Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Asociados de negocios e integraciones

Una mirada más profunda a la integración de Illumino con Palo Alto Networks

Christer Swartz
,
Director de Mercadotecnia de Soluciones
September 30, 2020
23 min. lectura

La microsegmentación y los cortafuegos, a las empresas a reducir su superficie de ataque y a reducir la exposición a ransomware, malware y otras amenazas que se movieran lateralmente o se propagan rápidamente a través de los flujos de tráfico Este-Oeste dentro de los entornos de nube y centros de datos. Pero como sabemos, las empresas de hoy en día tienen una naturaleza altamente distribuida, con usuarios, dispositivos y cargas de trabajo cada vez más en todas las partes. Para hacer frente a esto, las empresas deben buscar implementar seguridad tanto en la red como en la carga de trabajo.

Las cargas de trabajo son efímeras y a la mayoría de las cargas de trabajo se les otorga una variedad de direcciones IP a diferentes medida que se suben y se descomponen entre las estructuras de red o se modifican sus direcciones IP diversas por razones por un controlador que le designa dinámicamente los recursos informáticos. Esto es especialmente cierto para las arquitecturas modernas de microservicios alojadas en estructuras de nube pública, donde las cargas de trabajo fallan, resucitan y se trasladan de manera continua alrededor de la red de manera dinámica. El uso de una dirección IP para identificar estáticamente una carga de trabajo, en cualquier forma, es una reliquia del pasado. Por lo tanto, es importante mapear el contexto en tiempo real con el fin de hacer cumplir la eficacia seguridad de carga de trabajo a lo largo de su ciclo de vida.

Por su naturaleza dinámica, a menudo es difícil para las organizaciones mapear y aplicar políticas de microsegmentación a las cargas de trabajo dondequiera que se ejecuten. Mientras que las cargas de trabajo de las aplicaciones se comunicen entre sí principalmente a través de flujos de tráfico Este-Oeste, el tráfico que entra y venta del centro de datos o los entornos de nube están protegidos a través del tráfico Norte-Sur en el perímetro. Para lograr una microsegmentación efectiva, debe implementar actualizaciones de políticas en tiempo real para las cargas de trabajo dondequiera que se movieran: a través de la estructura de la red a los firewalls de próxima generación (NGFW), así como en toda la infraestructura de host donde puedan ser implementadas por soluciones basadas en agentes que operen a nivel de carga de trabajo. El mapa de políticas de seguridad para cargas de trabajo dinámicas en Este-Oeste y Norte-Sur es complejo y difícil de administrar a escala. Pueden dar lugar a inconsistencias si los cambios en las políticas de seguridad se administran en silos a través de las herramientas de microsegmentación basadas en agentes y NGFW.

Automatiza la seguridad dinámica mediante metadatos

Núcleo de Illumio utiliza metadatos en forma de etiquetas para identificar cargas de trabajo, en lugar de confiar del direccionamiento de red. El administrador puede asignar diferentes etiquetas a diferentes cargas de trabajo y, a continuación, estas etiquetas se pueden usar para definir políticas. Uso Nodo de aplicación virtual (VEN) Los agentes implementados en cada carga de trabajo, Illumio Core realiza un seguimiento de las direcciones IP cambiantes de esa carga de trabajo entre bastidores. Si una carga de trabajo cambia su dirección IP diez veces a lo largo de su ciclo de vida, la etiqueta sigue siendo consistente. El resultado es que la política se define sin tener en cuenta cómo se diseña la red subyacente. El reenvío de paquetes se sigue mediante búsqueda IP, pero esto se realiza detrás de escena. Las etiquetas se convierten en la construcción que se usa para identificar diferentes cargas de trabajo y, dado que las políticas se redactan utilizando estas etiquetas, el resultado son etiquetas que se leen más como una oración humana, en lugar de una lista de IP y puertos.

Palo Alto Networks tiene una filosofía similar en torno al uso de metadatos en forma de etiquetas para identificar las cargas de trabajo dentro de los grupos de direcciones dinámicas (DAG) en los NGFW de Panorama o Palo Alto Networks como las series PA-7000, PA-5200 Series, PA-3200 Series y el Firewall virtual de próxima generación de la serie VM. El firewall puede crear un grupo de direcciones y definir como estático o dinámico, y luego se puede usar para definir políticas. El resultado es una regla de firewall que también se lee más como una oración humana, definiendo quién puede hacer qué a quién, utilizando los nombres DAG en lugar de direcciones IP específicas. Un DAG es como un “cubo vacío” sin direcciones IP asignadas. Si se trata de un grupo de direcciones dinámico, este cubo vacío se llena con direcciones IP de alguna entidad externa.

Al traer Illumio Core para la microsegmentación basada en agentes, los usuarios pueden obtener el contexto en tiempo real de sus cargas de trabajo empujadas directamente a los DAG dentro de Panorama o en los NGFW de Palo Alto Networks. Esta solución ayuda a los usuarios de Palo Alto Networks a garantizar que sus políticas basadas en DAGs están completamente actualizadas con los últimos cambios en las políticas de carga de trabajo. A medida que Illumio rastrea las direcciones IP cambiantes para todas las cargas de trabajo, puede llevar estas cargas de carga de trabajo etiquetadas en Palo Alto Networks. Entonces, si Illumio Core mapea diez cargas de trabajo como cargas de trabajo “App”, y el firewall de Palo Alto Networks ha diseñado un DAG también llamado “App” y utiliza ese DAG en un conjunto de políticas, el firewall tiene ese DAG por poblado Illumino. A medida que a una carga de trabajo etiquetada se le da una dirección IP, o si se libera o cambia, todos estos cambios pueden enviar al firewall de Palo Alto Networks.

El verdadero beneficio aquí es que los administradores pueden configurar el firewall una vez, y luego no tendrán que tocarlo cada vez que haya un cambio de dirección IP. El cortafuegos se queda silencioso, incluso si aumenta la escala de las cargas de trabajo. Si un DAG para cargas de trabajo “App” contiene 10 direcciones IP o 100 direcciones IP, no se requiere ningún proceso de control de cambios para modificar el firewall a medida que aumenta la escala de implementación. Illumio simplemente se puede hacer una reconfiguración del firewall según sea necesario.

Como parte de la integración, las etiquetas e IP para cargas de trabajo en Illumio Core se asignan dinámicamente a los DAGs de Palo Alto Networks. ¿El resultado? Los usuarios pueden eliminar el esfuerzo manual para administrar los cambios estáticos de políticas de seguridad para cargas de trabajo dinámicas. Puede aprovechar de la automatización y eliminar el elemento humano, lo que puede conducir a las falsas opciones y errores humanos al mantener actualizaciones de seguridad de la carga de trabajo en tiempo real.

Junto con Illumino y Palo Alto Networks, no necesita que la seguridad se demore a medida que su red escala o evoluciona. Se ve favorecido a actualizar automáticamente los DAG en Panorama y sus NGFW con un contexto de carga de trabajo en tiempo real que puede hacer posible ahorrar tiempo, esfuerzo y el dolor de cabeza asociado con la orquestación de políticas de microsegmentación Efectivas para las cargas de trabajo cambiantes de sus aplicaciones.

El flujo de trabajo de API entre Illumino y Palo Alto Networks

En Illumino Core, a las cargas de trabajo se asignan las etiquetas de metadatos Rol, Aplicación, Entorno y Ubicación para proporcionar contexto adicional. Por ejemplo, a las cargas de trabajo del nivel web que forman parte de una aplicación de pedidos implementada para el desarrollo en un centro de datos de Nueva York se les asignará la etiqueta Role Web, Application label Ordering, Environment label Development y Location label NY_DC.

En Palo Alto Networks Panorama, la política se puede crear mediante grupos de direcciones dinámicas (DAG) definidos por criterios coincidentes utilizando etiquetas. Los cambios de la composición del DAG son automáticos, ¡lo que elimina la necesidad de administración de cambios y aprobaciones!

La herramienta de integración basada en API “Illumino-Palo Alto Networks DAG Updater” registra y desregistra las cargas de trabajo dinámicamente durante todo el ciclo de vida, incluidos los cambios de dirección IP (por ejemplo, migraciones de VM en un Data Center o cambios ENI en un host en la nube) y cambios en metadatos (por ejemplo, una carga de trabajo reetiquetada como Cuarentena). A medida que las cargas de trabajo se registra y no se registra dinámicamente, la pertenencia al DAG cambia y el conjunto correcto de políticas se aplica automáticamente a las cargas de trabajo.

La capacidad de actualizar automáticamente la composición de DAG durante todo el ciclo de vida de una carga de trabajo permite políticas centradas en las aplicaciones que pueden abarcar múltiples data centers y escalar fácilmente a través de arquitecturas de múltiples niveles.

A continuación, se muestra un ejemplo simple de segmentación ambiental entre cargas de trabajo en Desarrollo y Produccion.

Configuracion

Las cargas de trabajo se emparejan con Illumio PCE y se asignan metadatos Rol, Aplicación, Entorno y Ubicación usando etiquetas:

PANimage1
Desarrollo y Produccion cargas de trabajo del pedidos aplicación

DAG se crea utilizando criterios coincidentes Desarrollo — todas las cargas de trabajo de desarrollo:

PANimage2

Se crea un DAG utilizando criterios coincidentes Produccion — todas las cargas de trabajo de producción:

PANimage3

Política que se ha dado a DAG para permitir el tráfico entre Desarrollo cargas de trabajo y tráfico entre Produccion cargas de trabajo:

PANimage4
API de integración

La herramienta de integración forma parte de la herramienta Workloader de Illumio, que se puede descargar desde el Portal de Soporte de Illumino:

Cargador de trabajo empuja etiquetas y direcciones IP emparejadas con cada carga de trabajo administrada al firewall de Palo Alto Networks, al emitir el sincronización de días comando:

El resultado se muestra en la Mass DAG en el firewall de Palo Alto Networks, que muestra las direcciones IP de Illumio para las etiquetas relacionadas:

PANimage7

Mentación actualizada de DAG Development:

PANimage8

¡Y eso es todo! La mejor parte de la integración es que a medida que el entorno se escala hacia arriba y se baja, las cargas de trabajo se graba y no se graba dinámicamente, lo que cambia automáticamente la participación al DAG, ¡lo que desencadena políticas de segmentación ambiental automáticamente!

Increíble, ¿no? Visita Portal de Soporte de Illumino para descargar la herramienta de integración.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Illumio y Wiz: Ver, Detectar y Contener Ataques a la Nube Automáticamente
Asociados de negocios e integraciones

Illumio y Wiz: Ver, Detectar y Contener Ataques a la Nube Automáticamente

Descubra cómo la plataforma de seguridad Wiz Cloud y la integración de Illumio CloudSecure combina la detección de amenazas con la Segmentación de Confianza Cero para cerrar automáticamente las brechas de seguridad.

Leer más
Cree su estrategia de confianza cero con IBM Security + Illumio en la Conferencia de RSA
Asociados de negocios e integraciones

Cree su estrategia de confianza cero con IBM Security + Illumio en la Conferencia de RSA

Conozca a Illumio e IBM Security en RSAC 2023 para aprender cómo colaboran para ayudar a las organizaciones a desarrollar resiliencia cibernética.

Leer más
6 Beneficios del Programa de Asociados de Negocios de Canal de Illumio
Asociados de negocios e integraciones

6 Beneficios del Programa de Asociados de Negocios de Canal de Illumio

John Ryan, vicepresidente de ventas de canal global de Illumio analiza los beneficios de canal de una inversión en Illumio ZTS.

Leer más
Simplifique y automatice la seguridad de las cargas de trabajo con Illumio y Palo Alto Networks
Asociados de negocios e integraciones

Simplifique y automatice la seguridad de las cargas de trabajo con Illumio y Palo Alto Networks

Los Firewalls de Próxima Generación y Panorama de Palo Alto Networks trabajan con Illumio Adaptive Security Platform para Palo Alto automatización de cargas de trabajo dinámicas.

Leer más
10 razones para elegir Illumio para la segmentación de confianza cero
Segmentación de confianza cero

10 razones para elegir Illumio para la segmentación de confianza cero

Descubra por qué las organizaciones están adoptando la Segmentación de Confianza Cero como pilar fundamental y estratégico de cualquier arquitectura Zero Trust.

Leer más
Por qué no hay confianza cero sin microsegmentación
Segmentación de confianza cero

Por qué no hay confianza cero sin microsegmentación

Obtenga información del creador de Zero Trust, John Kindervag, sobre por qué la microsegmentación es esencial para su proyecto Zero Trust.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información