Blog
/
Illumio Produkte

Wenig bekannte Funktionen von Illumio Core: Virtuelle Dienste

Christer Swartz
,
Marketingleiter für Lösungen
March 13, 2024
23 min. Lesedauer

In dieser fortlaufenden Serie heben die Sicherheitsexperten von Illumio die weniger bekannten (aber nicht weniger leistungsstarken) Funktionen von Illumio Core.

Mit dem Wert der exfiltrierten Daten auf den Schwarzmarkt zu fallen, wichtige Ressourcen zu kapern und ihre Daten als Lösegeld zu erpressen, hat dramatisch im Wert gestiegen — und ist zu einem sehr erfolgreichen kriminellen Geschäftsmodell geworden. Heutzutage ist die Störung der Infrastruktur eines Unternehmens ein sehr verlockendes Ziel für böswillige Akteure.

Infrastrukturressourcen können auf Host- und Anwendungsebene missbraucht und gestört werden. Beide Arten von Ressourcen müssen unabhängig voneinander und auf granularer Ebene visualisiert und durchgesetzt werden.

In diesem Blogbeitrag erfahren Sie, wie Sie die virtuellen Dienste von Illumio Core nutzen können, um Ihre Hosts und deren Anwendungen und Prozesse mit und ohne Agentin. Dies bietet ein durchgängiges Zero-Trust-Architektur ohne blinde Flecken.

Der agentenlose Ansatz von Illumio Core zur Workload-Sicherheit

Illumio Core verwaltet Workloads direkt auf dem Betriebssystem, indem der Illumio VEN-Agent bereitgestellt wird, der dann mit dem Illumio PCE gekoppelt wird. Auf diese Weise kann Illumio den anwendungsorientierten Datenverkehr mithilfe von Firewall-Funktionen visualisieren und durchsetzen, die in jedem Betriebssystem integriert sind, unabhängig von herkömmlichen Sicherheitslösungen. Workload-zentrierte Segmentierung erfordert eine Lösung, die unabhängig von der zugrunde liegenden Hosting-Umgebung ist.

Dieser Ansatz, bei dem die Workload-Sicherheitslösung direkt auf den Workload übertragen wird, ist zwar am idealsten, aber es gibt auch andere Arten von Workloads, die in die Workload-Transparenz- und Durchsetzungsarchitekturen einbezogen werden müssen, aber nicht zulassen, dass Agenten von Drittanbietern eingesetzt werden, wie Load Balancer, IoT und OT-Geräte.

Sicherheitslösungen ohne Agenten werden oft mit öffentlichen Cloud-Plattformen in Verbindung gebracht, mit denen Illumio Folgendes ermöglicht Illumio CloudSecure. In einer lokalen Umgebung gibt es verschiedene Private-Cloud-Lösungen mit unterschiedlichen Sicherheitsoptionen, aber die meisten dieser Lösungen hängen von Hypervisoren oder virtuellen Overlay-Netzwerkarchitekturen ab. Das Erstellen von Segmenten in einer Hypervisor- oder Overlay-Netzwerkumgebung ist immer noch eine netzwerkzentrierte Lösung, wohingegen die Workload-orientierte Segmentierung eine Lösung erfordert, die unabhängig von der zugrunde liegenden Hosting-Umgebung ist. Wie kann Illumio das ermöglichen ohne VEN-Agent?

3 Arten, wie Illumio Core Umgebungen ohne Agenten schützt

Illumio Core erweitert seine Sichtbarkeits- und Durchsetzungslösung über verwaltete Workloads hinaus um diese agentenlosen Einheiten:

  • Nicht verwaltete Workloads
  • Virtuelle Server
  • Virtuelle Dienste
Nicht verwaltete Workloads

Illumio kann nicht verwaltete Workloads ohne VEN-Agenten anhand seines Hostnamens und seiner IP-Adresse identifizieren. Illumio weist dieser Workload dann Bezeichnungen zu, sodass Illumio den Zugriff aller anderen verwalteten Workloads darauf visualisieren und erzwingen kann.

Illumio empfängt keine Telemetrie von diesem nicht verwalteten Workload, da kein VEN-Agent darauf installiert ist. Stattdessen kann Illumio sehen, mit welchen verwalteten Workloads es kommuniziert, sodass Illumio diese nicht verwalteten, agentenlosen Workloads vollständig in das System einbeziehen kann Karte der Beleuchtung und politisches Modell.

