Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Productos Illumio

Visualización de nivel siguiente y creación de políticas: Iluminación 2.0

Illumio Editorial
,
August 21, 2017
23 min. lectura

En 2014, Illumio fue pionero en mapeo y visibilidad de dependencia de aplicaciones en tiempo real para la microsegmentación con Iluminación. Cuando lanzamos la Plataforma de Seguridad Adaptable (ASP) de Illumio, creíamos que las organizaciones no podrían crear políticas de segmentación para sus aplicaciones de campo desactualizado sin un mapa de dependencia de aplicaciones (el CTO de Illumio, PJ Kirner) explica por qué necesita un mapa para la seguridad. en una reciente entrada de blog).

Desde nuestra primera versión hasta hoy, Illumination ha proporcionado una manera para que las organizaciones utilicen la visibilidad del flujo de tráfico para crear políticas de microsegmentación, probarlas y luego comenzar a pasar a la aplicación, aplicación por aplicación.

La evolución de la visibilidad

La primera versión de Illumination permitió a los equipos centrales de seguridad analizar los flujos de aplicaciones y agregar manualmente reglas basadas en etiquetas de lista blanca para permitirlas. El único objetivo era ayudar a los clientes a construir sus políticas de microsegmentación, y todos los flujos de trabajo en Illumination se enfocaron en ese único objetivo. Cuando inicialmente concebimos Illumination, pensamos que los clientes emparejarían un número limitado de cargas de trabajo, crearían políticas y luego migrarían esas cargas de trabajo a la aplicación de la ley.

Como muchos de nuestros clientes han utilizado Illumination para segmentar sus centros de datos e infraestructura en la nube, esto es lo que hemos aprendido desde que enviamos por primera vez:

  1. La generación de políticas puede ser muy, muy difícil: La iluminación permitió a los equipos de seguridad analizar las conexiones de tráfico una por una y, con un flujo válido, agregar una regla en el modelo de políticas basado en etiquetas de lista blanca de Illumio. Hemos aprendido que las aplicaciones están extremadamente interconectadas y que solo unos pocos cientos de aplicaciones que se componen de un par de miles de cargas de trabajo pueden tener millones de conexiones únicas que necesitan ser analizadas. La mejor manera de comenzar es generar automáticamente políticas para permitir esas conexiones. Esto tiene el riesgo de permitir una conexión que no debería permitirse (como leerá a continuación, tenemos herramientas para ayudar con esto); sin embargo, a partir de este punto, los clientes pueden restringir el movimiento lateral y detectar de inmediato las violaciones de políticas.
  2. La creación centralizada de políticas no siempre funciona: Los flujos de trabajo en Illumination se diseñaron para ayudar a un equipo de seguridad central a crear políticas de microsegmentación para toda la infraestructura. Sin embargo, aprendimos que crear políticas de microsegmentación es difícil y requiere mucho tiempo sin delegarlo en los equipos de aplicaciones que entienden esas aplicaciones. (Próximamente: Nuestra publicación en el blog de Matthew Glenn, ex vicepresidente de producto, sobre la alineación de la segmentación con su organización. Estén atentos — es una buena lectura).
  3. La visibilidad se puede utilizar para operaciones de cumplimiento de normas y seguridad: Cuando enviamos por primera vez, la visibilidad en Illumination impulsó la creación de políticas de microsegmentación. Sin embargo, una vez que agregamos el contexto de etiquetas y políticas al tráfico, esta visibilidad se volvió tremendamente beneficiosa para los equipos de operaciones de cumplimiento, auditoría y seguridad. Los equipos de cumplimiento de normas utilizan la visibilidad para generar informes que permiten a un auditor terminar su trabajo de manera más rápida y eficiente. Los equipos de operaciones de seguridad utilizan la visibilidad para encontrar rápidamente violaciones de políticas, detectar amenazas y responder a esas amenazas de manera más efectiva.

    De hecho, algunos de los clientes de Illumio pudieron detectar hosts afectados por WannaCry a través de la visibilidad de Illumio; cualquier host que rompiera la política e intentara conectarse en puertos SMB fue rápidamente rastreado y remediado. Otros clientes encontraron que algunos de sus servidores de centros de datos escuchaban música de Spotify y estaban publicando actualizaciones en Facebook. Deberías haber visto las expresiones en sus caras cuando descubrieron esas conexiones.

Estamos constantemente escuchando y aprendiendo de nuestros clientes. El año pasado, agregamos App Group Maps para ayudar a los equipos de aplicaciones a usar Illumio y enfocarse solo en las aplicaciones y cargas de trabajo que son importantes para ellos. Hoy, nos complace anunciar las siguientes nuevas características bajo el paraguas de Illumination 2.0.

Nuevas funciones, visibilidad avanzada

Presentación de Policy Generator

Años de bucles de retroalimentación de los clientes y lecciones aprendidas han dado paso a ideas clave sobre políticas:

  • Escribir políticas flujo por flujo en un entorno grande no es realmente escalable. (Si desea una prueba de cómo uno de nuestros competidores lo hace fluir por flujo, ver este video).
  • Los equipos de seguridad centralizados no siempre conocen los detalles específicos de cómo funcionan las aplicaciones; al escribir políticas de seguridad, no podían validar si los flujos eran correctos o incorrectos. Esto ha impulsado el deseo de extender la creación de políticas a los equipos de aplicaciones que tienen detalles de sus aplicaciones.
  • Los equipos de aplicaciones pueden tener opiniones sobre cómo se deben asegurar las aplicaciones, pero no tienen experiencia en la creación de políticas de seguridad (por ejemplo, reglas de firewall), y poner a los equipos de aplicaciones en la escuela de políticas de segmentación no es realmente una opción.

Por eso creamos Policy Generator.

Application dependencies without security policies in a single application.

Dependencias de aplicaciones sin políticas de seguridad en una sola aplicación.

Security policy recommendations for micro-segmentation.


Recomendaciones de políticas de seguridad para la microsegmentación.

Security policy enforcement in a single application.


Aplicación de políticas de seguridad en una sola aplicación.

Policy Generator reduce drásticamente el tiempo, la capacitación y los recursos necesarios para escribir políticas de microsegmentación.

Utiliza algoritmos personalizados e historial de tráfico de red para generar automáticamente políticas de microsegmentación basadas en etiquetas. Policy Generator permite a los clientes marcar su nivel deseado de granularidad de segmentación en la aplicación, nivel de aplicación o hasta el nivel de puerto/protocolo. Una vez seleccionado el nivel de política deseado, Policy Generator genera automáticamente políticas de microsegmentación conformes en minutos. Además, la política de microsegmentación es lenguaje natural, algo que cualquier equipo de aplicación puede leer y entender.

Policy Generator se puede utilizar con control de acceso basado en roles (RBAC) para delegar la creación de políticas en el equipo de aplicación respectivo. Los equipos de seguridad pueden realizar una verificación final antes de promover la política creada por el equipo de aplicaciones a la producción, de modo que la política pueda seguir el ciclo de vida del desarrollo de software (SDLC).

Policy Generator permite a las grandes organizaciones llegar a un centro de datos totalmente microsegmentado e infraestructura en la nube con un tiempo y recursos significativamente reducidos.

También permite a los clientes desarrollar iterativamente políticas de segmentación. Por ejemplo, una organización puede generar una política de microsegmentación inicial. En unas pocas semanas o meses, Policy Generator se puede volver a ejecutar para generar políticas que se adapten a nuevos flujos, o ajustar la granularidad para endurecer la política hasta el nivel de puerto/protocolo (también conocido como nano-segmentación).

Presentación de Explorer

Con Explorer, estamos desbloqueando una dimensión completamente nueva de visualización para nuestros clientes. Comenzamos a ver a los clientes cuestionarse por qué estaban sucediendo los flujos, y luego hacer preguntas como: “¿Esto está sucediendo en otro lugar?” Entonces les mostraríamos dónde más estaba sucediendo (si era). La siguiente pregunta fue: “¿Qué más me estoy perdiendo?”

Eso es lo que nos hizo crear Explorer.

Explorer permite que los equipos de seguridad, operaciones y cumplimiento de normas creen consultas de tráfico. Estos son algunos ejemplos que hemos visto:

  • Un equipo de cumplimiento de normas puede usar la herramienta Explorer para descargar rápidamente la lista de conexiones que fluyen hacia su entorno PCI. Luego pueden entregar ese informe a una QSA para ayudar a aprobar un PCI auditoria.
  • Un equipo de operaciones de seguridad podría pedir todos los flujos de tráfico entre el entorno “Dev” y el “Prod” en SSH y puertos de base de datos para que puedan tener equipos de aplicaciones que justifiquen las conexiones.
  • Un equipo de operaciones puede plantear consultas como, “Cuéntame sobre todos los flujos entre servidores en dos centros de datos diferentes”, que se pueden usar para identificar dependencias remotas de aplicaciones o para determinar si una interrupción del centro de datos podría afectar la disponibilidad de una aplicación en general.

Las organizaciones utilizan Explorer para encontrar la “aguja en el pajar” en millones de flujos para identificar violaciones ocultas de políticas o amenazas de seguridad.

Explorer permite a los usuarios acercarse al tráfico de una manera muy diferente. Los usuarios pueden ver el tráfico asociado con cualquier conjunto de etiquetas utilizando un mapa de coordenadas paralelo (en la imagen de abajo). Entonces un usuario puede 'hacer clic' a través de puntos en el mapa de coordenadas paralelo para llegar al tráfico que es interesante. Luego pueden descargar la lista de flujos en un CSV, pero incluir el contexto de la etiqueta a las conexiones tanto para las fuentes como para los destinos. Explorer también agrega el contexto de las políticas a cada conexión para informar rápidamente si la conexión está permitida por su política o no.

Identify any policy violations and security threats.

Identificar cualquier violación de políticas y amenazas a la seguridad.

View of all communications into your PCI environment.

Vista de todas las comunicaciones en su entorno PCI.

Ask a question about your PCI application traffic.

Haga una pregunta sobre el tráfico de su aplicación PCI.


Véalo en vivo en VMworld 2017

Nos embarcamos en este viaje para proporcionar mapeo de dependencia de aplicaciones en tiempo real y visibilidad para la segmentación hace tres años. Desde entonces, otros proveedores en el mercado de la microsegmentación se han dado cuenta de la importancia de la visibilidad y el mapeo de dependencia de las aplicaciones. El año pasado, casi todos ellos intentaron llenar sus vacíos de productos tratando de construir o adquirir una solución. Mientras que otras compañías están al comienzo de su viaje, estamos entusiasmados de llevar la visibilidad a un nuevo nivel agregando Policy Generator y Explorer a Illumination.

Illumination 2.0 permite a las organizaciones usar estas características de visibilidad para microsegmentar y proteger de manera más eficiente su centro de datos y su infraestructura de nube, al tiempo que les permite usar esta visibilidad para operaciones, cumplimiento de normas y operaciones de seguridad flujos de trabajo.

Mostraremos estas nuevas características en VMworld 2017. Si vas al espectáculo, ven a visitarnos en el stand #800 para una demostración en vivo.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

¿Por qué estamos aceptando puntos ciegos en la visibilidad del tráfico de puntos finales?
Productos Illumio

¿Por qué estamos aceptando puntos ciegos en la visibilidad del tráfico de puntos finales?

Aprenda a lograr visibilidad centralizada y end-to-end de punto a punto con Illumio Endpoint.

Leer más
La Falla Oculta en la Seguridad del Data Center: Conectividad de Endpoint
Productos Illumio

La Falla Oculta en la Seguridad del Data Center: Conectividad de Endpoint

Aprenda a detener el movimiento lateral entre los endpoints y el data center con la plataforma de segmentación Illumio Zero Trust.

Leer más
Por qué a los hackers les encantan los endpoints y cómo detener su propagación con Illumio Endpoint
Productos Illumio

Por qué a los hackers les encantan los endpoints y cómo detener su propagación con Illumio Endpoint

La seguridad tradicional deja los puntos finales abiertos a los hackers. Aprenda a prepararse proactivamente para las brechas con Illumio Endpoint.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información