Luttez plus rapidement contre les rançongiciels : visibilité centralisée des limites d'application

Une véritable architecture de segmentation Zero Trust repousse les limites de confiance directement aux individus charges de travail des applications. C'est pourquoi le modèle de sécurité par liste d'autorisation d'Illumio vous permet d'autoriser uniquement le trafic dont vos charges de travail ont besoin, en refusant tout le reste par défaut.

Illumio bloque ou autorise les décisions prises directement au niveau de la charge de travail avant qu'un paquet n'atteigne le plan réseau ou n'atteigne un outil de sécurité de votre réseau ou de votre infrastructure cloud. L'application complète avec Illumio signifie que vous pouvez segmenter avec précision le trafic entrant et sortant de vos charges de travail à grande échelle.
 
Cependant, dans certains cas, il se peut que vous ne disposiez pas toujours de suffisamment d'informations pour savoir quel trafic vous souhaitez autoriser à communiquer avec vos charges de travail, mais vous savez peut-être ce que vous voulez ne souhaitez autoriser la communication.

Modèles de segmentation par liste refusée et liste autorisée

De telles situations nécessitent la possibilité d'utiliser temporairement un modèle de segmentation par liste de refus, qui bloque certains ports entre les charges de travail et autorise tout le reste par défaut.

Il est important de noter qu'il ne s'agit que d'une solution temporaire. Vous souhaiterez utiliser des outils d'analyse pour collecter le comportement de trafic de dépendance des applications requis pour définir un éventuel modèle de politique de liste d'autorisations. Vous pouvez ensuite passer du modèle de segmentation des listes de refus à une approche de liste autorisée et à un modèle de sécurité Zero Trust.
 
La flexibilité devient particulièrement importante pour protection contre les ransomwares. La plupart des rançongiciels modernes utilisent des ports ouverts sur le réseau d'une charge de travail pour se déplacer latéralement dans l'environnement. Prenons, par exemple, le protocole RDP (Remote Desktop Protocol) et le Server Message Block (SMB). Ces ports sont conçus pour permettre aux charges de travail d'accéder à un petit ensemble de ressources centrales, telles que celles gérées par les équipes informatiques, et sont rarement prévu à utiliser entre les charges de travail. Cependant, les rançongiciels les utilisent généralement comme des « portes ouvertes » faciles à propager sur toutes les charges de travail.
 
Pour résoudre rapidement ce problème, vous devez être en mesure de bloquer les ports RDP et SMB entre toutes les charges de travail à grande échelle. Créez ensuite un petit nombre d'exceptions qui permettent aux charges de travail d'accéder à des ressources centrales spécifiques. Voici comment Limites d'application fonctionne dans Illumio Core.

Définition des limites d'application

Les limites d'application sont un ensemble de règles de refus appliquées aux charges de travail qui ont été placées en mode « Application sélective ». Contrairement au mode « Application complète », qui segmente et applique le trafic de charge de travail selon une politique de liste d'autorisations, le mode « Application sélective » bloque uniquement certains ports et le trafic que vous spécifiez.

Illumio affiche les règles de segmentation dans trois flux de travail différents :

• Dans le menu Ensembles de règles et règles où les règles sont créées
• Dans Explorer, où vous pouvez interroger l'historique du trafic et des événements, et analyser et visualiser tous les ports de tous les flux dans un format de tableau ou de coordonnées
• Dans Illumination, la carte en temps réel à partir de laquelle vous pouvez voir les dépendances et la connectivité des applications dans tous les environnements

Les limites d'application étaient visibles dans la section « Ensembles de règles et règles » lors de sa publication initiale et pouvaient être appliquées à toutes les charges de travail en mode « Application sélective ». Vous pouvez également consulter les limites d'application dans le Explorateur outil — permettant de voir le comportement des ports et de savoir si les flux sont affectés par une règle d'application des limites.

Et avec la dernière version d'Illumio Core, Éclairage La carte affiche les limites d'application dans tous les flux, quelles que soient les dépendances des applications. La centralisation des limites d'application dans Illumination vous permet de corréler efficacement les événements survenus lors d'une faille de sécurité.

Visualisation des limites d'application et du trafic des flux de travail

Vous pouvez visualiser les limites d'application dans Illumination via les menus affichés lorsque vous sélectionnez une charge de travail ou un flux de trafic.

Dans le menu, vous verrez l'icône familière en forme de « mur de briques » indiquant la présence d'une limite d'application à côté du trafic qui en sera affecté. Il s'agit de la même méthode que celle utilisée pour visualiser les limites d'application dans Explorer, ce qui permet une représentation visuelle et une expérience cohérentes.
 
Cette vue affiche tout le trafic entre les charges de travail sélectionnées, que ce soit en mode « Application sélective » ou en mode « Application mixte », et quels flux de trafic seront affectés par une limite d'application.

Vous pouvez également voir le type de trafic entre les flux de travail à côté de chaque flux sous forme de trafic monodiffusion, diffusion ou multidiffusion. Les types de trafic sont indiqués par les nouveaux « B » et « M » à côté de chaque flux (le trafic sans lettre est diffusé en monodiffusion).

Centralisation des flux de travail relatifs aux limites d'application dans Illumination

En plus d'afficher les limites d'application aux côtés des charges de travail et des flux de trafic dans Illumination, vous pouvez sélectionner et modifier des limites d'application spécifiques directement dans Illumination. En sélectionnant la décision en matière de trafic et de politique pour une charge de travail, vous pouvez afficher ou modifier cette limite d'application.

Cela élimine le besoin de faire des allers-retours entre la visualisation du trafic dans Illumination et l'accès à des limites d'application spécifiques dans différents flux de travail. Vous pouvez visualiser les deux types de politiques de segmentation (listes d'autorisation et listes de refus) dans le cadre des dépendances des applications dans Illumination.

Limites d'application : la différence Illumio

Contrairement à de nombreuses autres plateformes de sécurité, Enenforcement Boundaries étend les capacités d'Illumio pour proposer des modèles de politique de segmentation à la fois par liste d'autorisation et par liste de refus. Cela vous permet d'adopter une approche granulaire de l'une ou l'autre architecture de sécurité et de mettre en œuvre une solution rapide aux rançongiciels. Et vous pouvez le faire en toute sécurité, grâce à la possibilité d'analyser l'effet des règles relatives aux limites d'application sur des modèles de trafic spécifiques dans Explorateur et dans les dépendances des applications affichées dans Éclairage. Vous pouvez désormais vous protéger contre ce que vous voulez autoriser et ce que vous ne voulez pas autoriser, et en constater les effets dans les trois principaux flux de travail.
 
Les limites d'application résolvent également un problème de longue date lié aux pare-feux : l'ordre des règles. Les pare-feux traditionnels lisent les règles de haut en bas avec un « refus » implicite à la fin. Placer une nouvelle règle dans un ensemble de règles de pare-feu existant n'est pas une mince affaire, car placer une ou plusieurs nouvelles instructions de règle au mauvais endroit, avant ou après une autre règle existante, risque de rompre les dépendances.
Ce défi nécessite un processus de contrôle des modifications soigneusement défini au cours d'une fenêtre de contrôle des modifications planifiée. Et si une dépendance est soudainement interrompue pendant la modification, vous devez revenir en arrière et réessayer plus tard.

Pour éviter ce problème, Illumio propose un modèle déclaratif dans lequel l'administrateur définit l'état final de toute nouvelle règle de segmentation ou limite d'application et Illumio implémente soigneusement l'ordre des règles correct. Cela signifie que l'administrateur définit le « quoi » et Illumio implémente le « comment ».

Étant donné que le maillon le plus faible de toute architecture de sécurité est la saisie humaine sur un clavier, Illumio élimine le risque d'erreurs de configuration, qui reste la source la plus courante de faiblesse de la sécurité dans tout cloud ou réseau d'entreprise. Vous pouvez clairement définir et visualiser les limites d'application, et garantir une mise en œuvre sûre et efficace segmentation des charges de travail à grande échelle.

Pour en savoir plus sur Illumio, le leader de la segmentation Zero Trust :

• Téléchargez les rapports Forrester Wave désignant Illumio comme leader en matière de confiance zéro et de microsegmentation.
• Lisez comment Illumio a aidé un cabinet d'avocats international à stopper une attaque de rançongiciel.
• Contactez-nous dès aujourd'hui pour planifier une consultation et une démonstration.