Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Segmentação Zero Trust

O que torna o agente da Illumio mais confiável do que os agentes em linha

Ron Isaacson
,
Diretor sênior de arquitetura corporativa
December 7, 2022
23 leitura mínima

Segredo parece uma boa palavra para usar quando você quer proteger seus dados. E se você gosta mais de Missão: Impossível ou Austin Powers, quem não adora um bom filme de agente secreto?

No entanto, quando se trata de segmentação, um agente secreto é praticamente a última coisa que você quer.

O trabalho de um agente de cibersegurança nunca termina — é essencial

Quando falamos sobre agentes na Illumio, geralmente não estamos falando sobre Jason Bourne. Em vez disso, estamos falando sobre o agente de endpoint, o carro-chefe de qualquer implantação de segmentação. O software agente da Illumio é chamado de Node de fiscalização virtual ou VEN e é executado em todas as cargas de trabalho que protegemos.

Assista a esta visão geral para saber mais sobre o Illumio VEN:


O agente tem três funções principais:

  1. Ele mantém uma comunicação constante com o Policy Compute Engine (PCE), o cérebro central da Illumio. Pense em Maxwell Smart, sempre falando em seu telefone de sapato.
  2. Ele monitora o que está acontecendo na carga de trabalho, incluindo a origem e o destino de cada conexão que entra ou sai.
  3. Ele impõe a política de segurança que você definiu para sua organização, permitindo as conexões que você deseja e bloqueando as que não deseja.

A peça de fiscalização é fundamental quando se trata de reduzir o risco de violações de dados. Mas também é onde um agente secreto pode se meter em muitos problemas.

Conheça os detalhes sobre o VEN leve e confiável da Illumio aqui.

Agentes secretos ficam em linha com o tráfego da rede

Um agente de segmentação tem um trabalho complexo: ele precisa entender a política de segurança que se aplica à carga de trabalho e verificar a conformidade de cada conexão de entrada e saída com essa política.

Uma conexão bloqueada por engano pode afetar as operações comerciais, mas permitir uma conexão arriscada é como abrir a porta para um invasor. O agente precisa sempre tomar a decisão certa. Ele também precisa ser 100% confiável e não pode afetar o desempenho ou a disponibilidade do seu aplicativo.

Em um nível técnico, existem duas abordagens principais quando se trata de fiscalização:

  • Um agente pode ficar no meio de cada conexão e tomar decisões rapidamente sobre o que permitir ou bloquear.
  • Ou pode contar com a ajuda do sistema operacional, seu capanga pessoal, para fazer o trabalho sujo.

Chamamos o primeiro de na linha agente. Esse agente é um software que se conecta profundamente ao kernel, o núcleo do sistema operacional. Cada pacote de tráfego de rede que entra ou sai da carga de trabalho é transferido do kernel para o agente. O agente precisa inspecionar esse pacote e decidir se ele deve ser permitido e, em seguida, passá-lo de volta para o kernel.

Agentes que têm acesso total a cada pacote podem ser muito poderosos porque têm muitas informações que podem usar para avaliar se o pacote deve ser permitido. No entanto, esses agentes também podem ser muito arriscados. Você sempre deve se perguntar: seu pacote será protegido por James Bond, apoiado pelas invenções magistrais de Q? Ou será destruído pelo Inspetor Gadget?

2 razões pelas quais os agentes em linha podem não ser confiáveis

Infelizmente, para muitas organizações, não há nada engraçado nessa analogia. Os agentes em linha não têm um histórico muito bom.

A primeira preocupação é normalmente desempenho: Os agentes em linha só podem aplicar regras simples e inspeções rudimentares antes que elas comecem a impactar visivelmente a carga de trabalho. Os efeitos de um agente sobrecarregado podem incluir alta carga de CPU e redução da taxa de transferência da rede. A segurança em detrimento do baixo desempenho do aplicativo não é uma boa compensação.

Além do desempenho, porém, muitas vezes há dúvidas sobre confiabilidade. O que acontece quando seu agente falha em sua missão? Talvez o comunicador de pulso caia ou o agente receba uma entrada que não esperava. Ou talvez o agente simplesmente não esteja à altura da tarefa, treinado e testado em um ambiente mais simples e mal preparado para as condições do mundo real. O agente deve falhar na abertura, expondo você a riscos desnecessários, ou deve falhar e interromper seus negócios?

Esses riscos são todos inerentes ao trabalho de um agente secreto, operando nas sombras e usando seus próprios métodos não comprovados. Quanto maior o contato do agente com cada pacote, maior o risco de o agente causar uma interrupção ou degradação no desempenho.

O agente não tão secreto da Illumio: O Illumio VEN

Quando se trata de agentes, a Illumio adota uma abordagem diferente. Gostamos de dividir o trabalho de segmentação em duas partes principais:

  • Fale sobre sua política de segurança. Vamos pensar em seus riscos e nos tipos de ativos que você precisa proteger e criar uma política de segurança amigável que proteja seus serviços e dados.
  • Aplique sua política de segurança. É aqui que entra o VEN e, idealmente, é a peça mais transparente e menos interessante do quebra-cabeça.

Sua empresa lhe dá o suficiente para pensar; a última coisa que você precisa é de um agente que traga drama desnecessário.

Para garantir uma experiência de agente sem drama, a Illumio adota uma abordagem em camadas para as operações do VEN:

  • O VEN recupera periodicamente as atualizações da política de segurança do PCE. Se o PCE estiver inacessível (por pouco tempo ou por muito tempo), o VEN já tem tudo o que precisa para proteger sua carga de trabalho. Não há dependência em tempo real entre o VEN e o PCE.
  • Depois que o VEN recebe suas ordens do PCE, ele transfere a fiscalização para o sistema operacional. Esse serviço de “fiscalização contratada” é fornecido pelo iptables no Linux ou pelo WFP no Windows (o WFP é a Plataforma de Filtragem do Windows, o executor de baixo nível sobre o qual o Firewall do Windows é construído). Quando se trata de sistemas distribuídos complexos, a fiscalização em nível de sistema operacional não envolve muitos cérebros, mas exige muita força.
  • Tendo recebido a orientação do VEN, o sistema operacional então faz a fiscalização completamente sozinho. No caso improvável de algo dar errado com o VEN, o sistema operacional pode continuar aplicando sua política mais recente sem qualquer ajuda adicional. Como qualquer bom gerente, o VEN pode fazer uma pausa, se necessário, e tudo continuará funcionando sem problemas.

Leia mais sobre como o Illumio VEN foi desenvolvido para manter seu desempenho leve.

Vantagens do VEN da Illumio

A principal vantagem dessa abordagem é que a fiscalização fornecida pelo sistema operacional é extremamente estável e de alto desempenho. No Linux, o iptables foi lançado pela primeira vez em 1998; o desenvolvimento do WFP começou por volta de 2007. Esses serviços são maduros, robustos e usados em centenas de milhões de servidores em todo o mundo. A maioria dos possíveis problemas que poderiam impactar a carga de trabalho foi encontrada e corrigida há muito tempo.

E, ao contrário dos agentes em linha, o VEN da Illumio tem uma ótima reputação de ser leve e confiável. Nosso VEN tem um histórico comprovado de bloqueio de conexões indesejadas sem afetar seus negócios por meio de latência adicional ou interrupções no serviço.

Ao se concentrar em suas metas de redução de risco e adotar uma abordagem “direta” em seus pacotes, a Illumio permite que você pense em segurança sem se preocupar se o agente está fazendo seu trabalho de forma eficaz.

Pronto para saber mais sobre a plataforma de segmentação Illumio Zero Trust? Entre em contato conosco hoje para uma consulta e demonstração.

Tópicos relacionados

Segmentação Zero Trust

Artigos relacionados

Anatomia de contêineres 101: O que é um cluster?
Segmentação Zero Trust

Anatomia de contêineres 101: O que é um cluster?

Do ponto de vista da rede, tanto o Kubernetes quanto o OpenShift criam construções lógicas e relevantes, em uma abordagem hierárquica. Aqui estão as definições que você precisa conhecer.

Leia mais
Mind the Gap: Por que o EDR precisa de segmentação Zero Trust
Segmentação Zero Trust

Mind the Gap: Por que o EDR precisa de segmentação Zero Trust

Saiba como a combinação do ZTS com o EDR em cada terminal diminui a fraqueza do tempo de permanência e, ao mesmo tempo, aumenta significativamente as capacidades de resposta.

Leia mais
Como a segmentação beneficia as empresas de RI e de recuperação na resposta a incidentes
Segmentação Zero Trust

Como a segmentação beneficia as empresas de RI e de recuperação na resposta a incidentes

Saiba como a Illumio usa a segmentação Zero Trust em contratos de resposta a incidentes para responder a violações e restaurar ambientes com segurança.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais