Equilibrio de seguridad y resiliencia operacional: estrategia de Illumino para lanzamientos de software seguros y estables
La ciberseguridad se trata de reducir el riesgo. Por eso es tan importante considerar cómo sus soluciones de seguridad no solo brindan valor, sino que también lo mantienen seguro si sus sistemas fallan.
En Illumio, nuestras principales prioridades son mantenernos estables y confiables para nuestros clientes. Esto le ayuda a construir una arquitectura de Segmentación de Confianza Cero que se mantenga resistente incluso cuando algo falla.
Esta publicación de blog ofrece una vista general de las opciones de diseño que hemos tomado en la plataforma Illumio que ayudan a mantenerlo seguro mientras reducen el efecto de un escenario en el peor de los casos.
Cómo Illumio lanza nuevo software
Cuando los proveedores de seguridad lanzan nuevo software a los clientes, generalmente ocurre de una de dos maneras:
En línea en el plano de datos: Esto significa que el software del proveedor se coloca directamente en la infraestructura de red en el camino del tráfico de red. Una solución en línea puede bloquear el tráfico malicioso. Pero esto significa que también puede bloquear todo el tráfico si falla. Por lo general, estas soluciones también necesitan un acceso profundo al sistema operativo, a menudo al espacio del kernel. Cuanto más profundo sea, mayor será el riesgo si algo sale mal.
Fuera de banda en el plano de administración: Esto significa que el software del proveedor está separado del resto de la infraestructura de red. Utiliza las funciones existentes del sistema operativo y evita agregar soluciones redundantes. Permanece en el espacio de usuario con poca, si es que hay alguna, necesidad de acceder al espacio del kernel. Las fallas pueden afectar temporalmente al plano de administración, pero no afectan al plano de datos. En otras palabras, el cliente aún está protegido y las operaciones no se ven obstaculizados cuando ocurre una falla.
Illumio implementa software fuera de banda en el plano de administración.
Utilizamos las herramientas de filtrado de paquetes ya integradas en los principales sistemas operativos en lugar de filtros de paquetes redundantes o en línea. Este enfoque automatiza estas herramientas existentes para segmentar las cargas de trabajo directamente. El filtrado de paquetes es parte del sistema operativo, por lo que el software de Illumio no necesita actualizarse con tanta frecuencia.
Illumio trabaja con algunos de los países del mundo empresas y agencias gubernamentales más grandes y complejas. Entendemos que los upgrades constantes pueden ser difíciles para los sistemas críticos. Nuestro modelo de implementación fuera de banda ayuda a reducir en gran medida estos desafíos.

Cómo Illumio actualiza su plataforma SaaS
Cuando actualizamos nuestro clúster SaaS, utilizamos un flujo de trabajo de implementación escalonado. Esto significa que utilizamos un proceso paso a paso para actualizar un grupo de clústeres a la vez.
Primero, probamos las nuevas actualizaciones en varios entornos internos que no son de producción. Solo después de pasar estas pruebas comenzamos a actualizar los clústeres SaaS, y lo hacemos mediante un flujo de trabajo de upgrade escalonado y escalonado. Esto significa que los upgrades ocurren en fases, en lugar de todos a la vez, y solo para unos pocos inquilinos a la vez.
Si surge un problema durante la actualización, detenemos el proceso de inmediato. De esta manera, el problema afecta sólo a los clientes que se actualizan en las fases más tempranas. (Y podemos hacer retroceder rápidamente la última instancia estable de Illumio). Nunca actualizamos el cluster SaaS a todos los clientes al mismo tiempo.
Cómo Illumio actualiza la política de segmentación
Cuando hacemos actualizaciones a Segmentación de confianza cero políticas para cargas de trabajo, las enviamos sólo a las partes de los entornos de nuestros clientes que las necesitan.
En el Plataforma Illumio, los clientes crean su propia política de segmentación basada en la intención mediante etiquetas. Los controles de acceso basados en roles (RBAC) impiden la creación de políticas demasiado permisivas. Illumio actualiza estas políticas en segundo plano a medida que cambian las IPs y a medida que se agregan o eliminan las cargas de trabajo. Solo las cargas de trabajo afectadas por cambios específicos del cliente obtienen políticas actualizadas de Illumio.
Para cargas de trabajo de data center y endpoint, Illumio recibe y aplica políticas dentro del firewall nativo del sistema operativo. Los clientes tienen control total sobre este proceso, decidiendo cuándo y si desean actualizar a una nueva versión de software.
Cuando Illumio tiene nuevas versiones de software, la plataforma SaaS aún tiene compatibilidad con versiones anteriores. Esto significa que continúa trabajando con versiones anteriores de Illumio. Debido a esto, los clientes no tienen que hacer upgrade con frecuencia. Pueden probar e implementar upgrades según su propio cronograma y en función de sus propias prácticas de cambio.
Una arquitectura más simple significa menos riesgo
Nunca podrás eliminar por completo riesgo de su pila de seguridad. Pero una arquitectura más simple significa menos puntos de falla.
El diseño de la plataforma Illumio reduce la cantidad de cosas que podrían fallar en el peor de los casos. Si bien ningún sistema está completamente libre de riesgos, nuestra configuración más simple y tamaño más pequeño hacen que los problemas mayores sean mucho menos probables si algo sale mal.
Póngase en contacto con nosotros hoy para saber cómo Illumio ayuda a mantener su organización segura y resistente.