Wenig bekannte Funktionen von Illumio Core: Core Services Detector
In dieser fortlaufenden Serie heben die Sicherheitsexperten von Illumio die weniger bekannten (aber nicht weniger leistungsstarken) Funktionen von Illumio Core.
Eine häufige Herausforderung für Sicherheitsteams besteht darin, zu entscheiden, wie Workloads so gekennzeichnet werden, dass sie widerspiegeln, welche Anwendungen auf ihnen ausgeführt werden. Allzu oft ist nicht genau klar, welche Anwendungen auf welchen Workloads ausgeführt werden, und auf einem Workload kann mehr als eine Anwendung ausgeführt werden.
Herauszufinden, um welche Anwendungen es sich handelt, kann zeitaufwändig sein und die Zeit bis zur Wertschöpfung Ihrer Sicherheitslösungen verzögern. Schlimmer noch, wenn Sie keinen Einblick in Ihre Anwendungen und deren Workloads haben, können Sie versehentlich Abhängigkeiten durchbrechen.
Wie können Sie schnell eine vollständige Bestandsaufnahme der Anwendungen finden, die auf all Ihren Workloads ausgeführt werden? Der Core Services Detector von Illumio kann Ihnen helfen. Lesen Sie weiter, um zu erfahren, wie.
Was ist der Core Services Detector?
Illumio Core verwaltet Workloads direkt auf der Arbeitslast. Dadurch kann es viele Informationen über diese Arbeitslast sammeln. Eine dieser Informationen ist, welche Datenflüsse und zugehörigen Portnummern auf diesem Workload gesendet und empfangen werden.
Illumios virtueller Durchsetzungsknoten (VEN) bei einem Workload wird diese Information an Illumio's zurückmelden Policy Compute Engine (PCE) von jedem verwalteten Workload. Das PCE analysiert diese Informationen und ordnet diese Datenflüsse bestimmten Anwendungen zu. Das PCE bezeichnet diese erkannten Anwendungen als Core Services, und die Fähigkeit, diese Informationen auf dem PCE zu sammeln, wird Core Services Detector genannt.
So funktioniert der Core Services Detector
Der Core Services Detector wurde entwickelt, um die komplexe Aufgabe der Erkennung und Kennzeichnung wichtiger Netzwerkdienste zu vereinfachen. Im Folgenden finden Sie den dreistufigen Prozess, mit dem die Funktion Ihnen hilft, Ihre wichtigsten Ressourcen besser zu verstehen und zu schützen:
1. Ermitteln Sie Verkehrsflüsse und verarbeiten Sie Informationen, die auf Workloads ausgeführt werden
Der Core Services Detector sammelt zunächst Informationen von allen VENs auf verwalteten Workloads. Er analysiert den Datenverkehr und verarbeitet Informationen, um festzustellen, welche Anwendungen sie verwenden.
Die Funktion verwendet eine Kombination aus maschinelles Lernen (ML) und regelbasierte Modelle, um eine Liste des gesamten erkannten Anwendungsverkehrs zu erstellen.
Der Core Services Detector verwendet zwei Ansätze zur Analyse des Datenverkehrs:
- Eine Kombination aus Prozessinformationsanalyse und Verkehrsströmen
- Alleine Verkehrsflussanalyse
Durch die Kombination dieser verschiedenen Ansätze kann der Core Services Detector eine Liste von Diensten erstellen, die auf jedem Workload ausgeführt werden.
2. Erstellen Sie ein Inventar der entdeckten Dienste
Je länger der Core Services Detector läuft, desto mehr Details sammelt er. Wir empfehlen, ihn 14 Tage lang laufen zu lassen, um Dienste abzufangen, die nur gelegentlich ausgeführt werden. Aber es fängt schon am ersten Tag an, Informationen zu entdecken und zu analysieren. Zu diesem Zeitpunkt kann das Illumio PCE Folgendes erkennen 51 Kerndienstleistungen.
Wenn Dienste erkannt werden, wird eine Liste der Dienste angezeigt, die auf bestimmten markierten Hosts ausgeführt werden.
3. Etiketten empfehlen
Illumio wird es empfehlen für Menschen lesbare Rollen- und Anwendungsbezeichnungen für Workloads auf der Grundlage der Analyse der Dienste, von denen festgestellt wurde, dass sie auf ihnen ausgeführt werden.
Beispielsweise beinhalten die Ergebnisse in der obigen Liste der erkannten Dienste einen datenbankbezogenen Verkehr. In diesem Fall empfiehlt Illumio spezifische Bezeichnungen für die Workloads, bei denen der Datenbankverkehr erkannt wurde.
Sie haben die Möglichkeit, die Labelempfehlungen von Illumio zu akzeptieren oder abzulehnen. Auf diese Weise haben Sie die Möglichkeit, ein genaues Inventar der Dienste zu erhalten, zu entscheiden, welche Dienste beibehalten oder eingestellt werden können, und dann Labels anzubringen, wenn Sie dazu bereit sind.
Automatische Erkennung von Anwendungen mit Illumio Core Service Detector
Was Sie nicht sehen können, können Sie nicht sichern. Zu ermitteln, was in einer Umgebung vor sich geht, ist der erste Schritt zum Aufbau einer robusten Sicherheitsarchitektur mit den geringsten Rechten. Indem Sie Ihre Workloads analysieren, können Sie sich ein Bild von Ihren Sicherheitsrichtlinien machen.
Wenn Sie nachts nicht schlafen können, weil Sie nicht wissen, was in Ihrem Netzwerk läuft, kann der Core Services Detector von Illumio helfen. Verschaffen Sie sich die Gewissheit, genau zu wissen, was in Ihrem Netzwerk läuft.
Was Sie nicht sehen können, können Sie nicht durchsetzen. Illumio erkennt, was in Ihrer Umgebung läuft, es zeigt es zusammen mit allen Abhängigkeiten übersichtlich an und ermöglicht dann die Kennzeichnung von Workloads und Anwendungen entlang der vom Unternehmen definierten Grenzen. Das Ergebnis ist ein robustes Zugriffsmodell mit den geringsten Rechten, das ohne den Aufwand einer übermäßig komplexen Bereitstellung ermöglicht wird. Machen Sie sich ein Bild von Ihren Workloads und erläutern Sie dann Ihre Richtlinien.
Um mehr über die Verwendung der erweiterten Datenerfassung zu erfahren, kontaktiere uns noch heute für eine kostenlose Beratung und Demo.