Illumio verwaltet sowohl verwaltete als auch nicht verwaltete Workloads auf dieselbe Weise:

Illumio displays and enforces traffic on Unmanaged Workloads, with no agent.
Illumio zeigt den Traffic auf nicht verwalteten Workloads ohne Agenten an und erzwingt ihn.
Virtuelle Server

Ein virtueller Server wird verwendet, um den Datenverkehr über einen Load Balancer durchzusetzen. Illumio definiert jeden virtuellen Server anhand des VIP, der auf dem F5- oder AVI-Loadbalancer verfügbar gemacht wird. Illumio erstellt auch Labels für Poolmitglieder, die hinter dem Load Balancer eingesetzt werden, der diesem VIP zugeordnet ist.

Das Network Enforcement Node (NEN) -Modul von Illumio hilft dabei, Sicherheitsrichtlinien mithilfe eines API-gesteuerten Workflows direkt auf den Load Balancer zu lesen und zu schreiben. Auf diese Weise kann Illumio den Datenverkehr zu und von virtuellen Servern über einen Load Balancer visualisieren und durchsetzen, ohne auf den Einsatz eines VEN-Agenten angewiesen zu sein.

Illumio enforces virtual services by configuring load balancer and managing pools.
Illumio erzwingt virtuelle Dienste, indem es den Load Balancer konfiguriert und Pools verwaltet.

Bildunterschrift: Illumio erzwingt virtuelle Dienste, indem es den Load Balancer konfiguriert und Pools verwaltet.

Virtuelle Dienste

Ein virtueller Dienst wird verwendet, um Richtlinien für einen oder mehrere bestimmte Prozesse oder Anwendungen zu kennzeichnen und zu definieren, die sich auf demselben Host befinden, wobei jeder virtuelle Dienst unabhängig von den Bezeichnungen und Richtlinien des zugrunde liegenden Hosts ist. Wenn beispielsweise zwei Anwendungen auf einem einzigen Host bereitgestellt werden, erstellt Illumio zwei verschiedene virtuelle Dienste, die jeweils unterschiedliche Richtlinien durchsetzen, sowohl für den anderen als auch für den zugrundeliegenden Host.

Wenn Illumio einen virtuellen Dienst verwendet, um einen bestimmten Prozess oder eine bestimmte Anwendung als Workload zu definieren, „bindet“ es diesen virtuellen Dienst unabhängig vom Host, auf dem er bereitgestellt wird, an die von diesem Prozess verwendeten Ports. Ein virtueller Dienst kann entweder einem einzelnen Prozess oder einer Sammlung bestimmter TCP-Ports auf einem Host zugeordnet werden.

Illumio kann verschiedenen Anwendungen auf einem Host unterschiedliche Bezeichnungen zuweisen. Wenn beispielsweise ein Host sowohl einen Datenbankprozess als auch eine Postgres-Instanz auf Port 5678 bereitgestellt hat, kann Illumio zwei verschiedene virtuelle Dienste erstellen und jeden an die entsprechenden Ports binden, die von jedem Prozess verwendet werden. Anschließend kennzeichnet Illumio sie mit derselben mehrdimensionalen Kennzeichnung, die auch für verwaltete Workloads verwendet wird.

Für jedes Anwendungslabel können dann unterschiedliche Richtlinien definiert werden, die sich von den Bezeichnungen und Richtlinien unterscheiden, die für den zugrunde liegenden Host definiert wurden:

Illumio enables granular policy specific to different processes deployed on one host.
Illumio ermöglicht detaillierte Richtlinien, die für verschiedene Prozesse spezifisch sind, die auf einem Host bereitgestellt werden.

Wenn der Dienst oder die Anwendung von einem Host auf einen anderen verschoben wird, was auf privaten Cloud-Plattformen der Fall sein kann, muss sich die für diese Anwendung in Illumio definierte Richtlinie nicht ändern. Illumio berechnet die Regeln für den aktualisierten Workload dynamisch neu, z. B. die neue IP-Adresse auf dem Host, auf den die Anwendung migriert wurde, damit dieser virtuelle Dienst seine anwendungsorientierten Richtlinien während der Migration mit einbeziehen kann.

Dadurch können Anwendungen beispielsweise dynamisch zwischen verschiedenen VMs migriert werden. Die Anwendungsrichtlinien bleiben stabil, sodass den Anwendungsmigrationen keine Prozesse zur Kontrolle der Sicherheitsänderungen folgen müssen, unabhängig davon, wie dynamisch Anwendungen zwischen Hosts migrieren.

Virtuelle Dienste für verwaltete und nicht verwaltete Workloads

Virtuelle Dienste werden häufig für verwaltete Workloads verwendet, können aber auch für nicht verwaltete Workloads verwendet werden. Wenn auf einem nicht verwalteten Workload mehrere Prozesse oder Anwendungen bereitgestellt werden, kann Illumio jeden von ihnen einem anderen virtuellen Dienst zuordnen und jeden einzelnen Dienst kennzeichnen und durchsetzen.

Auf diese Weise können Sicherheitsteams sehr detaillierte Richtlinien für Prozesse und Anwendungen für verschiedene Arten von Workloads definieren. Daher sind Visualisierung und Richtlinien nicht nur auf ein Betriebssystem-/Host-Workload-Modell beschränkt.

An dieser Stelle wird der hohe Umfang der unterstützten Workloads von Illumio wichtig. Wenn Sie diesem Modell in großem Maßstab folgen, kann dies zu einer Explosion von Entitäten führen, die visualisiert und durchgesetzt werden müssen und die Illumio problemlos verwalten kann.

Schützen Sie sich vor Bedrohungen, die Hosts und Anwendungen ins Visier nehmen

Illumio ermöglicht die Durchsetzung von Anwendungs- und Host-Netzwerkabhängigkeiten und bietet klare Sicht darüber, wer mit was spricht und wie die Fähigkeit ist, laterale Bewegungen zwischen Ressourcen ohne Komplexität zu verhindern. Illumio schützt Ihre Hosts und deren Anwendungen und Prozesse mit und ohne Agenten. Dies bietet eine durchgängige Zero-Trust-Architektur ohne blinde Flecken.

Um mehr über Illumio ZTS zu erfahren, kontaktiere uns noch heute für eine kostenlose Beratung und Demo.

Verwandte Themen

Kern

In Verbindung stehende Artikel

CTO PJ Kirner über Cloud-Sicherheit und die bahnbrechenden Innovationen von Illumio CloudSecure
Illumio Produkte

CTO PJ Kirner über Cloud-Sicherheit und die bahnbrechenden Innovationen von Illumio CloudSecure

Die Cloud ist zu einem GROSSEN Geschäft geworden. Viele Unternehmen, die früher zögerten, die Cloud zu nutzen, nutzen sie nun, um eine revolutionäre Transformation ihrer Abläufe voranzutreiben, indem sie erhebliche Skalierungs-, Flexibilitäts- und Effizienzvorteile erzielen.

Lesen Sie mehr
Neue Updates für Illumio Core beschleunigen die Zero-Trust-Sicherheit
Illumio Produkte

Neue Updates für Illumio Core beschleunigen die Zero-Trust-Sicherheit

Updates für Illumio Core werden den Weg Ihres Unternehmens zu Zero Trust Security beschleunigen. Erfahren Sie mehr in diesem Blogbeitrag.

Lesen Sie mehr
Mikrosegmentierung für App-Besitzer: Ein genauerer Blick auf unsere App Owner View-Funktionalität
Illumio Produkte

Mikrosegmentierung für App-Besitzer: Ein genauerer Blick auf unsere App Owner View-Funktionalität

Ein tieferer Blick auf die Funktionalität von App-Besitzern, um die Vorteile der Mikrosegmentierung besser zu verstehen.

Lesen Sie mehr
Wenig bekannte Funktionen von Illumio Core: SOAR-Plattformintegrationen
Illumio Produkte

Wenig bekannte Funktionen von Illumio Core: SOAR-Plattformintegrationen

Erfahren Sie, wie die Integration von Illumio Core mit SOAR-Plattformen von Drittanbietern sicherstellt, dass sich neue und unbekannte Malware nicht in Ihrem Netzwerk verbreiten kann.

Lesen Sie mehr
Wenig bekannte Funktionen von Illumio Core: Analysis of network flüssen with Mesh
Illumio Produkte

Wenig bekannte Funktionen von Illumio Core: Analysis of network flüssen with Mesh

Erfahren Sie, wie Mesh mehrere Datendimensionen gleichzeitig anzeigt, um ein klareres Bild davon zu erhalten, wie jeder Datenpunkt mit seiner Umgebung interagiert.

Lesen Sie mehr
10 Gründe, sich für Illumio für die Zero-Trust-Segmentierung zu entscheiden
Zero-Trust-Segmentierung

10 Gründe, sich für Illumio für die Zero-Trust-Segmentierung zu entscheiden

Learn why organizations are adopting Zero Trust Segmentation as a foundational and strategic pillar of any Zero Trust architecture.

Lesen Sie mehr

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr