イルミオをCISトップ20にマッピングする

Over the last few weeks, we’ve observed an uptick in inquiries from companies who want to understand how Illumio helps them enable their Center for Internet Security (CIS) Security Controls initiative. CIS Top 20 Controls Guidelines are widely adopted and have been around for more than 10 years, with the latest version (7.1) released in April 2019, so we were intrigued by this trend. We spoke to these companies about their motivations and interest in Illumio and learned a great deal.

Most of these organizations have been using the CIS best practices guidelines for a while, but the rapid transition to remote work operating models combined with reported increases in cyberattacks are forcing them to re-evaluate their controls and tools. An April 2020 CSO survey found that 26% of respondents have seen an increase in the volume, severity, and/or scope of cyberattacks since mid-March. Some of these companies are continuing their transition to public clouds and increasing the virtualization footprint inside their data centers. They all want to do a better job of understanding gaps in their security controls and enabling technologies.

これを念頭に置いて、イルミオがCISトップ20コントロールをどのようにサポートしているかについての概要を次に示します。

CIS Top 20 Critical Security Controls の概要

Let’s begin with a quick primer on the CIS Top 20 Critical Security Controls. The Controls were initially created by the NSA red and blue teams, the US Department of Energy nuclear energy labs, law enforcement organizations, and some of the nation's top forensics and incident response organizations.

The controls are derived from the most common attack patterns highlighted in the leading threat reports and vetted across a very broad community of government and industry practitioners. They reflect the combined knowledge of commercial and government forensic and incident response experts.

Implementing and operationalizing the CIS Top 20 Security Controls isn’t a “one-and-done” exercise. Technology, the threat landscape, and attack techniques are constantly evolving. The controls are updated, validated, and refined every year. They are not meant to replace a compliance program, and actually map to frameworks like NIST CSF and compliance standards like PCI-DSS and HIPAA. Many use CIS controls as the baseline for information security best practices, which they then augment to address corner cases and to meet highly specific and prescriptive requirements.

イルミオをCISトップ20コントロールにマッピングする

ここでは、イルミオの機能がCISコントロールに直接対応またはサポートするのにどのように役立つかを紹介します。

基本的なコントロール

1. Inventory and Control of Hardware Assets. Illumio supports this control by enabling you to use the real-time application dependency map for identifying and validating the hardware server components that belong to an application group, and the servers and devices that are authorized to connect with the applications. Illumio supports API-based integration with 3rd party tools like NAC, asset discovery, ServiceNow CMDB and Service Mapping to validate inventory. The Illumio agent supports bare-metal, VM, public cloud instances, containers and collects telemetry information (IP addresses, ports, processes, protocols) to build the application dependency map. 

2. Inventory and Control of Software Assets. Illumio supports this control by enabling you to use the application dependency map for identifying the applications and workload components that belong to the application group and the other software stack components that are authorized to connect, including multi-cloud, container to server connections, and connections with public cloud instances. The information on connectivity and flows enriches software inventory information that are managed by asset management, CMDB, and SCM tools. Illumio’s default-deny model logically segregates high-risk applications that are required for business operations. Agentless visibility – for scenarios where agents are not supported like AWS RDS, Azure Managed SQL, GCP flows, and Storage filers – is enabled by using the Flowlink feature.

3. Continuous Vulnerability Management. Illumio supports this control by integrating with vulnerability scanners and ingesting vulnerability information. It uses this information to visually display malware’s potential lateral attack pathways. The Vulnerability Exposure Score offers a business-centric calculation of risk. You can use this information to enhance your ability to prioritize its patching strategy and apply process-level segmentation for instances where patching is not operationally feasible.

4. Controlled Use of Administrative Privileges. Illumio supports this control by integrating with leading MFA solutions. Illumio can monitor and enforce policies to ensure dedicated workstations are isolated and least privilege is applied. In VDI environments, connections to workload applications are controlled based on the user’s Microsoft Group membership.

5. モバイル デバイス、ラップトップ、ワークステーション、サーバー上のハードウェアとソフトウェアの安全な構成。イルミオは、すべてのトラフィックを可視化し、アプリケーション所有者が予期 しない ワークロードで使用されるポート/プロトコルを迅速に特定することで、SCMツールをサポートし、迅速に修復できるようにします。

6. Maintenance, Monitoring, and Analysis of Audit Logs.If a customer is using Illumio to segment its internal data center and cloud, user-to-application, and endpoint peer-to-peer connections, Illumio maintains a log of all the connections and traffic flows, events (allowed, blocked, potentially blocked traffic), and the history of related policies, rules, and events. Authorized operators can search the Illumio historical traffic database for operations, incident response and investigations, reporting and audit. Illumio integrates with leading SIEM tools like Splunk, IBM QRadar, and ArcSight to archive, search, and correlate massive sets of log and event data for reporting, investigations, and incident response.

基本的なコントロール

9. ネットワークポート、プロトコル、およびサービスの制限と制御。イルミオはこのコントロールに直接対応します。Illumioは、アプリケーションの接続に関する情報(ポート、プロセス、プロトコルを含む接続とトラフィックフローに関する詳細な履歴接続)を使用して、該当するファイアウォールルールを最初に推奨します。イルミオにはデフォルト拒否モデルがあるため、コンプライアンス違反の接続をブロックしたり、ブロックしたりする可能性があります。

11. Secure Configuration for Network Devices, such as Firewalls, Routers, and Switches. Illumio directly meets this control. Illumio maintains detailed historical and real-time information on the traffic and event logs to validate that network devices, specifically East-West firewalls, are doing what they should be and not allowing traffic that firewall policy should prohibit. Users can create an IP denylist to block communications with known malicious or unused Internet IP addresses. Users can program connections to limit workload to workload connections to specific ports, processes, and protocols. Illumio Core implements VEN tampering prevention. You can implement micro-segmentation with Illumio so that network admin machines can be isolated and have elevated access. You can implement finer-grained segmentation without re-architecting VLANs and subnets every time the business need changes.

12. 境界防衛。イルミオはこのコントロールに直接対応します。イルミオは、ホストベースのセグメンテーションを適用して、信頼レベルが異なるアプリケーションやデバイス間の接続とフローを監視および制御します。コストとリスクを伴うネットワークインフラストラクチャの再アーキテクチャーを行わずに、きめ細かなセグメンテーションを実現できます。

13. データ保護。イルミオは、不正なワークロードやユーザーがデフォルト拒否モデルを介して保護されたアプリケーションに接続するのをプロアクティブに防止し、悪意のある攻撃者の潜在的な横方向攻撃経路を特定してブロックすることで、この要件をサポートします。イルミオは、機密情報の転送を試みる可能性のある不正な接続を検出してブロックし、セキュリティにアラートを送信します。また、Illumioを使用して、クラウドおよび電子メールプロバイダーへのアクセスと接続を制御するポリシーをプログラムおよび適用することもできます。

14. Controlled Access Based on the Need to Know. Illumio directly meets this control. Illumio can be used to control authorized connections across workloads, applications, VDI users and devices. Illumio Core can assist with managing access to an environment by both managing network access to a system as well as potentially managing logical access. External IP addresses can be specifically added to rulesets and applied to groups based upon users’ need to access these systems (users can be machines or individual operators). These rules can be enabled/disabled at a policy level to immediately and efficiently disable certain access to systems. In VDI environments, Adaptive User Segmentation can be utilized to permit access to certain resources based on Active Directory group policy.

15. ワイヤレスアクセス制御。イルミオは、特定の許可されたデバイスやサーバーでのワイヤレスアクセスのセグメンテーションをプログラミングおよび適用し、他のワイヤレスネットワークへのアクセスを制限することで、この制御をサポートします。

16. アカウントの監視と制御。イルミオは、サードパーティのSSOおよびアクセスガバナンスツールと統合することで、この制御をサポートします。また、イルミオのオンデマンド暗号化を使用して、すべてのアカウントユーザー名と認証資格情報が暗号化されたチャネルを使用してネットワーク経由で送信されるようにすることもできます。

組織の統制

18. アプリケーションソフトウェアのセキュリティ。イルミオは、マイクロセグメンテーションポリシーを適用して本番システムと非本番システムを分離することで、この制御をサポートします。イルミオはまた、ホストベースのファイアウォールルールをプログラムして、開発者が本番システムに監視されず、制限されずにアクセスできないようにします。

19. インシデント対応と管理。イルミオはこの制御をサポートしています。許可されたユーザーは、イルミオの履歴トラフィックデータベース、イベント、ログデータからレポートを取得して、調査とインシデント対応ワークフローをサポートできます。

20. 侵入テストとレッドチーム演習。イルミオはこの制御をサポートしています。組織は、アプリケーション依存関係マップ、ルールセット、およびアプリケーショングループ内の情報を、侵入テストの範囲を設計するためのベースラインとして使用できます。

まとめると

通常、システムイベントは、既存のセキュリティ制御の評価をトリガーします。イルミオは、企業がCISトップ20のコントロールの実装を評価し、実現するための実用的なアプローチを実装するのを支援します。企業は、次の機能を利用することでこれを行うことができます。

1. 運用モデルの変更に起因する新しい接続と、価値の高いシステムへの接続の変更を特定するのに役立つリアルタイムのアプリケーション依存関係マッピング。
2. 脆弱性の悪用可能性を計算して視覚的に示す脆弱性マップ。これにより、最もリスクの高い資産と接続に関する制御とセグメンテーションの取り組みに優先順位を付けることができます。
3. ネットワークアーキテクチャの再設計に依存しないデフォルト拒否モデルによるセグメンテーション。
4. サードパーティのIT運用、セキュリティ、分析ツールとのAPIベースの統合により、会社に新たなリスクをもたらす傾向を継続的に監視できます。これらの統合は、既存のコントロールの有効性を向上させるための計画を策定および実装するのにも役立ちます。

CIS Top 20 Controls は、ベースラインのセキュリティ衛生を提供しますが、組織に最も大きな影響を与えるギャップとセキュリティ制御に優先順位を付けるためのフレームワークも提供します。

If you’d like to learn more about Illumio’s capabilities, check out Illumio Core.