Schnellerer Kampf gegen Ransomware: Zentralisierter Überblick über die Grenzen der Durchsetzung

Eine echte Zero-Trust-Segmentierungsarchitektur verschiebt die Vertrauensgrenze direkt auf den Einzelnen Anwendungsarbeitslasten. Aus diesem Grund bietet Ihnen das Sicherheitsmodell von Illumio die Möglichkeit, nur den Datenverkehr zuzulassen, den Ihre Workloads benötigen, und alles andere standardmäßig abzulehnen.

Illumio blockiert oder erlaubt Entscheidungen, die direkt am Workload getroffen werden, bevor ein Paket jemals die Netzwerkebene erreicht oder ein Sicherheitstool in Ihrem Netzwerk oder Ihrer Cloud-Fabric erreichen muss. Die vollständige Durchsetzung mit Illumio bedeutet, dass Sie den Datenverkehr, der in Ihre Workloads ein- und ausgeht, präzise segmentieren können, und das in großem Umfang.
 
In einigen Fällen verfügen Sie jedoch möglicherweise nicht immer über genügend Informationen, um zu wissen, welchen Datenverkehr Sie für die Kommunikation mit Ihren Workloads zulassen möchten — aber Sie wissen vielleicht, was Sie nicht möchte kommunizieren lassen.

Segmentierungsmodelle für Ablehnungslisten und Zulassungslisten

Solche Situationen erfordern die Option, vorübergehend ein Deny-List-Segmentierungsmodell zu verwenden, das bestimmte Ports zwischen Workloads blockiert und alle anderen standardmäßig zulässt.

Es ist wichtig zu beachten, dass dies nur eine vorübergehende Lösung sein sollte. Sie sollten Analysetools verwenden, um das erforderliche Verkehrsverhalten in Abhängigkeit von Anwendungen zu erfassen, das für die Definition eines eventuellen Richtlinienmodells für Zulassungslisten erforderlich ist. Anschließend können Sie vom Segmentierungsmodell „Ablehnungslisten“ zu einem Ansatz mit Zulassungslisten und einem Zero-Trust-Sicherheitsmodell wechseln.
 
Die Flexibilität wird besonders wichtig für Schutz vor Ransomware. Die meisten modernen Ransomware nutzt offene Ports im Netzwerk einer Arbeitslast, um sich seitlich durch die Umgebung zu bewegen. Nehmen wir zum Beispiel Remote Desktop Protocol (RDP) und Server Message Block (SMB). Diese Ports sind so konzipiert, dass Workloads auf eine kleine Gruppe zentraler Ressourcen zugreifen können, z. B. auf solche, die von IT-Teams verwaltet werden, und sind selten vorgesehen zur Verwendung zwischen Workloads. Ransomware nutzt sie jedoch in der Regel als einfache „offene Türen“, die sich auf alle Workloads ausbreiten.
 
Um dieses Problem schnell zu lösen, sollten Sie in der Lage sein, RDP- und SMB-Ports zwischen allen Workloads in großem Umfang zu blockieren. Erstellen Sie dann eine kleine Anzahl von Ausnahmen, die es Workloads ermöglichen, auf bestimmte zentrale Ressourcen zuzugreifen. So geht's Grenzen der Durchsetzung arbeite in Illumio Core.

Definition von Durchsetzungsgrenzen

Durchsetzungsgrenzen sind eine Reihe von Ablehnungsregeln, die auf Workloads angewendet werden, die in den Modus „Selektive Durchsetzung“ versetzt wurden. Im Gegensatz zum Modus „Vollständige Durchsetzung“, bei dem der Workload-Verkehr anhand einer Zulassungsliste segmentiert und durchgesetzt wird, blockiert „Selektive Durchsetzung“ nur ausgewählte Ports und den von Ihnen angegebenen Datenverkehr.

Illumio zeigt Segmentierungsregeln in drei verschiedenen Workflows an:

• Im Menü Regelsätze und Regeln, in dem Regeln erstellt werden
• Im Explorer, wo Sie historische Verkehrsdaten und Ereignisse abfragen und alle Anschlüsse in allen Flüssen in einem Tabellen- oder Koordinatenformat analysieren und visualisieren können
• In Illumination, der Echtzeitkarte, auf der Sie Anwendungsabhängigkeiten und Konnektivität in allen Umgebungen sehen können

Umsetzungsgrenzen waren bei der ersten Veröffentlichung im Abschnitt „Regelsätze und Regeln“ sichtbar und konnten im Modus „Selektive Durchsetzung“ auf alle Workloads angewendet werden. Du kannst die Grenzen der Durchsetzung auch in der Entdecker Tool — das es ermöglicht, das Verhalten von Ports zu sehen und zu sehen, ob Datenflüsse durch eine Enforcement-Boundary-Regel beeinflusst werden.

Und mit der neuesten Version von Illumio Core ist der Beleuchtung map zeigt Erzwingungsgrenzen in allen Flows über alle Anwendungsabhängigkeiten hinweg an. Die Zentralisierung der Durchsetzungsgrenzen in Illumination ermöglicht es Ihnen, Ereignisse während einer Sicherheitsverletzung effizient zu korrelieren.

Visualisierung von Durchsetzungsgrenzen und Workflow-Verkehr

Sie können die Durchsetzungsgrenzen in Illumination über die Menüs visualisieren, die angezeigt werden, wenn Sie eine Arbeitslast oder einen Verkehrsfluss auswählen.

Im Menü siehst du das bekannte „Backsteinmauersymbol“, das darauf hinweist, dass sich neben dem Verkehr, der davon betroffen sein wird, eine Durchsetzungsgrenze befindet. Dies ist dieselbe Methode, die zur Visualisierung von Durchsetzungsgrenzen im Explorer verwendet wird. Sie ermöglicht eine einheitliche visuelle Darstellung und ein einheitliches Benutzererlebnis.
 
In dieser Ansicht wird der gesamte Datenverkehr zwischen ausgewählten Workloads angezeigt, unabhängig davon, ob sich der Modus „Selektive Durchsetzung“ oder „Gemischte Durchsetzung“ befindet, und welche Verkehrsflüsse durch eine Erzwingungsgrenze beeinträchtigt werden.

Sie können die Art des Datenverkehrs zwischen Workflows neben jedem Flow auch als Unicast-, Broadcast- oder Multicast-Verkehr sehen. Datenverkehrstypen werden durch das neue „B“ und „M“ neben jedem Flow gekennzeichnet (Verkehr ohne Buchstaben daneben ist Unicast).

Zentralisierung der Arbeitsabläufe von Enforcement Boundary im Bereich Beleuchtung

Zusätzlich zur Anzeige von Erzwingungsgrenzen zusammen mit Arbeitslasten und Verkehrsströmen in Illumination können Sie bestimmte Erzwingungsgrenzen direkt in Illumination auswählen und ändern. Indem Sie die Verkehrs- und Richtlinien-Entscheidung für eine Arbeitslast auswählen, können Sie diese Erzwingungsgrenze anzeigen oder bearbeiten.

Dadurch entfällt die Notwendigkeit, zwischen der Visualisierung des Verkehrs in Illumination und dem Zugriff auf bestimmte Durchsetzungsgrenzen in verschiedenen Arbeitsabläufen hin und her zu springen. Sie können beide Arten von Segmentierungsrichtlinien — Zulassungslisten und Ablehnungslisten — als Teil der Anwendungsabhängigkeiten in Illumination visualisieren.

Grenzen der Durchsetzung: Der Unterschied zwischen Illumio

Im Gegensatz zu vielen anderen Sicherheitsplattformen erweitern Enforcement Boundaries die Möglichkeiten von Illumio und bieten sowohl Modelle zur Segmentierung von Zulassungslisten als auch Sperrlisten an. Auf diese Weise können Sie eine granulare Herangehensweise an beide Sicherheitsarchitekturen verfolgen und eine schnelle Lösung gegen Ransomware implementieren. Und Sie können dies sicher tun, da Sie die Möglichkeit haben, die Auswirkungen der Enforcement Boundary-Regeln auf bestimmte Verkehrsmuster in Entdecker und innerhalb von Anwendungsabhängigkeiten, angezeigt in Beleuchtung. Sie können sich jetzt davor schützen, was Sie zulassen möchten und was nicht — und die Auswirkungen in allen drei primären Workflows sehen.
 
Enforcement Boundaries lösen auch ein seit langem bestehendes Problem mit Firewalls: die Reihenfolge der Regeln. Herkömmliche Firewalls lesen Regeln von oben nach unten mit einem impliziten „Ablehnen“ am Ende. Das Einfügen einer neuen Regel in einen bestehenden Firewall-Regelsatz ist nichts für schwache Nerven, denn wenn Sie eine oder mehrere neue Regelanweisungen an der falschen Stelle vor oder nach einer anderen bestehenden Regel platzieren, besteht die Gefahr, dass Abhängigkeiten unterbrochen werden.
Diese Herausforderung erfordert einen sorgfältig definierten Änderungskontrollprozess während eines geplanten Änderungskontrollfensters. Und wenn während der Änderung plötzlich eine Abhängigkeit unterbrochen wird, müssen Sie einen Rollback durchführen und es später erneut versuchen.

Um dieses Problem zu vermeiden, bietet Illumio ein deklaratives Modell, bei dem der Administrator den Endstatus aller neuen Segmentierungsregeln oder Enforcement Boundary definiert und Illumio sorgfältig die richtige Regelreihenfolge implementiert. Das bedeutet, dass der Administrator das „Was“ definiert und Illumio das „Wie“ implementiert.

Da das schwächste Glied in jeder Sicherheitsarchitektur ein Mensch ist, der auf einer Tastatur tippt, beseitigt Illumio das Risiko von Konfigurationsfehlern, was nach wie vor die häufigste Ursache für schwache Sicherheit in jeder Cloud oder jedem Unternehmensnetzwerk ist. Sie können Durchsetzungsgrenzen klar definieren und visualisieren — und garantieren, dass Sie diese sicher und effizient umsetzen können Segmentierung der Arbeitslast maßstabsgetreu.

Um mehr über Illumio, den führenden Anbieter von Zero-Trust-Segmentierung, zu erfahren:

• Laden Sie die Forrester Wave-Berichte herunter Illumio zu einem führenden Unternehmen sowohl im Bereich Zero Trust als auch in der Mikrosegmentierung zu ernennen.
• Lesen Sie wie Illumio half einer globalen Anwaltskanzlei, einen Ransomware-Angriff zu stoppen.
• Kontaktieren Sie uns noch heute um eine Beratung und Vorführung zu vereinbaren.