Blog
/
Illumio Produkte

Visualisierung und Politikgestaltung der nächsten Ebene — Illumination 2.0

Illumio Editorial
,
August 21, 2017
23 min. Lesedauer

2014 leistete Illumio Pionierarbeit bei der Abbildung und Sichtbarkeit von Anwendungsabhängigkeiten in Echtzeit für die Mikrosegmentierung mit Beleuchtung. Als wir die Illumio Adaptive Security Platform (ASP) auf den Markt brachten, waren wir der Meinung, dass Unternehmen ohne eine Übersicht über die Anwendungsabhängigkeit nicht in der Lage wären, Segmentierungsrichtlinien für ihre Brownfield-Anwendungen zu entwickeln (Illumio CTO PJ Kirner erklärt, warum Sie eine Karte für die Sicherheit benötigen) in einem aktuellen Blogbeitrag).

Von unserer ersten Version bis heute hat Illumination Unternehmen die Möglichkeit geboten, die Sichtbarkeit des Verkehrsflusses zu nutzen, um eine Mikrosegmentierungsrichtlinie zu erstellen, sie zu testen und dann mit der Durchsetzung zu beginnen — Anwendung für Anwendung.

Die Entwicklung der Sichtbarkeit

Die erste Version von Illumination ermöglichte es zentralen Sicherheitsteams, Anwendungsabläufe zu analysieren und manuell Regeln hinzuzufügen, die auf Whitelist-Labels basierten, um dies zu ermöglichen. Das einzige Ziel bestand darin, die Kunden bei der Erstellung ihrer Richtlinien zur Mikrosegmentierung zu unterstützen, und alle Workflows in Illumination konzentrierten sich auf dieses eine Ziel. Als wir Illumination ursprünglich konzipierten, dachten wir, dass Kunden eine begrenzte Anzahl von Workloads zusammenlegen, Richtlinien erstellen und diese Workloads dann zur Durchsetzung migrieren würden.

Da viele unserer Kunden Illumination verwendet haben, um ihre Rechenzentren und Cloud-Infrastruktur zu segmentieren, haben wir seit der ersten Lieferung Folgendes gelernt:

  1. Die Generierung von Richtlinien kann sehr, sehr schwierig sein: Illumination ermöglichte es den Sicherheitsteams, die Verkehrsverbindungen nacheinander zu analysieren und anhand eines gültigen Ablaufs eine Regel in das auf Whitelist-Labels basierende Richtlinienmodell von Illumio hinzuzufügen. Wir haben gelernt, dass Anwendungen extrem miteinander verbunden sind und nur ein paar hundert Anwendungen, die aus ein paar tausend Workloads bestehen, Millionen einzigartiger Verbindungen haben können, die analysiert werden müssen. Der beste Einstieg besteht darin, automatisch eine Richtlinie zu generieren, die diese Verbindungen zulässt. Dadurch besteht das Risiko, dass Verbindungen zugelassen werden, die eigentlich nicht zugelassen werden sollten (wie Sie weiter unten lesen werden, haben wir Tools, die Ihnen dabei helfen). Ab diesem Zeitpunkt können Kunden jedoch die laterale Bewegung einschränken und erkennt sofort Richtlinienverstöße.
  2. Die zentralisierte Erstellung von Richtlinien funktioniert nicht immer: Die Workflows in Illumination wurden entwickelt, um einem zentralen Sicherheitsteam bei der Erstellung von Richtlinien zur Mikrosegmentierung für die gesamte Infrastruktur zu helfen. Wir haben jedoch gelernt, dass die Erstellung von Richtlinien zur Mikrosegmentierung schwierig und zeitaufwändig ist, ohne sie an die Anwendungsteams zu delegieren, die sich mit diesen Anwendungen auskennen. (Demnächst: Der Blogbeitrag unseres ehemaligen Vizepräsidenten für Produkte, Matthew Glenn, über die Abstimmung der Segmentierung auf Ihr Unternehmen. Bleiben Sie dran — es ist eine gute Lektüre).
  3. Die Sichtbarkeit kann für Compliance- und Sicherheitsabläufe genutzt werden: Als wir das erste Mal ausgeliefert haben, war die Sichtbarkeit in Illumination ausschlaggebend für die Erstellung von Richtlinien zur Mikrosegmentierung. Nachdem wir den Traffic jedoch um den Kontext von Bezeichnungen und Richtlinien erweitert hatten, erwies sich diese Sichtbarkeit für die Teams für Compliance-/Audit und Sicherheitsabläufe als äußerst vorteilhaft. Compliance-Teams nutzen Transparenz, um Berichte zu erstellen, die es einem Prüfer ermöglichen, seine Arbeit schneller und effizienter zu erledigen. Sicherheitsteams nutzen Transparenz, um Richtlinienverstöße schnell zu erkennen, Bedrohungen zu erkennen und effektiver auf diese Bedrohungen zu reagieren.

    Tatsächlich waren einige Kunden von Illumio in der Lage, Hosts, die von WannaCry betroffen waren, anhand der Sichtbarkeit von Illumio zu erkennen. Jeder Host, der gegen die Richtlinien verstieß und versuchte, eine Verbindung über SMB-Ports herzustellen, wurde schnell aufgespürt und behoben. Andere Kunden stellten fest, dass einige ihrer Rechenzentrumsserver Musik von Spotify hörten und Updates auf Facebook posteten. Sie hätten die Gesichtsausdrücke sehen sollen, als sie diese Verbindungen entdeckten.

Wir hören unseren Kunden ständig zu und lernen von ihnen. Letztes Jahr haben wir App Group Maps hinzugefügt, um Anwendungsteams dabei zu unterstützen, Illumio zu nutzen und sich nur auf die Anwendungen und Workloads zu konzentrieren, die für sie wichtig sind. Wir freuen uns, heute die folgenden neuen Funktionen unter dem Dach von Illumination 2.0 ankündigen zu können.

Neue Funktionen, erweiterte Sichtbarkeit

Wir stellen vor: Policy Generator

Jahrelange Kundenfeedbackschleifen und gewonnene Erkenntnisse sind wichtigen Erkenntnissen über die Politik gewichen:

  • Das Schreiben von Richtlinien in einer großen Umgebung ist nicht wirklich skalierbar. (Wenn Sie einen Beweis dafür haben möchten, wie einer unserer Wettbewerber dies Schritt für Schritt durchführt, schau dir dieses Video an).
  • Zentralisierte Sicherheitsteams wissen nicht immer genau, wie Anwendungen funktionieren. Bei der Erstellung von Sicherheitsrichtlinien konnten sie nicht überprüfen, ob die Abläufe richtig oder falsch waren. Dies hat den Wunsch geweckt, die Erstellung von Richtlinien auf Anwendungsteams auszudehnen, die über die Einzelheiten ihrer Anwendungen verfügen.
  • Anwendungsteams haben vielleicht eine Meinung darüber, wie Anwendungen geschützt werden sollten, aber sie haben keine Erfahrung mit der Erstellung von Sicherheitsrichtlinien (z. B. Firewallregeln) — und Anwendungsteams einer Segmentierungsrichtlinie zu unterziehen, ist nicht wirklich eine Option.

Deshalb haben wir den Policy Generator entwickelt.

Application dependencies without security policies in a single application.

Anwendungsabhängigkeiten ohne Sicherheitsrichtlinien in einer einzigen Anwendung.

Security policy recommendations for micro-segmentation.


Sicherheitspolitische Empfehlungen für die Mikrosegmentierung.

Security policy enforcement in a single application.


Durchsetzung von Sicherheitsrichtlinien in einer einzigen Anwendung.

Policy Generator reduziert drastisch den Zeit-, Schulungs- und Ressourcenaufwand, der für die Erstellung von Mikrosegmentierungsrichtlinien erforderlich ist.

Es verwendet maßgeschneiderte Algorithmen und den Verlauf des Netzwerkverkehrs, um automatisch labelbasierte Mikrosegmentierungsrichtlinien zu generieren. Mit Policy Generator können Kunden den gewünschten Grad an Segmentierungsgranularität auf der Anwendungs-, Anwendungsebene oder bis hinunter zur Port-/Protokollebene einstellen. Sobald die gewünschte Richtlinienebene ausgewählt ist, generiert Policy Generator innerhalb weniger Minuten automatisch konforme Mikrosegmentierungsrichtlinien. Darüber hinaus ist die Mikrosegmentierungsrichtlinie eine natürliche Sprache — etwas, das jedes Anwendungsteam lesen und verstehen kann.

Policy Generator kann mit rollenbasierter Zugriffskontrolle verwendet werden (RBAC), um die Erstellung von Richtlinien an das jeweilige Anwendungsteam zu delegieren. Sicherheitsteams können eine letzte Überprüfung durchführen, bevor sie die vom Anwendungsteam erstellte Richtlinie in die Produktion überführen, sodass die Richtlinie dem Softwareentwicklungszyklus (SDLC) folgen kann.

Mit Policy Generator können große Unternehmen mit deutlich reduziertem Zeit- und Ressourcenaufwand auf ein vollständig mikrosegmentiertes Rechenzentrum und eine Cloud-Infrastruktur zugreifen.

Es ermöglicht Kunden auch, iterativ Segmentierungsrichtlinien zu entwickeln. Beispielsweise kann eine Organisation eine erste Mikrosegmentierungsrichtlinie erstellen. In ein paar Wochen oder Monaten kann der Policy Generator erneut ausgeführt werden, um Richtlinien zu generieren, die neue Abläufe berücksichtigen, oder die Granularität anpassen, um die Richtlinie bis auf die Port-/Protokollebene zu verschärfen (auch bekannt als Nanosegmentierung).

Wir stellen vor: Explorer

Mit Explorer eröffnen wir unseren Kunden eine völlig neue Dimension der Visualisierung. Wir sahen, wie sich Kunden fragten, warum es zu Flows kam, und dann Fragen stellten wie: „Passiert das woanders?“ Wir zeigten ihnen dann, wo es sonst noch passierte (falls ja). Die nächste Frage lautete: „Was übersehe ich noch?“

Deshalb haben wir den Explorer entwickelt.

Der Explorer ermöglicht es Sicherheits-, Betriebs- und Compliance-Teams, Verkehrsabfragen zu erstellen. Hier sind einige Beispiele, die wir gesehen haben:

  • Ein Compliance-Team kann das Explorer-Tool verwenden, um schnell die Liste der Verbindungen herunterzuladen, die in seine PCI-Umgebung fließen. Sie können diesen Bericht dann an eine QSA weiterleiten, die bei der Prüfung hilft PCI Prüfung.
  • Ein Sicherheitsteam könnte nach allen Verkehrsströmen zwischen der „Dev“ - und der „Prod“ -Umgebung über SSH- und Datenbankports fragen, damit es die Anwendungsteams die Verbindungen rechtfertigen lassen kann.
  • Ein Betriebsteam kann Fragen stellen wie: „Erzählen Sie mir von allen Datenströmen zwischen Servern in zwei verschiedenen Rechenzentren“, die verwendet werden können, um Abhängigkeiten von Remoteanwendungen zu identifizieren oder um festzustellen, ob ein Ausfall des Rechenzentrums die Verfügbarkeit einer Anwendung im Allgemeinen beeinträchtigen könnte.

Unternehmen verwenden den Explorer, um in Millionen von Datenströmen die „Nadel im Heuhaufen“ zu finden und versteckte Richtlinienverstöße oder Sicherheitsbedrohungen zu identifizieren.

Der Explorer ermöglicht es Benutzern, den Verkehr auf eine ganz andere Art und Weise anzugehen. Benutzer können den Verkehr, der mit beliebigen Beschriftungen verknüpft ist, mithilfe einer parallelen Koordinatenkarte (Abbildung unten) betrachten. Anschließend kann sich ein Benutzer durch Punkte auf der parallelen Koordinatenkarte „klicken“, um zu dem für ihn interessanten Verkehr zu gelangen. Anschließend können sie die Liste der Datenflüsse in eine CSV-Datei herunterladen, aber den Labelkontext zu den Verbindungen sowohl für die Quellen als auch für die Ziele hinzufügen. Der Explorer fügt außerdem den Kontext der Richtlinien zu jeder Verbindung hinzu, um schnell zu erfahren, ob die Verbindung gemäß Ihrer Richtlinie zulässig ist oder nicht.

Identify any policy violations and security threats.

Identifizieren Sie alle Richtlinienverstöße und Sicherheitsbedrohungen.

View of all communications into your PCI environment.

Überblick über die gesamte Kommunikation in Ihrer PCI-Umgebung.

Ask a question about your PCI application traffic.

Stellen Sie eine Frage zu Ihrem PCI-Anwendungsdatenverkehr.


Sehen Sie es live auf der VMworld 2017

Wir haben uns vor drei Jahren auf den Weg gemacht, um Anwendungsabhängigkeiten in Echtzeit abzubilden und Transparenz für die Segmentierung bereitzustellen. Seitdem haben andere Anbieter auf dem Mikrosegmentierungsmarkt erkannt, wie wichtig Transparenz und Abbildung von Anwendungsabhängigkeiten sind. Im vergangenen Jahr versuchten fast alle, ihre Produktlücken zu schließen, indem sie versuchten, eine Lösung zu entwickeln oder zu erwerben. Während andere Unternehmen noch am Anfang ihrer Reise stehen, freuen wir uns, die Sichtbarkeit auf ein neues Niveau zu heben, indem wir den Policy Generator und den Explorer zu Illumination hinzufügen.

Illumination 2.0 ermöglicht es Unternehmen, diese Sichtbarkeitsfunktionen zu nutzen, um ihr Rechenzentrum und ihre Cloud-Infrastruktur effizienter zu mikrosegmentieren und zu sichern, und ermöglicht es ihnen gleichzeitig, diese Sichtbarkeit für Betrieb, Compliance und Sicherheitsoperationen Arbeitsabläufe.

Wir werden diese neuen Funktionen auf der VMworld 2017 vorstellen. Wenn Sie auf dem Weg zur Messe sind, besuchen Sie uns am Stand #800 für eine Live-Demo.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Von Servern zu Endpunkten: Die Vorteile der Erweiterung von ZTS auf Ihre anfälligsten Geräte
Illumio Produkte

Von Servern zu Endpunkten: Die Vorteile der Erweiterung von ZTS auf Ihre anfälligsten Geräte

Von Servern zu Endpunkten: Die Vorteile der Erweiterung von ZTS auf Ihre anfälligsten Geräte

Lesen Sie mehr
Besserer Endpunktschutz mit CrowdStrike und Illumio Edge
Illumio Produkte

Besserer Endpunktschutz mit CrowdStrike und Illumio Edge

Illumio Edge, unsere Zero-Trust-Endpunktlösung, ist jetzt über Illumio sowie im CrowdStrike Store erhältlich, der über den CrowdStrike Falcon-Agenten aktiviert wird.

Lesen Sie mehr
Nutzung natürlicher Sprache zur Definition und Vereinfachung von Mikrosegmentierungsrichtlinien
Illumio Produkte

Nutzung natürlicher Sprache zur Definition und Vereinfachung von Mikrosegmentierungsrichtlinien

Die Nutzung natürlicher Sprache kann widerspiegeln, wie Benutzer die zu schützenden Ressourcen wahrnehmen und wie sie generell zur Sicherheit stehen.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr