Blog
/
Zero-Trust-Segmentierung

Was macht Illumios Agent zuverlässiger als Inline-Agenten

Ron Isaacson
,
Leitender Direktor, Field CTO
December 7, 2022
23 min. Lesedauer

Geheim klingt nach einem guten Wort, wenn Sie Ihre Daten schützen möchten. Und ob Ihr Geschmack eher Mission: Impossible oder Austin Powers ist, wer liebt keinen guten Film über Geheimagenten?

Wenn es jedoch um Segmentierung geht, ist ein Geheimagent so ziemlich das Letzte, was Sie wollen.

Die Arbeit eines Cybersicherheitsagenten ist nie getan — sie ist unerlässlich

Wenn wir über Agenten bei Illumio sprechen, sprechen wir normalerweise nicht über Jason Bourne. Stattdessen sprechen wir über den Endpoint-Agenten, das Arbeitspferd jeder Segmentierungsbereitstellung. Die Agentensoftware von Illumio heißt Virtueller Erzwingungsknoten oder VEN und es läuft auf jedem Workload, den wir schützen.

Sehen Sie sich diese Übersicht an, um mehr über den Illumio VEN zu erfahren:


Der Agent hat drei Hauptaufgaben:

  1. Es unterhält die ständige Kommunikation mit der Policy Compute Engine (PCE), dem zentralen Gehirn von Illumio. Denken Sie an Maxwell Smart, der immer in sein Schuhtelefon spricht.
  2. Es überwacht, was auf dem Workload passiert, einschließlich der Quelle und des Ziels jeder eingehenden oder ausgehenden Verbindung.
  3. Es setzt die Sicherheitsrichtlinie durch, die Sie für Ihr Unternehmen definiert haben, und erlaubt die Verbindungen, die Sie möchten, und blockiert die Verbindungen, die Sie nicht möchten.

Die Durchsetzungsmaßnahme ist entscheidend, wenn es darum geht, das Risiko zu verringern Datenschutzverletzungen. Aber hier kann ein Geheimagent auch in große Schwierigkeiten geraten.

Erfahren Sie mehr über den leichten, zuverlässigen VEN von Illumio hier.

Geheimagenten sitzen in der Schlange des Netzwerkverkehrs

Ein Segmentierungsagent hat eine komplexe Aufgabe: Er muss die Sicherheitsrichtlinie verstehen, die für die Arbeitslast gilt, und er muss jede eingehende und ausgehende Verbindung auf Einhaltung dieser Richtlinie überprüfen.

Eine irrtümlich blockierte Verbindung kann sich auf den Geschäftsbetrieb auswirken, aber eine riskante Verbindung zuzulassen, ist so, als würde man einem Angreifer die Tür öffnen. Der Agent muss jedes Mal die richtige Entscheidung treffen. Es muss außerdem zu 100 Prozent zuverlässig sein und darf die Leistung oder Verfügbarkeit Ihrer Anwendung nicht beeinträchtigen.

Auf technischer Ebene gibt es zwei Hauptansätze, wenn es um die Durchsetzung geht:

  • Ein Agent kann bei jeder Verbindung mittendrin sitzen und spontan Entscheidungen darüber treffen, was zugelassen oder blockiert werden soll.
  • Oder es kann die Hilfe des Betriebssystems, seines persönlichen Handlangers, in Anspruch nehmen, um die Drecksarbeit zu erledigen.

Ersteres nennen wir einen Inline Agent. Dieser Agent ist eine Software, die tief in den Kernel, den Kern des Betriebssystems, eindringt. Jedes Netzwerkdatenverkehrspaket, das in den Workload ein- oder ausgeht, wird vom Kernel an den Agenten weitergeleitet. Der Agent muss dieses Paket überprüfen und entscheiden, ob es zugelassen werden soll, und es dann zurück an den Kernel weiterleiten.

Agenten, die vollen Zugriff auf jedes Paket haben, können sehr mächtig sein, da sie über eine Vielzahl von Informationen verfügen, anhand derer sie beurteilen können, ob das Paket zugelassen werden sollte. Diese Agenten können jedoch auch sehr riskant sein. Sie müssen sich jedes Mal fragen: Wird Ihr Paket von James Bond geschützt, unterstützt durch die meisterhaften Erfindungen von Q? Oder wird es von Inspector Gadget verwüstet?

2 Gründe, warum Inline-Agenten unzuverlässig sein können

Leider ist die Analogie für viele Organisationen nicht lustig. Inline-Agenten haben keine sehr gute Erfolgsbilanz.

Das erste Problem ist in der Regel Performance: Inline-Agenten können nur einfache Regeln und rudimentäre Inspektionen anwenden, bevor sie sich merklich auf die Arbeitslast auswirken. Zu den Auswirkungen eines überlasteten Agenten können eine hohe CPU-Last und ein verringerter Netzwerkdurchsatz gehören. Sicherheit auf Kosten einer schlechten Anwendungsleistung ist kein sehr guter Kompromiss.

Neben der Leistung gibt es jedoch oft Fragen zu Zuverlässigkeit. Was passiert, wenn Ihr Agent bei seiner Mission versagt? Vielleicht fällt der Handgelenkkommunikator aus, oder der Agent erhält einen Input, den er nicht erwartet hat. Oder vielleicht ist der Agent der Aufgabe einfach nicht gewachsen, wurde in einer einfacheren Umgebung geschult und getestet und ist schlecht auf reale Bedingungen vorbereitet. Sollte der Agent ausgefallen sein und Sie so einem unnötigen Risiko ausgesetzt sein, oder sollte er geschlossen ausfallen und Ihren Betrieb stören?

Diese Risiken sind alle mit der Arbeit eines Geheimagenten verbunden, der im Schatten operiert und seine eigenen, unbewiesenen Methoden anwendet. Je mehr Kontakt der Agent mit jedem Paket hat, desto größer ist das Risiko, dass der Agent einen Ausfall oder eine Leistungsverschlechterung verursacht.

Illumios nicht ganz so geheimer Agent: Der Illumio VEN

Wenn es um Agenten geht, verfolgt Illumio einen anderen Ansatz. Wir teilen die Arbeit der Segmentierung gerne in zwei Hauptteile auf:

  • Sprechen Sie über Ihre Sicherheitsrichtlinien. Lassen Sie uns über Ihre Risiken und die Arten von Vermögenswerten nachdenken, die Sie schützen müssen, und eine menschenfreundliche Sicherheitsrichtlinie entwickeln, die Ihre Dienste und Daten schützt.
  • Setzen Sie Ihre Sicherheitsrichtlinien durch. Hier kommt der VEN ins Spiel, und im Idealfall ist er das transparenteste und uninteressanteste Puzzleteil.

Ihr Unternehmen gibt Ihnen genug zum Nachdenken; das Letzte, was Sie brauchen, ist ein Agent, der für unnötiges Drama sorgt.

Um sicherzustellen, dass Agenten kein Drama erleben, verfolgt Illumio bei VEN-Operationen einen mehrschichtigen Ansatz:

  • Der VEN ruft regelmäßig Aktualisierungen der Sicherheitsrichtlinien vom PCE ab. Wenn das PCE nicht erreichbar ist (für kurze oder lange Zeit), verfügt das VEN bereits über alles, was es zum Schutz Ihrer Arbeitslast benötigt. Es besteht keine Echtzeitabhängigkeit zwischen dem VEN und dem PCE.
  • Sobald der VEN seine Befehle vom PCE erhält, übergibt er die Durchsetzung an das Betriebssystem. Dieser „Enforcement-for-hire“ -Service wird von iptables unter Linux oder WFP unter Windows bereitgestellt (WFP ist die Windows Filtering Platform, der Low-Level-Enforcer, auf dem die Windows-Firewall aufgebaut ist). Wenn es um komplexe verteilte Systeme geht, erfordert die Durchsetzung auf Betriebssystemebene nicht viel Verstand, aber dafür jede Menge Muskelkraft.
  • Nachdem das OS seine Anweisung vom VEN erhalten hat, führt es die Durchsetzung dann ganz alleine durch. In dem unwahrscheinlichen Fall, dass mit dem VEN etwas schief geht, kann das Betriebssystem seine neueste Richtlinie ohne zusätzliche Hilfe weiter durchsetzen. Wie jeder gute Manager kann der VEN bei Bedarf eine Pause einlegen und alles läuft weiterhin reibungslos.

Lesen Sie mehr darüber, wie der Illumio VEN entwickelt wurde, um seine leichte Leistung beizubehalten.

Vorteile von Illumios VEN

Der Hauptvorteil dieses Ansatzes besteht darin, dass die vom Betriebssystem bereitgestellte Durchsetzung extrem stabil und leistungsstark ist. Unter Linux wurde iptables erstmals 1998 veröffentlicht; die Entwicklung von WFP begann etwa 2007. Diese Dienste sind ausgereift, robust und werden auf Hunderten von Millionen von Servern weltweit genutzt. Die meisten potenziellen Probleme, die sich möglicherweise auf die Arbeitslast auswirken könnten, wurden vor langer Zeit gefunden und behoben.

Und im Gegensatz zu Inline-Wirkstoffen hat der VEN von Illumio den Ruf, leicht und zuverlässig zu sein. Unser VEN hat eine nachgewiesene Erfolgsbilanz darin, unerwünschte Verbindungen zu blockieren, ohne Ihr Unternehmen durch zusätzliche Latenz oder Serviceunterbrechungen zu beeinträchtigen.

Illumio konzentriert sich auf Ihre Ziele zur Risikominderung und verfolgt einen „Hands-off“ -Ansatz für Ihre Pakete. So können Sie sich Gedanken über die Sicherheit machen, ohne sich Gedanken darüber machen zu müssen, ob der Agent seine Arbeit effektiv erledigt.

Sind Sie bereit, mehr über die Illumio Zero Trust Segmentation Platform zu erfahren? Kontaktiere uns heute für eine Beratung und Demo.

Verwandte Themen

Zero-Trust-Segmentierung

In Verbindung stehende Artikel

Das Certified Services Delivery Partner-Programm von Illumio benennt seine ersten Mitglieder
Zero-Trust-Segmentierung

Das Certified Services Delivery Partner-Programm von Illumio benennt seine ersten Mitglieder

Erfahren Sie, wie Sie mit dem neuen Illumio Certified Services Delivery Partner Program eine Illumio-Praxis aufbauen und ausbauen können.

Lesen Sie mehr
Illumio gehört zu den namhaften Anbietern in der Forrester Zero-Trust-Plattformlandschaft, Überblick über das zweite Quartal 2023
Zero-Trust-Segmentierung

Illumio gehört zu den namhaften Anbietern in der Forrester Zero-Trust-Plattformlandschaft, Überblick über das zweite Quartal 2023

Erfahren Sie anhand der Übersicht von Forrester, wie Illumio alle wichtigen Anwendungsfälle berücksichtigt, die Unternehmen von einem Zero-Trust-Anbieter benötigen.

Lesen Sie mehr
Wie Zero-Trust-Segmentierung Ransomware viermal schneller stoppt als Erkennung und Reaktion allein
Zero-Trust-Segmentierung

Wie Zero-Trust-Segmentierung Ransomware viermal schneller stoppt als Erkennung und Reaktion allein

Eine kürzlich von Bishop Fox durchgeführte Emulation eines Ransomware-Angriffs zeigte, dass die Zero-Trust-Segmentierung die Ausbreitung von Ransomware in weniger als 10 Minuten stoppt.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr