteilung des übernehmenden Unternehmens kommunizieren muss. Es kann aber auch bedeuten, dass der gesamte andere unternehmensinterne Datenverkehr blockiert wird.
3. PCI-DSS segmentation
The Payment Card Industry Data Security Standard (PCI-DSS) dictates that controls be placed around the cardholder data environment (CDE) to ensure that payment card data is contained.
To quickly comply, an organization can define an Enforcement Boundary between its collection of PCI-DSS applications and other systems. This will block all traffic from passing from the CDE to outside the CDE — except for any specific flows the organizations adds to its allow list.
4. Admin-Zugriff auf Jump-Hosts sperren
Ein Jump-Host ist ein System in einem Netzwerk, das zur Verwaltung von Geräten in einer separaten Sicherheitszone verwendet wird. Sobald sich ein Administrator bei einem Jump-Host angemeldet hat, kann er sich bei anderen Servern anmelden. Aus diesem Grund möchte eine Organisation sicherstellen, dass nur bekannte Systemadministratoren die Admin-Zugriffsprotokolle verwenden können.
Eine Erzwingungsgrenze kann hilfreich sein, indem Produktions-, Test-, Integrations- und Entwicklungsgruppen getrennt werden. Dabei wird eine adaptive Benutzersegmentierung verwendet, um den Zugriff auf interne Apps basierend auf Active Directory-Mitgliedschaften einzuschränken.
Die Erzwingungsgrenze kann auch den Zugriff sowohl auf Remote Desktop Protocol (RDP) als auch auf Secure Shell (SSH) einschränken. Der Zugriff kann dann nur bestimmten Gruppen gewährt werden.
5. Durchsetzung nur für eingehenden Datenverkehr
Eine Erzwingungsgrenze kann verwendet werden, um einen unidirektionalen Datenfluss festzulegen. Dies kann zu Beginn eines Segmentierungsprojekts hilfreich sein, wenn das Unternehmen definiert, wer und was Zugriff auf geschützte Anwendungen erhalten kann.
Der erschwerende Faktor besteht darin, dass diese Anwendungen Daten von anderen Anwendungen nutzen können, die nicht im Gültigkeitsbereich liegen. Dies kann dazu führen, dass Organisationen eine Richtlinie für ausgehenden Datenverkehr festlegen müssen, was zu zusätzlicher Arbeit führt.
Eine Erzwingungsgrenze kann diese Anforderung beseitigen, indem nur eingehende Datenflüsse an die geschützte Anwendung zugelassen werden.
6. Steuern Sie die IT/OT-Konnektivität
There are critical assets inside organizations that are urgent targets for protection. These could have virtual enforcement nodes (VENs) installed.
An Enforcement Boundary can be applied between unmanaged workloads and a defined set of VENs. For example, an organization with a mainframe system could use an Enforcement Boundary to block connections between that system and unauthorized apps.
7. Isolieren Sie den Ost-West-Datenverkehr innerhalb einer DMZ
Obwohl die meisten demilitarisierten Zonen (DMZs) mit Firewalls verbunden sind, können Kriminelle kompromittierte DMZ-Hosts nutzen, um auf andere Hosts in derselben Zone umzuschwenken.
Eine Erzwingungsgrenze kann hilfreich sein, indem alle Workloads innerhalb der DMZ getrennt werden. Dann kann der Datenverkehr nur dann bestanden werden, wenn er zwei Tests erfüllt: Erstens, er entspricht der definierten Zulassungsliste. Und zweitens können andere Anwendungsrichtlinien in einem angemesseneren Zeitrahmen überprüft und bestätigt werden.
Der Ansatz von Illumio
Illumio’s "enforce and expand" approach with Enforcement Boundaries is fast and easy to deploy. Whereas an allow-list policy must be perfect before it can be enforced, by contrast, Enforcement Boundaries can be set, deployed and enforced in mere minutes to hours.
Illumio verwendet ein deklaratives Modell, mit dem Sie nur das "Was" definieren können – d. h. was Sie blockieren möchten – und Illumio sich um das "Wie" kümmern muss. Es ist, als würde man ein Alexa-Gerät bitten: "Spiele Musik." Sie müssen nicht wissen, wie das System funktioniert, sondern nur, was Sie möchten.
Sie können Durchsetzungsgrenzen auch vor der Bereitstellung testen und simulieren – verabschieden Sie sich von "Bereitstellen und beten" und begrüßen Sie "das funktioniert einfach".
To learn more about how Illumio Core accelerates workload security:
- Check out "Simplified Zero Trust Segmentation With Illumio."
- Watch the webinar, Automated Enforcement Advances: Protecting Against Ransomware and Cyberattacks.
