Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

Qué hace que el agente de Illumio sea más confiable que los agentes en línea

Ron Isaacson
,
Director Senior, Arquitectura Empresarial
December 7, 2022
23 min. lectura

Secreto suena como una buena palabra para usar cuando desea proteger sus datos. Y si tus gustos son más Misión: Imposible o Austin Powers, ¿a quién no le encanta una buena película de agentes secretos?

Sin embargo, cuando se trata de segmentación, un agente secreto es casi lo último que quieres.

El trabajo de un agente de ciberseguridad nunca se realiza, es esencial

Cuando hablamos de agentes en Illumio, por lo general no estamos hablando de Jason Bourne. En su lugar, estamos hablando del agente de punto final, el caballo de batalla de cualquier implementación de segmentación. El software de agente de Illumio se llama Nodo de aplicación virtual o VEN y se ejecuta en todas las cargas de trabajo que protegemos.

Vea esta descripción general para obtener más información sobre el Illumio VEN:


El agente tiene tres trabajos principales:

  1. Mantiene comunicación constante con el Policy Compute Engine (PCE), el cerebro central de Illumino. Piensa Maxwell Smart, siempre hablando en su zapatero.
  2. Supervisa lo que sucede en la carga de trabajo, incluyendo el origen y el destino de cada conexión que entra o sale.
  3. Hace cumplir la política de seguridad que ha definido para su organización, permitiendo las conexiones que desea y bloqueando las que no.

La pieza de aplicación de la ley es crítica cuando se trata de reducir el riesgo de violaciones de datos. Pero también es donde un agente secreto puede meterse en muchos problemas.

Obtenga los detalles sobre el VEN ligero y confiable de Illumino aquí.

Los agentes secretos se sientan en línea del tráfico de la red

Un agente de segmentación tiene un trabajo complejo: necesita comprender la política de seguridad que se aplica a la carga de trabajo y debe verificar cada conexión entrante y saliente para el cumplimiento de esa política.

Una conexión que está bloqueada por error puede afectar las operaciones del negocio, pero permitir una conexión arriesgada es como abrir la puerta a un atacante. El agente necesita tomar la decisión correcta cada vez. También debe ser 100% confiable y no puede afectar el performance o la disponibilidad de su aplicación.

A nivel técnico, existen dos enfoques principales en lo que respecta a la aplicación:

  • Un agente puede sentarse en medio de cada conexión y tomar decisiones sobre la marcha sobre qué permitir o bloquear.
  • O puede contar con la ayuda del sistema operativo, su secuaz personal, para hacer el trabajo sucio.

Llamamos al primero un en línea agente. Este agente es una pieza de software que se engancha profundamente en el kernel, el núcleo del sistema operativo. Cada paquete de tráfico de red que entra o sale de la carga de trabajo se traspasa del kernel al agente. El agente tiene que inspeccionar ese paquete y decidir si se debe permitir, luego pasarlo de nuevo al kernel.

Los agentes que tienen acceso completo a cada paquete pueden ser muy poderosos porque tienen mucha información que pueden usar para evaluar si se debe permitir el paquete. No obstante, estos agentes también pueden ser muy riesgosos. Tienes que preguntarte cada vez: ¿tu paquete estará salvaguardado por James Bond, respaldado por los magistrales inventos de Q? ¿O será destropezado por el Inspector Gadget?

2 razones por las que los agentes en línea pueden ser poco confiables

Desafortunadamente para muchas organizaciones, no hay nada gracioso en la analogía. Los agentes en línea no tienen un historial muy bueno.

La primera preocupación suele ser rendimiento: Los agentes en línea sólo pueden aplicar reglas simples e inspecciones rudimentarias antes de que empiecen a tener un impacto notable en la carga de trabajo. Los efectos de un agente con exceso de trabajo pueden incluir una alta carga de CPU y una reducción del rendimiento de la red. La seguridad a expensas del bajo performance de las aplicaciones no es una muy buena compensación.

Sin embargo, más allá del rendimiento, a menudo hay preguntas sobre confiabilidad. ¿Qué sucede cuando tu agente falla en su misión? A lo mejor el comunicador de muñeca se baja, o el agente recibe una entrada que no esperaba. O tal vez el agente simplemente no está a la altura de la tarea, entrenado y probado en un entorno más simple y mal preparado para las condiciones del mundo real. ¿El agente falla en abrir, exponiéndolo a riesgos innecesarios, o si falla el cierre e interrumpe su negocio?

Todos estos riesgos son inherentes al trabajo de un agente secreto, que opera en las sombras y utiliza sus propios métodos no probados. Cuanto más contacto tenga el agente con cada paquete, mayor será el riesgo de que el agente cause una interrupción o degradación en el performance.

El agente no tan secreto de Illumio: El Illumio VEN

Cuando se trata de agentes, Illumio adopta un enfoque diferente. Nos gusta dividir el trabajo de segmentación en dos partes principales:

  • Hable sobre su política de seguridad. Pensemos en sus riesgos y los tipos de activos que necesita proteger, y ideemos una política de seguridad amigable para las personas que proteja sus servicios y datos.
  • Haga cumplir su política de seguridad. Aquí es donde entra el VEN, e idealmente, es la pieza más transparente y menos interesante del rompecabezas.

Tu negocio te da lo suficiente para pensar; lo último que necesitas es un agente que traiga drama innecesario.

Para garantizar una experiencia de agente sin drama, Illumio adopta un enfoque en capas para las operaciones de VEN:

  • El VEN recupera periódicamente actualizaciones de políticas de seguridad del PCE. Si el PCE es inalcanzable (por un corto o largo tiempo), el VEN ya tiene todo lo que necesita para proteger su carga de trabajo. No existe dependencia en tiempo real entre el VEN y el PCE.
  • Una vez que el VEN recibe sus órdenes del PCE, entrega la aplicación al sistema operativo. Este servicio de “aplicación por encargo” es proporcionado por iptables en Linux o WFP en Windows (WFP es la Plataforma de Filtrado de Windows, el ejecutor de bajo nivel sobre el que se construye Windows Firewall). Cuando se trata de sistemas distribuidos complejos, la aplicación a nivel del sistema operativo no trae muchos cerebros, pero tiene mucha fuerza.
  • Habiendo recibido su dirección del VEN, el sistema operativo hace la aplicación completamente por su cuenta. En el improbable caso de que algo salga mal con el VEN, el sistema operativo puede continuar haciendo cumplir su política más reciente sin ninguna ayuda adicional. Como cualquier buen manager, el VEN puede tomar un descanso si es necesario y todo va a seguir funcionando sin problemas.

Leer más sobre cómo se desarrolló el Illumio VEN para mantener su rendimiento ligero.

Ventajas del VEN de Illumio

La ventaja clave de este enfoque es que la aplicación proporcionada por el sistema operativo es extremadamente estable y de alto rendimiento. En Linux, iptables se lanzó por primera vez en 1998; el desarrollo del PMA comenzó alrededor de 2007. Estos servicios son maduros, robustos y se utilizan en cientos de millones de servidores en todo el mundo. La mayoría de los problemas potenciales que posiblemente podrían afectar la carga de trabajo se encontraron y solucionaron hace mucho tiempo.

Y a diferencia de los agentes en línea, el VEN de Illumio tiene una gran reputación por ser ligero y confiable. Nuestro VEN tiene un historial comprobado de bloqueo de conexiones no deseadas sin afectar su negocio a través de latencia adicional o interrupciones del servicio.

Al enfocarse en sus objetivos de reducción de riesgos y adoptar un enfoque de “no intervención” para sus paquetes, Illumio le permite pensar en la seguridad sin preocuparse de si el agente está haciendo su trabajo de manera efectiva.

¿Listo para aprender más sobre la Plataforma de Segmentación Illumio Zero Trust? Contáctanos hoy para una consulta y demostración.

Temas relacionados

Segmentación de confianza cero

Artículos relacionados

3 cualidades a tener en cuenta en una plataforma de segmentación de confianza cero
Segmentación de confianza cero

3 cualidades a tener en cuenta en una plataforma de segmentación de confianza cero

La mejor manera de protegerse contra los ataques cibernéticos que se propagan por toda su red es implementar la Segmentación de Confianza Cero, haciendo cumplir controles de acceso que bloquean las rutas de las que dependen las brechas como el ransomware.

Leer más
Conozca a Illumio en la Cumbre de Gestión de Riesgos y Seguridad de Gartner
Segmentación de confianza cero

Conozca a Illumio en la Cumbre de Gestión de Riesgos y Seguridad de Gartner

Conozca a los expertos de Illumio Zero Trust Segmentation (ZTS) en la Cumbre de Seguridad y Gestión de Riesgos de Gartner de este año en Londres del 26 al 28 de septiembre.

Leer más
10 razones por las que las escuelas y los distritos deberían elegir la segmentación de confianza cero de Illumio
Segmentación de confianza cero

10 razones por las que las escuelas y los distritos deberían elegir la segmentación de confianza cero de Illumio

Conozca por qué las escuelas necesitan tomar medidas proactivas para detener la propagación de brechas inevitables con Illumio ZTS.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información