Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

5 casos de uso para implementar microsegmentación en entornos de nube pública

Illumio Editorial
,
October 20, 2020
23 min. lectura

Las nubes públicas han creado entornos elásticos bajo demanda que se pueden escalar fácilmente para satisfacer las cambiantes necesidades del negocio. Las aplicaciones han pasado de bloques de código monolítico estáticos a microservicios que pueden implementarse en diferentes proveedores de nube pública, en diferentes regiones y con diferentes sistemas operativos que dependen de la automatización a escala, desafiando las prácticas de seguridad existentes para reducir la exposición al riesgo y evitar el movimiento lateral de malos actores.

Como la escala y el alcance de ciberataques están en constante evolución, cada vez más organizaciones están implementando la microsegmentación como parte esencial de una estrategia de defensa en profundidad. De acuerdo con una encuesta reciente realizada a más de 300 profesionales de TI, el 45 por ciento actualmente tiene un proyecto de segmentación o está planificando uno.

Todos los principales proveedores de nube pública tienen sus propias soluciones de seguridad en la nube, lo que también permite niveles básicos de aplicación de políticas. A medida que su computación en la nube escala, puede solicitar a su proveedor de nube pública un aumento en los grupos de seguridad, lo que aumenta la complejidad operativa y aumenta el riesgo impuesto por la proliferación de reglas. Además, estas herramientas de seguridad en la nube están en silos en la arquitectura general. Cada solución de seguridad no funciona bien en el sandbox con otras y correlacionar una brecha de seguridad entre todas ellas es una tarea engorrosa que introduce grandes retrasos en la resolución. Para obtener más información sobre este desafío, echa un vistazo a este post de mi colega Christer.

Los controles de seguridad tienen evolucionó y ahora proporcionan la capacidad de ver la instancia de computación en la nube en el contexto de la aplicación y el proceso del negocio, lo que permite a los usuarios comprender mejor los riesgos y crear políticas al aprovechar lo nativo e integrado firewall con estado disponible en cada instancia de computación.

El primer paso en la vida de un paquete, en su nacimiento, es adjuntar política. En el momento en que un paquete llega al plano de reenvío de la red, ya se ha aplicado la seguridad. Este enfoque acerca la seguridad en la nube muy cerca de donde se encuentra la acción y los controles: independiente de la red. La red y la seguridad son desacoplado para obtener lo mejor de ambos mundos.

En este post, responderé a cinco públicos seguridad en la nube preguntas que comúnmente surgen cuando las organizaciones están considerando la microsegmentación.

1. ¿Se puede hacer cumplir la seguridad en la nube durante todo el ciclo de vida de una carga de trabajo?

Absolutamente. Los controles de seguridad en la nube se aplican automáticamente en una carga de trabajo durante todo el ciclo de vida, desde la creación hasta la terminación.

Al integrar herramientas de orquestación (como Ansible, Chef, Puppet) con la interfaz de programa de aplicaciones (API) de Illumio, las cargas de trabajo se emparejan con Motor de cómputo de políticas (PCE) de Illumio. Durante el emparejamiento, las etiquetas asociadas con una carga de trabajo se asignan a etiquetas en el PCE y la carga de trabajo hereda el conjunto correcto de políticas de seguridad creadas mediante etiquetas en el PCE. Si una carga de trabajo está mal etiquetada, el cambio de etiquetas activa automáticamente los cambios de política adecuados. Si la dirección IP de una carga de trabajo cambia, el PCE recoge la nueva dirección IP automáticamente. Dado que las políticas de seguridad están desacopladas de la red, no se necesitan más cambios. Cuando se termina una carga de trabajo, PCE activa automáticamente los cambios de política apropiados.

Al desacoplar la red de la segmentación, los cambios en las políticas se activan automáticamente, lo que impone el conjunto correcto de controles de seguridad en una carga de trabajo durante todo su ciclo de vida. La seguridad siempre ha sido importante, pero a medida que las organizaciones se vuelven más dependientes del software para impulsar sus negocios, se vuelve cada vez más crítico obtener la seguridad correcta para minimizar el riesgo del negocio.

2. ¿Es posible la visibilidad de las aplicaciones en tiempo real en la nube pública?

Usted apuesta. Las aplicaciones no se encuentran en una isla. Hablan entre ellos, y así es como funcionan los procesos de negocio.

La visibilidad en tiempo real de las dependencias de las aplicaciones nos ayuda a comprender el comportamiento de las aplicaciones que impulsa políticas de segmentación precisas. La visibilidad centrada en las aplicaciones es la base vital para una buena seguridad, ya que los microservicios se implementan en diferentes proveedores de nube pública y diferentes regiones.

Núcleo de Illumio (anteriormente conocido como Illumio ASP) proporciona un servicio en tiempo real mapa de dependencia de aplicaciones denominada Iluminación que visualiza las comunicaciones entre las cargas de trabajo y las aplicaciones. Las líneas en el mapa representan los flujos de tráfico detectados entre cargas de trabajo, ya sea en la nube o en las empresas. Illumio colorea las líneas de rojo y verde para indicar si la conexión está permitida o bloqueada por microsegmentación política.

La siguiente captura de pantalla muestra el mapa de dependencia de la aplicación Administración de activos aplicación en el Producción medio ambiente. Aquí, las líneas en el mapa representan los flujos de tráfico detectados entre cargas de trabajo. Illumio colorea las líneas de rojo y verde para indicar si la conexión está permitida o bloqueada por la política de microsegmentación. Una línea verde significa que se ha escrito una política para permitir la conexión. Una línea roja significa que no existe ninguna política y que la conexión se bloqueará al pasar al modo de aplicación. Las líneas rojas y verdes hacen que sea increíblemente fácil visualizar su política de segmentación y las violaciones de políticas. ¿Sufre de daltonismo? Illumio ASP proporciona a los usuarios una deficiencia de visión del color opción.

ADMassetmanagement

Cuando el agente de Illumio, el Nodo de aplicación virtual (VEN), se instala en una carga de trabajo y se empareja con el PCE, la visibilidad y la aplicación están disponibles. El emparejamiento de un VEN a un PCE se automatiza utilizando herramientas como Ansible y Terraform.

Cuando el VEN no está instalado en una carga de trabajo, utilizando soluciones compartidas por Laboratorios Illumino, los clientes pueden visualizar la dependencia de las aplicaciones de las cargas de trabajo que se ejecutan en Microsoft Azure y Amazon AWS en el PCE.

3. ¿Puedo validar mis controles de seguridad en la nube en múltiples nubes?

Seguro que puedes, sin romper tu aplicación. Uno de los mayores desafíos en una implementación de múltiples nubes es la falta de seguridad consistente, ya que cada proveedor ofrece un conjunto de controles que pueden ser conceptualmente similares pero que difieren significativamente en la implementación. Illumio abstrae la nube subyacente de la aplicación sin depender del conocimiento o control de la infraestructura para desarrollar políticas de seguridad.

Illumio ofrece dos soluciones para validar sus controles de seguridad:

  • Cambie la iluminación a la vista Borrador para visualizar el borrador de la política y ver qué sucederá cuando realice cambios en el aprovisionamiento.
  • Cambie el estado de la política de cargas de trabajo a Prueba para aplicar todas las reglas del conjunto de reglas y visualizar todo el tráfico que se bloquearía cuando colocara las cargas de trabajo en el estado de política impuesta. No hay tráfico bloqueado en Prueba estado.

4. ¿Es posible la microsegmentación en Platform-as-a-Service (PaaS)?

Si. Illumio Labs tiene soluciones compartidas que ofrecen visibilidad y cumplimiento para la base de datos Microsoft Azure SQL y Amazon AWS RDS.

Illumino Labs describe tres pasos para la visibilidad y la aplicación. Aquí, el firewall de nivel de servidor que guarda el servidor de base de datos Azure SQL se programa mediante las políticas de seguridad definidas en el PCE.

Laboratorios Illumino también describe seis pasos para la visibilidad y la aplicación. Los buckets S3 se utilizan para almacenar registros de flujo que activan una función Lambda que reprograma los grupos de seguridad de VPC en función de las políticas de seguridad definidas en el PCE.

5. ¿Puede Illumio ayudar con una brecha importante de seguridad en la nube?

Sin duda alguna. Equivocar la seguridad puede significar la pérdida de datos violación de datos, exposición de datos confidenciales, impacto en los ingresos, efecto duradero en la marca e incluso sanciones vinculadas al cumplimiento de normas. La seguridad no se ha mantenido al día con la evolución que hemos visto en la infraestructura y las aplicaciones. Debe abordar la seguridad de una manera nueva y pensar de manera diferente sobre los entornos de aplicaciones y cómo protegerlos.

Uno de los mayores desafíos con una brecha de seguridad es el movimiento lateral. Illumio ha sido diseñado para detener el movimiento lateral y reducir el radio de explosión. Por diseño, Illumio sigue un”lista de permitidos” modelo, por lo que cuando una carga de trabajo se ve comprometida, las políticas de seguridad de todas las demás cargas de trabajo se actualizan automáticamente para bloquear el tráfico de la carga de trabajo comprometida.

Las iniciativas de Controles de Seguridad del Centro para la Seguridad en Internet (CIS) son ampliamente adoptadas y existen desde hace más de 10 años. Los controles se derivan de los más comunes patrones de ataque destacado en los principales informes sobre amenazas y examinado en una comunidad muy amplia de profesionales gubernamentales y de la industria. Reflejan el conocimiento combinado de expertos forenses y de respuesta a incidentes comerciales y gubernamentales. Las capacidades de Illumio le ayudan directamente cumplir o dar soporte a CIS Basic, controles fundacionales y organizacionales.

Recapitación rápida

La microsegmentación es un enfoque muy eficaz para prevenir movimiento lateral no autorizado dentro de su organización, y no es casualidad que se haya convertido en un elemento clave si Marco de confianza cero.

A medida que su organización escala para satisfacer las necesidades del negocio, la creación de controles de seguridad consistentes que funcionen en los proveedores de nube pública se vuelve fundamental para reducir su exposición al riesgo y reducir la complejidad. ¿Listo para dar el primer paso en tu viaje de microsegmentación? Regístrese para una prueba gratuita de 30 días.

Temas relacionados

Seguridad en la nube

Artículos relacionados

La causa principal de las iniciativas de microsegmentación en la industria farmacéutica
Segmentación de confianza cero

La causa principal de las iniciativas de microsegmentación en la industria farmacéutica

Según Deloitte, la industria farmacéutica es cada vez más el sector más blanco de los ciberdelincuentes a nivel mundial, debido al enorme valor atribuido a la propiedad intelectual asociada y al aumento de la digitalización del mercado.

Leer más
Es un Pájaro, Es un Avión, Es... ¡Supercluster!
Segmentación de confianza cero

Es un Pájaro, Es un Avión, Es... ¡Supercluster!

Las organizaciones grandes a menudo tienen data centers ubicados en diferentes regiones geográficas. Los data centers distribuidos permiten a estas organizaciones ubicar sus aplicaciones cerca de sus clientes y empleados, cumplir con los requerimientos de residencia de datos y proporcionar recuperación ante desastres para sus aplicaciones críticas del negocio.

Leer más
Cómo Hi-Temp Insulation lanzó la microsegmentación de Illumino en solo 30 minutos
Segmentación de confianza cero

Cómo Hi-Temp Insulation lanzó la microsegmentación de Illumino en solo 30 minutos

Así es como Hi-Temp Insulation de Camarillo, CA lanzó la solución de Micro-Segmentación de Illumino en solo 30 minutos.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información