Blogue
/
Produits Illumio

Fonctionnalités peu connues d'Illumio Core : services virtuels

Christer Swartz
,
Directeur du marketing des solutions
March 13, 2024
23 min. de lecture

Dans cette série en cours, les experts en sécurité d'Illumio mettent en lumière les fonctionnalités les moins connues (mais non moins puissantes) de Noyau Illumio.

Avec le valeur des données exfiltrées l'abandon du marché noir, le détournement de ressources critiques et la détention de leurs données en rançon ont a augmenté de façon spectaculaire en valeur — et est devenu un modèle commercial criminel très réussi. De nos jours, perturber l'infrastructure d'une organisation est une cible très tentante pour les acteurs malveillants.

Les ressources de l'infrastructure peuvent être piratées et perturbées au niveau des couches hôte et application, et les deux types de ressources doivent être visualisés et appliqués indépendamment l'un de l'autre et à une échelle granulaire.

Dans cet article de blog, découvrez comment tirer parti des services virtuels d'Illumio Core pour sécuriser vos hôtes, leurs applications et leurs processus avec et sans agent. Cela fournit une solution de bout en bout Architecture Zero Trust sans angles morts.

L'approche sans agent d'Illumio Core en matière de sécurité des charges de travail

Noyau Illumio gère les charges de travail directement sur le système d'exploitation en déployant l'agent Illumio VEN qui s'associe ensuite à l'Illumio PCE. Cela permet à Illumio de visualiser et d'appliquer le trafic centré sur les applications à l'aide de fonctionnalités de pare-feu natives de chaque système d'exploitation, indépendamment des solutions de sécurité traditionnelles. Segmentation axée sur la charge de travail nécessite une solution indépendante de l'environnement d'hébergement sous-jacent.

Bien que cette approche consistant à intégrer la solution de sécurité de la charge de travail directement à la charge de travail soit la plus idéale, d'autres types de charges de travail doivent être inclus dans les architectures de visibilité et d'application de la charge de travail, mais n'autorisent pas le déploiement d'agents tiers, tels que les équilibreurs de charge, l'IoT et Appareils OT.

Solutions de sécurité sans agent sont souvent associés à des plateformes de cloud public qu'Illumio active avec Illumio CloudSecure. Dans un environnement sur site, il existe différentes solutions de cloud privé dotées de différentes options de sécurité, mais la plupart de ces solutions dépendent d'hyperviseurs ou d'architectures de réseaux superposés virtuels. La création de segments dans un hyperviseur ou un environnement de réseau superposé reste une solution centrée sur le réseau, tandis que la segmentation centrée sur la charge de travail nécessite une solution indépendante de l'environnement d'hébergement sous-jacent. Comment Illumio peut-il activer cela sans Agent VEN?

3 manières dont Illumio Core sécurise les environnements sans agent

Illumio Core étend sa solution de visibilité et d'application au-delà des charges de travail gérées avec ces entités sans agent :

  • Charges de travail non gérées
  • Serveurs virtuels
  • Services virtuels
Charges de travail non gérées

Illumio peut identifier les charges de travail non gérées sans agent VEN en utilisant son nom d'hôte et son adresse IP. Illumio attribue ensuite des étiquettes à cette charge de travail, ce qui permet à Illumio de visualiser et d'appliquer l'accès à celle-ci depuis toutes les autres charges de travail gérées.

Illumio ne reçoit pas de télémétrie de cette charge de travail non gérée car aucun agent VEN n'y est déployé. Au lieu de cela, Illumio peut voir avec quelles charges de travail gérées il communique, ce qui permet à Illumio d'inclure pleinement ces charges de travail non gérées et sans agent dans ses Carte d'éclairage et modèle politique.

Illumio gère les charges de travail gérées et non gérées de la même manière :

Illumio displays and enforces traffic on Unmanaged Workloads, with no agent.
Illumio affiche et applique le trafic sur les charges de travail non gérées, sans aucun agent.
Serveurs virtuels

Un serveur virtuel est utilisé pour appliquer le trafic via un équilibreur de charge. Illumio définit chaque serveur virtuel en fonction du VIP exposé sur l'équilibreur de charge F5 ou AVI. Illumio crée également des étiquettes pour les membres du pool déployés derrière l'équilibreur de charge associé à ce VIP.

Le module Network Enforcement Node (NEN) d'Illumio permet de lire et d'écrire la politique de sécurité directement sur l'équilibreur de charge à l'aide d'un flux de travail piloté par API. Cela permet à Illumio de visualiser et d'appliquer le trafic à destination et en provenance de serveurs virtuels via un équilibreur de charge sans avoir à déployer un agent VEN.

Illumio enforces virtual services by configuring load balancer and managing pools.
Illumio applique les services virtuels en configurant un équilibreur de charge et en gérant des pools.

Légende : Illumio applique les services virtuels en configurant un équilibreur de charge et en gérant des pools.

Services virtuels

Un service virtuel est utilisé pour étiqueter et définir une politique pour un ou plusieurs processus ou applications spécifiques résidant sur le même hôte, chaque service virtuel étant indépendant des étiquettes et de la politique de l'hôte sous-jacent. Par exemple, si deux applications sont déployées sur un seul hôte, Illumio créera deux services virtuels différents, chacun appliquant une politique distincte l'un de l'autre et de l'hôte sous-jacent.

Lorsqu'Illumio utilise un service virtuel pour définir un processus ou une application spécifique en tant que charge de travail, indépendamment de l'hôte sur lequel il est déployé, il « lie » ce service virtuel aux ports utilisés par ce processus. Un service virtuel peut correspondre à un processus unique ou à un ensemble de ports TCP spécifiques sur un hôte.

Illumio peut attribuer différentes étiquettes à différentes applications sur un même hôte. Par exemple, si un hôte a déployé à la fois un processus de base de données et une instance Postgres sur le port 5678, Illumio peut créer deux services virtuels différents et lier chacun d'eux aux ports pertinents utilisés par chaque processus. Illumio les étiquetera ensuite en utilisant le même étiquetage multidimensionnel que celui utilisé pour les charges de travail gérées.

Différentes politiques peuvent ensuite être définies pour chaque étiquette d'application, distinctes des étiquettes et des politiques définies pour l'hôte sous-jacent :

Illumio enables granular policy specific to different processes deployed on one host.
Illumio permet une politique granulaire spécifique aux différents processus déployés sur un hôte.

Si le service ou l'application passe d'un hôte à un autre, ce qui peut se produire sur des plateformes de cloud privé, la politique définie pour cette application dans Illumio n'a pas besoin de changer. Illumio recalculera de manière dynamique les règles relatives à la charge de travail mise à jour, telles que la nouvelle adresse IP de l'hôte vers lequel l'application a migré, afin de permettre à ce service virtuel d'intégrer sa politique centrée sur les applications lors de la migration.

Cela permet aux applications de migrer dynamiquement entre différentes machines virtuelles, par exemple. La politique des applications restera stable et ne nécessitera pas de processus de contrôle des modifications de sécurité à suivre lors de la migration des applications, quelle que soit la dynamique de migration des applications entre les hôtes.

Services virtuels sur les charges de travail gérées et non gérées

Les services virtuels sont couramment utilisés sur des charges de travail gérées, mais ils peuvent également être utilisés sur des charges de travail non gérées. Si plusieurs processus ou applications sont déployés sur une charge de travail non gérée, Illumio peut associer chacun d'entre eux à un service virtuel différent et étiquetera et appliquera chacun d'entre eux séparément.

Cela permet aux équipes de sécurité de définir des politiques très précises spécifiques aux processus et aux applications pour différents types de charges de travail. Par conséquent, la visualisation et les politiques ne sont pas limitées au modèle de charge de travail d'un système d'exploitation/hôte.

C'est là que le haut niveau de charges de travail prises en charge par Illumio devient important : suivre ce modèle à grande échelle peut créer une explosion d'entités à visualiser et à appliquer, qu'Illumio peut facilement gérer.

Protection contre les menaces ciblant les hôtes et les applications

Illumio permet de renforcer les dépendances entre les applications et le réseau hôte, en fournissant visibilité claire de savoir qui parle à quoi et de la capacité de bloquer les mouvements latéraux entre les ressources sans complexité. Illumio sécurise vos hôtes, leurs applications et leurs processus avec et sans agent. Cela permet d'obtenir une architecture Zero Trust de bout en bout, sans angles morts.

Pour en savoir plus sur Illumio ZTS, contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.

Sujets connexes

Noyau

Articles connexes

Illumio CloudSecure : limitez les attaques du cloud grâce à des contrôles proactifs des politiques de segmentation
Produits Illumio

Illumio CloudSecure : limitez les attaques du cloud grâce à des contrôles proactifs des politiques de segmentation

Découvrez comment la segmentation Zero Trust avec Illumio peut vous aider à définir de manière proactive des politiques visant à stopper et à contenir les attaques dans le cloud.

En savoir plus
Amélioration de la surveillance et du contrôle du trafic dans le cloud
Produits Illumio

Amélioration de la surveillance et du contrôle du trafic dans le cloud

Avec Illumio Core, Illumio est le leader reconnu de la segmentation Zero Trust pour les centres de données et les systèmes sur site.

En savoir plus
Caractéristiques peu connues d'Illumio Core : la carte Illumio
Produits Illumio

Caractéristiques peu connues d'Illumio Core : la carte Illumio

Découvrez ce que propose la visualisation cartographique Illumio et comment elle peut aider votre équipe à mieux voir, segmenter et sécuriser votre réseau.

En savoir plus
Fonctionnalités peu connues d'Illumio Core : intégrations des plateformes SOAR
Produits Illumio

Fonctionnalités peu connues d'Illumio Core : intégrations des plateformes SOAR

Découvrez comment les intégrations d'Illumio Core à des plateformes SOAR tierces garantissent que les malwares nouveaux et inconnus ne peuvent pas se propager sur votre réseau.

En savoir plus
Fonctionnalités peu connues d'Illumio Core : analyse des flux réseau avec Mesh
Produits Illumio

Fonctionnalités peu connues d'Illumio Core : analyse des flux réseau avec Mesh

Découvrez comment Mesh affiche plusieurs dimensions de données à la fois pour obtenir une image plus claire de la manière dont chaque point de données interagit avec son environnement.

En savoir plus
10 raisons de choisir Illumio pour une segmentation Zero Trust
Segmentation Zero Trust

10 raisons de choisir Illumio pour une segmentation Zero Trust

Learn why organizations are adopting Zero Trust Segmentation as a foundational and strategic pillar of any Zero Trust architecture.

En savoir plus

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus