Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
IL L U M IO P R O D U T O S
Christer Swartz
Diretor de marketing de soluções
Illumio Editorial
16 de maio de 2022
23 minutos. ler

Combata o ransomware com mais rapidez: visibilidade centralizada para limites de fiscalização

Uma verdadeira arquitetura de Segmentação de Confiança Zero estende o limite de confiança diretamente às cargas de trabalho de aplicativos individuais. É por isso que o modelo de segurança de lista de permissões do Illumio oferece a capacidade de permitir apenas o tráfego necessário para suas cargas de trabalho, negando todo o resto por padrão.

O Illumio bloqueia ou permite decisões tomadas diretamente na carga de trabalho antes que um pacote chegue ao plano da rede ou precise acessar qualquer ferramenta de segurança em sua rede ou malha de nuvem. A fiscalização total com o Illumio significa que você pode segmentar com precisão o tráfego para dentro e para fora de suas cargas de trabalho em alta escala.  
 
No entanto, em alguns casos, você nem sempre tem informações suficientes para saber qual tráfego deseja permitir que se comunique com suas cargas de trabalho, mas talvez saiba o que não quer permitir que se comunique.

Modelos de segmentação de lista negada versus lista de permissões

Essas situações exigem a opção de usar temporariamente um modelo de segmentação de lista de negação, que bloqueia determinadas portas entre cargas de trabalho e permite todo o resto por padrão.

É importante ressaltar que esta deve ser apenas uma solução temporária. Você precisará usar ferramentas de análise para coletar os dados necessários sobre o comportamento do tráfego relacionado à dependência do aplicativo, que são essenciais para definir um modelo de política de lista de permissões. Em seguida, você pode mudar do modelo de segmentação por lista de bloqueio para uma abordagem de lista de permissões e um modelo de segurança de Confiança Zero.  A flexibilidade torna
se particularmente importante para a
contra ransomware. A maioria dos ransomwares modernos utiliza portas abertas na rede da carga de trabalho para se movimentar lateralmente pelo ambiente. Tomemos como exemplo o Protocolo de Área de Trabalho Remota (RDP) e o Bloco de Mensagens do Servidor (SMB). Essas portas são projetadas para que as cargas de trabalho acessem um pequeno conjunto de recursos centrais, como aqueles gerenciados por equipes de TI, e raramente se destinam ao uso entre cargas de trabalho. No entanto, o ransomware costuma usá-los como "portas de entrada" fáceis para se propagar por todas as cargas de trabalho.
 Para resolver esse problema rapidamente, você deve ter a capacidade de bloquear portas RDP e SMB entre todas as cargas
trabalho em grande escala. Em seguida, crie um pequeno número de exceções que permitam que as cargas de trabalho acessem recursos centrais específicos. É assim que os Limites de Aplicação funcionam no Illumio Core.

Definindo limites de fiscalização

Os limites de imposição são um conjunto de regras de negação aplicadas a cargas de trabalho que foram colocadas no modo " Selective Enforcement ". Ao contrário do modo " Full Enforcement ", que segmenta e impõe o tráfego de carga de trabalho sob uma política de lista de permissões, " Selective Enforcement " bloqueia somente as portas selecionadas e o tráfego que você especificar.

O Illumio exibe regras de segmentação em três fluxos de trabalho diferentes:

  • No menu Conjuntos de regras e regras, onde as regras são criadas
  • No Explorer, onde você pode consultar o histórico de tráfego e eventos e analisar e visualizar todas as portas em todos os fluxos em um formato de tabela ou coordenada
  • No Illumination, o mapa em tempo real a partir do qual você pode ver as dependências e a conectividade dos aplicativos em todos os ambientes

Os limites de fiscalização estavam visíveis na seção " Conjuntos de regras e regras " em seu lançamento inicial e podiam ser aplicados a todas as cargas de trabalho no modo " Selective Enforcement ". Você também pode visualizar os limites de imposição na ferramenta Explorer, possibilitando ver o comportamento da porta e se os fluxos são afetados por uma regra de limite de imposição.

E com a versão mais recente do Illumio Core, o mapa do Illumination exibe os limites de aplicação em todos os fluxos em todas as dependências do aplicativo. A centralização dos limites de fiscalização no Illumination permite que você correlacione eventos de forma eficiente durante uma violação de segurança.  

Visualizando limites de fiscalização e tráfego de fluxo de trabalho

Você pode visualizar os limites de fiscalização no Illumination por meio dos menus exibidos ao selecionar uma carga de trabalho ou um fluxo de tráfego.

policy-enforcement-boundaries

No menu, você verá o conhecido ícone de “parede de tijolos” indicando a presença de um limite de fiscalização próximo ao tráfego que será afetado por ele. Esse é o mesmo método usado para visualizar os limites de aplicação no Explorer, permitindo uma representação visual e uma experiência consistentes.  
 
Essa visualização exibe todo o tráfego entre cargas de trabalho selecionadas, seja no modo " Selective Enforcement " ou no modo " Mixed Enforcement ", e quais fluxos de tráfego serão afetados por um limite de fiscalização.  

Você também pode ver o tipo de tráfego entre fluxos de trabalho ao lado de cada fluxo como tráfego unicast, broadcast ou multicast. Os tipos de tráfego são indicados pelos novos “B” e “M” ao lado de cada fluxo (o tráfego sem letra ao lado é unicast).

enforcement-boundaries-traffic

Centralizando os fluxos de trabalho do Enforcement Boundary na iluminação

Além de exibir limites de fiscalização junto com cargas de trabalho e fluxos de tráfego no Illumination, você pode selecionar e modificar limites de fiscalização específicos diretamente no Illumination. Ao selecionar a decisão de tráfego e política para uma carga de trabalho, você pode exibir ou editar esse limite de fiscalização.

view-enforcement-boundaries

Isso elimina a necessidade de alternar entre a visualização do tráfego no Illumination e o acesso a limites de fiscalização específicos em diferentes fluxos de trabalho. Você pode visualizar os dois tipos de políticas de segmentação — listas de permissão e listas de negação — como parte das dependências do aplicativo no Illumination.  

Limites de fiscalização: a diferença da Illumio

Ao contrário de muitas outras plataformas de segurança, a Enforcement Boundaries expande os recursos da Illumio para oferecer modelos de políticas de segmentação de listas de permissões e listas de negação. Isso permite que você adote uma abordagem granular para qualquer arquitetura de segurança e implemente uma solução rápida para o ransomware. E você pode fazer isso com segurança, com a capacidade de analisar o efeito das regras de Enforcement Boundary em padrões de tráfego específicos no Explorer e nas dependências do aplicativo exibidas no Illumination. Agora você pode se proteger contra o que deseja permitir e o que não quer permitir e ver os efeitos em todos os três fluxos de trabalho principais.
 
Os limites de fiscalização também resolvem um problema antigo com firewalls: ordenação de regras. Os firewalls tradicionais leem as regras de cima para baixo com um " deny " implícito no final. Colocar uma nova regra em um conjunto de regras de firewall existente não é para os fracos de coração, pois colocar uma ou mais novas instruções de regra no lugar errado, antes ou depois de alguma outra regra existente, corre o risco de quebrar dependências.
Esse desafio exige um processo de controle de mudanças cuidadosamente definido durante uma janela planejada de controle de mudanças. E se uma dependência for interrompida repentinamente durante a alteração, você deverá reverter e tentar novamente mais tarde.

Para evitar esse problema, a Illumio oferece um modelo declarativo em que o administrador define o estado final de qualquer nova regra de segmentação ou limite de execução e a Illumio implementa cuidadosamente a ordem correta das regras. Isso significa que o administrador define o " what " e o Illumio implementa o " how. "

Como o elo mais fraco em qualquer arquitetura de segurança é a digitação humana em um teclado, o Illumio elimina o risco de erros de configuração, que continua sendo a fonte mais comum de segurança fraca em qualquer nuvem ou rede corporativa. Você pode definir e visualizar claramente os limites de fiscalização — e garantir que você possa implementar com segurança e eficiência a segmentação da carga de trabalho em grande escala.

Para saber mais sobre a Illumio, líder em segmentação Zero Trust:

Tópicos relacionados

microsegmentação

Artigos relacionados

Illumio está em Las Vegas para o Black Hat 2022
IL L U M IO P R O D U T O S

Illumio está em Las Vegas para o Black Hat 2022

Passe pelo estande #984 ou acesse a Plataforma Virtual para ver a Illumio na Black Hat 2022.

Leia mais
Como um engenheiro da Illumio está moldando o futuro da visualização de segurança
IL L U M IO P R O D U T O S

Como um engenheiro da Illumio está moldando o futuro da visualização de segurança

Discutindo a visualização de violações de dados com Kuhu Gupta, membro sênior da equipe técnica da Illumio, e suas descobertas de pesquisa sobre o assunto.

Leia mais
Illumio CloudSecure: contenha ataques na nuvem com controles proativos de política de segmentação
IL L U M IO P R O D U T O S

Illumio CloudSecure: contenha ataques na nuvem com controles proativos de política de segmentação

Saiba como a segmentação Zero Trust com a Illumio pode ajudar você a definir proativamente políticas que interrompem e contêm ataques na nuvem.

Leia mais
Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais