ランサムウェアとのより迅速な対処:執行境界を一元的に可視化

真のゼロトラストセグメンテーションアーキテクチャは、信頼の境界を個人に直接押し出します アプリケーションワークロード。そのため、Illumioの許可リストセキュリティモデルでは、ワークロードに必要なトラフィックのみを許可し、デフォルトではそれ以外はすべて拒否できます。

Illumioは、パケットがネットワークプレーンに到達したり、ネットワークやクラウドファブリック内のセキュリティツールに到達したりする前に、ワークロードで直接行われた決定をブロックまたは許可します。Illumioが全面的に適用できるということは、ワークロードに出入りするトラフィックを大規模に正確にセグメント化できるということです。
 
ただし、場合によっては、ワークロードとの通信にどのトラフィックを許可したいかを把握するのに十分な情報がない場合がありますが、自分が何を許可するかはわかっている場合があります。 してはいけない コミュニケーションできるようにしたい。

拒否リストと許可リストのセグメンテーションモデル

このような状況では、ワークロード間の特定のポートをブロックし、デフォルトでは他のポートをすべて許可する拒否リストセグメンテーションモデルを一時的に使用するオプションが必要です。

これは一時的な解決策に過ぎないことに注意することが重要です。最終的な許可リストポリシーモデルの定義に必要な、必要なアプリケーション依存トラフィックの挙動を収集するには、分析ツールを使用することをおすすめします。次に、拒否リストセグメンテーションモデルから許可リストアプローチとゼロトラストセキュリティモデルに切り替えることができます。
 
柔軟性が特に重要になるのは ランサムウェア対策。最近のランサムウェアのほとんどは、ワークロードのネットワーク上のオープンポートを利用して環境内を横方向に移動します。リモートデスクトッププロトコル (RDP) とサーバーメッセージブロック (SMB) を例にとってみましょう。これらのポートは、IT チームが管理するリソースなど、少数の中央リソースにアクセスするワークロード向けに設計されており、まれにしか使用されません。 意図した ワークロード間で使用します。ただし、ランサムウェアは通常、これらをすべてのワークロードに伝播しやすい「開かれた扉」として利用します。
 
この問題を迅速に解決するには、すべてのワークロード間で大規模にRDPポートとSMBポートをブロックする機能が必要です。次に、ワークロードが特定の中央リソースにアクセスできるようにするための例外をいくつか作成します。これがその方法です。 執行境界線 イルミオコアで働いています。

執行境界の定義

適用境界は、「選択的適用」モードに設定されたワークロードに適用される一連の拒否ルールです。許可リストポリシーに基づいてワークロードトラフィックをセグメント化して適用する「完全適用」モードとは対照的に、「選択的適用」モードでは特定のポートと指定したトラフィックのみがブロックされます。

Illumioは、3つの異なるワークフローでセグメンテーションルールを表示します。

• ルールが作成される「ルールセットとルール」メニュー内
• エクスプローラーでは、過去の交通量やイベントを照会したり、すべてのフローのすべてのポートを表形式または座標形式で分析および視覚化したりできます。
• イルミネーションでは、すべての環境にわたるアプリケーションの依存関係と接続を確認できるリアルタイムマップ

施行境界は、初回リリース時に「ルールセットとルール」セクションに表示され、「選択的適用」モードではすべてのワークロードに適用できました。また、施行境界は以下で確認することもできます。 エクスプローラ ツール — ポートの動作を確認したり、フローが適用境界規則の影響を受けているかどうかを確認したりできます。

そして、イルミオコアの最新リリースでは、 イルミネーション マップには、すべてのアプリケーション依存関係にわたるすべてのフローの適用境界が表示されます。Illumination で実施境界を一元化することで、セキュリティ違反が発生した際のイベントを効率よく関連付けることができます。

執行境界とワークフロートラフィックの視覚化

ワークロードまたはトラフィックフローを選択したときに表示されるメニューを使用して、イルミネーションの適用境界を視覚化できます。

メニューには、おなじみの「レンガの壁」アイコンが表示されます。これは、影響を受ける交通の横に執行境界線があることを示しています。これは Explorer で執行境界を視覚化する場合と同じ方法で、一貫した視覚的表現とエクスペリエンスを実現できます。
 
このビューには、「選択的適用」モードでも「混合適用」モードでも、選択したワークロード間のすべてのトラフィックと、適用境界の影響を受けるトラフィックフローが表示されます。

また、各フローの横にあるワークフロー間のトラフィックのタイプを、ユニキャスト、ブロードキャスト、またはマルチキャストトラフィックとして確認することもできます。トラフィックタイプは、各フローの横に新しい「B」と「M」が表示されます (横に文字がないトラフィックはユニキャストです)。

イルミネーションにおけるエンフォースメント・バウンダリー・ワークフローの一元化

Illuminationでは、ワークロードやトラフィックフローと一緒に適用境界が表示されるだけでなく、特定の適用境界をIllumination内から直接選択して変更できます。ワークロードのトラフィックとポリシー決定を選択することで、その適用境界を表示または編集できます。

これにより、イルミネーションでトラフィックを視覚化することと、さまざまなワークフローで特定の執行境界にアクセスすることの間を行き来する必要がなくなります。許可リストと拒否リストの両方のタイプのセグメンテーションポリシーを、Illuminationのアプリケーション依存関係の一部として視覚化できます。

執行境界線:イルミオの違い

他の多くのセキュリティプラットフォームとは異なり、Enforcement BoundariesはIllumioの機能を拡張して、許可リストと拒否リストの両方のセグメンテーションポリシーモデルを提供します。これにより、どちらのセキュリティアーキテクチャにもきめ細かなアプローチをとることができ、ランサムウェアに対する迅速なソリューションを実装できます。また、実施境界ルールが特定のトラフィックパターンに及ぼす影響を分析できるため、これを安全に行うことができます。 エクスプローラ と表示されるアプリケーションの依存関係内 イルミネーション。許可したいものと許可したくないものから保護できるようになり、3 つの主要なワークフローすべてでその効果を確認できるようになりました。
 
また、エンフォースメント境界は、ファイアウォールに関する長年の問題である「ルール順序」も解決します。従来のファイアウォールはルールを最初から最後まで読み込み、最後には暗黙的に「拒否」を行います。既存のファイアウォールのルールセットに新しいルールを追加することは、気の弱い人には向いていません。なぜなら、1 つ以上の新しいルールステートメントを、他の既存のルールの前または後に間違った場所に配置すると、依存関係が崩れるリスクがあるからです。
この課題には、計画された変更管理期間中に、慎重に定義された変更管理プロセスが必要です。また、変更中に依存関係が突然壊れた場合は、ロールバックして後でやり直す必要があります。

この問題を回避するために、Illumioは宣言型モデルを提供しています。このモデルでは、管理者が新しいセグメンテーションルールまたは施行境界の最終状態を定義し、Illumioが正しいルール順序を慎重に実装します。つまり、管理者が「内容」を定義し、イルミオが「どのように」を実装するのです。

どのセキュリティアーキテクチャでも最も弱いのは人間がキーボードで入力することであるため、Illumioは設定ミスのリスクを排除します。Illumioは、クラウドやエンタープライズネットワークにおけるセキュリティ脆弱性の最も一般的な原因であることに変わりはありません。施行境界を明確に定義して視覚化できるので、安全かつ効率的に実施できることが保証されます。 ワークロードセグメンテーション 大規模に。

ゼロトラストセグメンテーションのリーダーであるイルミオについて詳しくは、以下をご覧ください。

• フォレスターウェーブのレポートをダウンロード イルミオをゼロトラストとマイクロセグメンテーションの両方のリーダーに選出
• 方法を読む イルミオは、世界的な法律事務所がランサムウェア攻撃を阻止するのを支援しました。
• 今すぐお問い合わせ 相談とデモンストレーションのスケジュールを立てるためです。