Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Productos Illumio

Combatir el ransomware más rápido: visibilidad centralizada para los límites de aplicación

Christer Swartz
,
Director de Mercadotecnia de Soluciones
May 16, 2022
23 min. lectura

Una verdadera arquitectura de Segmentación de Confianza Cero empuja el límite de confianza directamente al individuo cargas de trabajo de aplicaciones. Es por eso que el modelo de seguridad de lista permitida de Illumio le brinda la capacidad de permitir solo el tráfico que requieren sus cargas de trabajo, negando todo lo demás de manera predeterminada.

Illumino bloquea o permite tomar decisiones directamente en la carga de trabajo antes de que un paquete llegue al plano de red o necesite llegar a cualquier herramienta de seguridad en su red o estructura en la nube. La aplicación completa con Illumio significa que puede segmentar con precisión el tráfico dentro y fuera de sus cargas de trabajo a gran escala.
 
Sin embargo, en algunos casos, es posible que no siempre tenga suficiente información para saber qué tráfico desea permitir que se comunique con sus cargas de trabajo, pero es posible que sepa qué es lo que no quieren permitir comunicarse.

Modelos de segmentación de listas denegadas frente a listas permitidas

Tales situaciones exigen la opción de usar temporalmente un modelo de segmentación de listas denegadas, que bloquea ciertos puertos entre cargas de trabajo y permite todo lo demás de forma predeterminada.

Es importante tener en cuenta que esto debería ser solo una solución temporal. Deberá utilizar herramientas de análisis para recopilar el comportamiento de tráfico de dependencia de aplicaciones requerido que sea necesario para definir un modelo de política de lista de permitidos eventual. Luego, puede cambiar del modelo de segmentación de listas denegadas a un enfoque de lista permitida y un modelo de seguridad Zero Trust.
 
La flexibilidad se vuelve particularmente importante para protección contra ransomware. La mayoría del ransomware moderno utiliza puertos abiertos en la red de una carga de trabajo para moverse lateralmente a través del entorno. Tomemos, por ejemplo, Remote Desktop Protocol (RDP) y Server Message Block (SMB). Estos puertos están diseñados para que las cargas de trabajo accedan a un pequeño conjunto de recursos centrales, como los administrados por equipos de TI, y rara vez lo hacen pretendido para ser utilizado entre cargas de trabajo. Sin embargo, el ransomware comúnmente los usa como “puertas abiertas” fáciles para propagarse a través de todas las cargas de trabajo.
 
Para resolver rápidamente este problema, debe tener la capacidad de bloquear puertos RDP y SMB entre todas las cargas de trabajo a gran escala. Luego, cree un pequeño número de excepciones que permitan que las cargas de trabajo accedan a recursos centrales específicos. Así es como Límites de aplicación trabajo en Illumio Core.

Definición de límites de aplicación

Los límites de aplicación son un conjunto de reglas de denegar que se aplican a las cargas de trabajo que se han colocado en el modo de “Aplicación selectiva”. A diferencia del modo “Cumplimiento completo”, que segmenta y aplica el tráfico de carga de trabajo bajo una política de lista de permitidos, “Aplicación selectiva” bloquea solo los puertos seleccionados y el tráfico que especifique.

Illumio muestra reglas de segmentación en tres flujos de trabajo diferentes:

  • En el menú Rulesets y Rules donde se crean las reglas
  • En el Explorador, donde puede consultar el tráfico histórico y los eventos, y analizar y visualizar todos los puertos en todos los flujos en un formato de tabla o coordenadas
  • En Illumination, el mapa en tiempo real desde el que puede ver las dependencias de las aplicaciones y la conectividad en todos los entornos

Los límites de aplicación estaban visibles en la sección “Rulesets and Rules” en el momento de su lanzamiento inicial, y podían aplicarse a todas las cargas de trabajo en el modo “Aplicación selectiva”. También puede ver los límites de aplicación en Explorador herramienta: permite ver el comportamiento del puerto y si los flujos se ven afectados por una regla de Límites de Cumplimiento.

Y con la última versión de Illumio Core, el Iluminación el mapa muestra los límites de aplicación en todos los flujos a través de todas las dependencias de las aplicaciones. La centralización de los límites de cumplimiento en Illumination le permite correlacionar eventos de manera eficiente durante una brecha de seguridad.

Visualización de límites de cumplimiento y tráfico de flujo de trabajo

Puede visualizar los límites de aplicación en Iluminación a través de los menús que se muestran cuando selecciona una carga de trabajo o un flujo de tráfico.

policy-enforcement-boundaries

En el menú, verá el conocido icono de “muro de ladrillos” que indica la presencia de un límite de cumplimiento junto al tráfico que se verá afectado por él. Este es el mismo método utilizado para visualizar los límites de cumplimiento en el Explorador, lo que permite una representación visual y experiencia consistentes.
 
Esta vista muestra todo el tráfico entre cargas de trabajo seleccionadas, ya sea en modo “Aplicación selectiva” o en modo “Aplicación mixta”, y qué flujos de tráfico se verán afectados por un límite de cumplimiento.

También puede ver el tipo de tráfico entre flujos de trabajo junto a cada flujo como tráfico unicast, broadcast o multicast. Los tipos de tráfico se indican mediante la nueva “B” y “M” junto a cada flujo (el tráfico sin letra a su lado es unicast).

enforcement-boundaries-traffic

Centralización de los flujos de trabajo de límites de aplicación en Iluminación

Además de mostrar los límites de cumplimiento junto con las cargas de trabajo y los flujos de tráfico en Iluminación, puede seleccionar y modificar límites de cumplimiento específicos directamente desde Illumination. Al seleccionar la decisión de tráfico y política para una carga de trabajo, puede mostrar o editar ese límite de aplicación.

view-enforcement-boundaries

Esto elimina la necesidad de ir y volver entre la visualización del tráfico en Illumination y el acceso a límites de cumplimiento específicos en diferentes flujos de trabajo. Puede visualizar ambos tipos de políticas de segmentación (listas de permitidos y listas de denegación) como parte de las dependencias de las aplicaciones en Illumination.

Límites de aplicación: la diferencia de Illumio

A diferencia de muchas otras plataformas de seguridad, Enforcement Boundaries amplía las capacidades de Illumio para ofrecer modelos de políticas de segmentación de listas permitidas y deny-list. Esto le permite adoptar un enfoque granular para cualquiera de las arquitecturas de seguridad e implementar una solución rápida para el ransomware. Y puede hacerlo de manera segura, con la capacidad de analizar el efecto de las reglas de límites de aplicación en patrones de tráfico específicos en Explorador y dentro de las dependencias de las aplicaciones mostradas en Iluminación. Ahora puede protegerse contra lo que quiere permitir y lo que no quiere permitir, y ver los efectos en los tres flujos de trabajo principales.
 
Los límites de aplicación también resuelven un problema de larga data con los firewalls: el ordenamiento de reglas. Los firewalls tradicionales leen reglas de arriba a abajo con una “negación” implícita al final. Colocar una nueva regla en un conjunto de reglas de firewall existente no es para los débiles de corazón, ya que poner una o más declaraciones de reglas nuevas en el lugar equivocado, antes o después de alguna otra regla existente, corre el riesgo de romper las dependencias.
Este desafío requiere un proceso de control de cambios cuidadosamente definido durante una ventana de control de cambios planificada. Y si una dependencia se rompe repentinamente durante el cambio, se le pedirá que retroceda y vuelva a intentarlo más tarde.

Para evitar este problema, Illumio entrega un modelo declarativo donde el administrador define el estado final de cualquier nueva regla de segmentación o Límite de Cumplimiento e Illumino implementa cuidadosamente el orden de reglas correcto. Esto significa que el administrador define el “qué” e Illumio implementa el “cómo”.

Dado que el eslabón más débil en cualquier arquitectura de seguridad es una escritura humana en un teclado, Illumio elimina el riesgo de errores de configuración, que sigue siendo la fuente más común de seguridad débil en cualquier nube o red empresarial. Puede definir y visualizar claramente los límites de aplicación y garantizar que puede implementar de manera segura y eficiente segmentación de carga de trabajo a escala.

Para saber más sobre Illumio, el líder en Segmentación de Confianza Cero:

Temas relacionados

Microsegmentación

Artículos relacionados

Respuesta y contención de brechas en la nube con Illumio CloudSecure
Productos Illumio

Respuesta y contención de brechas en la nube con Illumio CloudSecure

Descubra por qué la respuesta a las brechas en la nube es importante ahora y cómo usar Illumio CloudSecure para contener el próximo ataque inevitable en la nube.

Leer más
Mejoría del monitoreo y control del tráfico en la nube
Productos Illumio

Mejoría del monitoreo y control del tráfico en la nube

Con Illumio Core, Illumio es el líder reconocido en segmentación Zero Trust para data centers y sistemas locales.

Leer más
El CTO PJ Kirner sobre la seguridad en la nube y las innovaciones innovadoras de Illumio CloudSecure
Productos Illumio

El CTO PJ Kirner sobre la seguridad en la nube y las innovaciones innovadoras de Illumio CloudSecure

La nube se ha convertido en un GRAN negocio. Muchas organizaciones, que antes dudaban en adoptar la nube, ahora la utilizan para impulsar una transformación revolucionaria de sus operaciones al obtener importantes ventajas de escala, flexibilidad y eficiencia.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información