Blogue
/
Produits Illumio

Visualisation et création de politiques de niveau supérieur : Illumination 2.0

Éditorial Illumio
,
August 21, 2017
23 min. de lecture

En 2014, Illumio a été le pionnier de la cartographie des dépendances des applications en temps réel et de la visibilité pour la microsegmentation avec Éclairage. Lorsque nous avons lancé la plateforme de sécurité adaptative Illumio (ASP), nous pensions que les entreprises ne seraient pas en mesure d'élaborer une politique de segmentation pour leurs applications industrielles sans une carte de dépendance des applications (PJ Kirner, directeur technique d'Illumio, explique pourquoi vous avez besoin d'une carte pour la sécurité) dans un récent billet de blog).

Depuis sa première version jusqu'à aujourd'hui, Illumination a permis aux organisations d'utiliser la visibilité des flux de trafic pour élaborer une politique de microsegmentation, la tester, puis commencer à passer à l'application, application par application.

L'évolution de la visibilité

La première version d'Illumination permettait aux équipes de sécurité centrales d'analyser les flux d'applications et d'ajouter manuellement des règles basées sur des étiquettes à des listes blanches pour les autoriser. Le seul objectif était d'aider les clients à élaborer leurs politiques de microsegmentation, et tous les flux de travail d'Illumination se sont concentrés sur cet objectif unique. Lorsque nous avons initialement conçu Illumination, nous pensions que les clients associeraient un nombre limité de charges de travail, élaboreraient des politiques, puis migreraient ces charges de travail vers l'application de la loi.

Nombre de nos clients ayant utilisé Illumination pour segmenter leurs centres de données et leur infrastructure cloud, voici ce que nous avons appris depuis notre première expédition :

  1. L'élaboration de politiques peut être très, très difficile : Illumination a permis aux équipes de sécurité d'analyser les connexions de trafic une par une et, avec un flux valide, d'ajouter une règle au modèle de politique basé sur les étiquettes blanches d'Illumio. Nous avons découvert que les applications sont extrêmement interconnectées et que seules quelques centaines d'applications comprenant quelques milliers de charges de travail peuvent avoir des millions de connexions uniques qui doivent être analysées. La meilleure façon de commencer est de générer automatiquement une politique pour autoriser ces connexions. Cela risque de permettre une connexion qui ne devrait pas être autorisée (comme vous le lirez ci-dessous, nous avons des outils pour vous aider) ; cependant, à partir de maintenant, les clients peuvent restreindre les mouvements latéraux et détecter immédiatement les violations des politiques.
  2. La création centralisée de politiques ne fonctionne pas toujours : Les flux de travail d'Illumination ont été conçus pour aider une équipe de sécurité centrale à élaborer des politiques de microsegmentation pour l'ensemble de l'infrastructure. Cependant, nous avons appris que l'élaboration de politiques de microsegmentation est difficile et prend beaucoup de temps sans la déléguer aux équipes chargées des applications qui comprennent ces applications. (Prochainement : article de blog de notre ancien vice-président des produits Matthew Glenn sur l'alignement de la segmentation sur votre organisation. Restez à l'affût, c'est une bonne lecture).
  3. La visibilité peut être utilisée pour les opérations de conformité et de sécurité : Lors de notre première expédition, la visibilité dans Illumination a favorisé la création de politiques de microsegmentation. Cependant, une fois que nous avons ajouté le contexte des étiquettes et des politiques au trafic, cette visibilité est devenue extrêmement bénéfique pour les équipes chargées de la conformité/de l'audit et des opérations de sécurité. Les équipes chargées de la conformité utilisent la visibilité pour générer des rapports qui permettent à un auditeur de terminer son travail plus rapidement et plus efficacement. Les équipes chargées des opérations de sécurité utilisent la visibilité pour détecter rapidement les violations des politiques, détecter les menaces et y répondre de manière plus efficace.

    En fait, certains clients d'Illumio ont pu détecter les hôtes concernés par WannaCry grâce à la visibilité d'Illumio ; tout hôte qui enfreignait la politique et essayait de se connecter sur des ports SMB était rapidement repéré et corrigé. D'autres clients ont découvert que certains des serveurs de leur centre de données écoutaient de la musique provenant de Spotify et publiaient des mises à jour sur Facebook. Vous auriez dû voir les expressions sur leurs visages lorsqu'ils ont découvert ces liens.

Nous sommes constamment à l'écoute de nos clients et apprenons de leurs expériences. L'année dernière, nous avons ajouté App Group Maps pour aider les équipes chargées des applications à utiliser Illumio et à se concentrer uniquement sur les applications et les charges de travail qui sont importantes pour elles. Aujourd'hui, nous sommes ravis d'annoncer les nouvelles fonctionnalités suivantes sous l'égide d'Illumination 2.0.

Nouvelles fonctionnalités, visibilité avancée

Présentation de Policy Generator

Des années de retours clients et les leçons apprises ont fait place à des informations clés sur les politiques :

  • La rédaction de politiques flux par flux dans un vaste environnement n'est pas vraiment évolutive. (Si vous voulez des preuves de la façon dont l'un de nos concurrents procède flux par flux, regardez cette vidéo).
  • Les équipes de sécurité centralisées ne connaissent pas toujours les spécificités du fonctionnement des applications ; lors de la rédaction des politiques de sécurité, elles ne pouvaient pas valider si les flux étaient bons ou mauvais. Cela a suscité le désir d'étendre la création de politiques aux équipes chargées des applications qui disposent des détails de leurs applications.
  • Les équipes chargées des applications peuvent avoir des opinions sur la manière dont les applications doivent être sécurisées, mais elles n'ont aucune expérience en matière de création de politiques de sécurité (règles de pare-feu, par exemple). Il n'est pas vraiment possible de soumettre les équipes chargées des applications à une école de politiques de segmentation.

C'est pourquoi nous avons créé Policy Generator.

Application dependencies without security policies in a single application.

Dépendances entre applications sans politiques de sécurité dans une seule application.

Security policy recommendations for micro-segmentation.


Recommandations en matière de politique de sécurité pour la microsegmentation.

Security policy enforcement in a single application.


Application de la politique de sécurité dans une seule application.

Policy Generator réduit considérablement le temps, la formation et les ressources nécessaires à la rédaction de politiques de microsegmentation.

Il utilise des algorithmes personnalisés et l'historique du trafic réseau pour générer automatiquement des politiques de microsegmentation basées sur des étiquettes. Policy Generator permet aux clients de définir le niveau de granularité de segmentation souhaité au niveau de l'application, au niveau de l'application ou jusqu'au niveau du port/du protocole. Une fois le niveau de politique souhaité sélectionné, Policy Generator génère automatiquement des politiques de microsegmentation conformes en quelques minutes. De plus, la politique de microsegmentation est en langage naturel, quelque chose que toute équipe d'application peut lire et comprendre.

Le générateur de politiques peut être utilisé avec un contrôle d'accès basé sur les rôles (RBAC) pour déléguer la création de politiques à l'équipe d'application concernée. Les équipes de sécurité peuvent effectuer une dernière vérification avant de promouvoir la politique créée par l'équipe chargée de l'application en production, afin que la politique puisse suivre le cycle de vie du développement logiciel (SDLC).

Policy Generator permet aux grandes entreprises d'accéder à un centre de données et à une infrastructure cloud entièrement microsegmentés en réduisant considérablement le temps et les ressources.

Il permet également aux clients de développer de manière itérative des politiques de segmentation. Par exemple, une organisation peut générer une politique de microsegmentation initiale. Après quelques semaines ou quelques mois, Policy Generator peut être réexécuté pour générer des politiques adaptées à de nouveaux flux, ou ajuster la granularité pour resserrer la politique au niveau du port/du protocole (c'est-à-dire la nano-segmentation).

Présentation de l'Explorateur

Avec Explorer, nous ouvrons une toute nouvelle dimension de visualisation à nos clients. Nous avons commencé à voir des clients se demander pourquoi les flux se produisaient, puis se poser des questions telles que : « Est-ce que cela se produit ailleurs ? » Nous leur indiquions ensuite où cela se passe d'autre (si c'était le cas). La question suivante était : « Que me manque-t-il d'autre ? »

C'est ce qui nous a poussé à créer Explorer.

Explorer permet aux équipes chargées de la sécurité, des opérations et de la conformité de créer des requêtes de trafic. Voici quelques exemples que nous avons vus :

  • Une équipe de conformité peut utiliser l'outil Explorer pour télécharger rapidement la liste des connexions entrant dans son environnement PCI. Ils peuvent ensuite transmettre ce rapport à une QSA pour l'aider à passer un PCI audit.
  • Une équipe chargée des opérations de sécurité pourrait demander tous les flux de trafic entre l'environnement « Dev » et « Prod » sur les ports SSH et de base de données afin que les équipes chargées des applications puissent justifier les connexions.
  • Une équipe opérationnelle peut poser des questions telles que « Parlez-moi de tous les flux entre les serveurs de deux centres de données différents », qui peuvent être utilisées pour identifier les dépendances d'applications distantes ou pour déterminer si une panne de centre de données peut avoir un impact sur la disponibilité d'une application en général.

Les organisations utilisent Explorer pour trouver « l'aiguille dans la botte de foin » dans des millions de flux afin d'identifier les violations de règles cachées ou les menaces de sécurité.

Explorer permet aux utilisateurs d'aborder le trafic d'une manière très différente. Les utilisateurs peuvent consulter le trafic associé à n'importe quel ensemble d'étiquettes à l'aide d'une carte de coordonnées parallèles (illustrée ci-dessous). Ensuite, l'utilisateur peut « cliquer » sur des points de la carte de coordonnées parallèles pour accéder au trafic qui l'intéresse. Ils peuvent ensuite télécharger la liste des flux au format CSV, mais inclure le contexte de l'étiquette dans les connexions pour les sources et les destinations. Explorer ajoute également le contexte des politiques à chaque connexion pour indiquer rapidement si la connexion est autorisée par votre politique ou non.

Identify any policy violations and security threats.

Identifiez les violations des politiques et les menaces de sécurité.

View of all communications into your PCI environment.

Visualisation de toutes les communications dans votre environnement PCI.

Ask a question about your PCI application traffic.

Posez une question sur le trafic de votre application PCI.


Retrouvez-le en direct à VMworld 2017

Nous nous sommes lancés dans cette aventure pour fournir une cartographie des dépendances des applications en temps réel et une visibilité pour la segmentation il y a trois ans. Depuis lors, d'autres fournisseurs du marché de la microsegmentation ont pris conscience de l'importance de la visibilité et de la cartographie des dépendances des applications. L'année dernière, presque tous ont essayé de combler leurs lacunes en matière de produits en essayant de créer ou d'acquérir une solution. Alors que d'autres entreprises n'en sont qu'au début de leur parcours, nous sommes ravis de porter notre visibilité à un niveau supérieur en ajoutant Policy Generator et Explorer à Illumination.

Illumination 2.0 permet aux entreprises d'utiliser ces fonctionnalités de visibilité pour microsegmenter et sécuriser plus efficacement leur centre de données et leur infrastructure cloud, tout en leur permettant d'utiliser cette visibilité pour les opérations, la conformité et opérations de sécurité flux de travail.

Nous présenterons ces nouvelles fonctionnalités à l'occasion de VMworld 2017. Si vous vous rendez au salon, venez nous rendre visite au stand #800 pour une démonstration en direct.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Illumio est un leader en matière de confiance zéro... Alors, comment en sommes-nous arrivés là ?
Produits Illumio

Illumio est un leader en matière de confiance zéro... Alors, comment en sommes-nous arrivés là ?

Découvrez comment Illumio s'est classé en tête du classement Zero Trust Wave de Forrester.

En savoir plus
Illumio pour Microsoft Azure Firewall : simplifiez la gestion du pare-feu grâce à la visibilité et à la confiance zéro
Produits Illumio

Illumio pour Microsoft Azure Firewall : simplifiez la gestion du pare-feu grâce à la visibilité et à la confiance zéro

Découvrez la collaboration entre Illumio et Microsoft pour ajouter la prise en charge de la microsegmentation à Azure Firewall, désormais disponible en version générale.

En savoir plus
3 bonnes pratiques pour la mise en œuvre d'Illumio Endpoint
Produits Illumio

3 bonnes pratiques pour la mise en œuvre d'Illumio Endpoint

Suivez trois étapes simples mais efficaces pour sécuriser vos terminaux avec Illumio.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus