Por último, una nueva forma de proteger los servidores Windows

Los sistemas operativos Windows son algunos de los más instalados en el mundo, por lo que es comprensible que sean un objetivo atractivo para los hackers. Aparte del antivirus tradicional y la protección contra malware, ¿qué más se puede hacer para asegurar estas computadoras y las redes en las que viven?

‍

Agregar hardware de seguridad a su red puede ayudar a reprimir, alertar o frustrar un ataque por completo. Basado en VLAN y firewall segmentación de red son algunas de las estrategias de seguridad de red más efectivas hasta la fecha, pero tienen algunos inconvenientes importantes, incluido el mantenimiento y su incapacidad para escalar rápidamente.

Incluso los expertos en seguridad más experimentados han optado por no eliminar una regla de firewall por preocupación por su efecto no deseado.

Mantenerse al día con la cantidad de VLAN y reglas de firewall necesarias para segmentar adecuadamente una red puede abrumar los recursos de un equipo de seguridad. Este enfoque también puede desmoronarse con el tiempo, ya que depende de la intervención humana para mantener las políticas sincronizadas con los cambios. Incluso los expertos en seguridad más experimentados han optado por no eliminar una regla de firewall por preocupación por su efecto no deseado.

A medida que aumentan las reglas de firewall, se vuelven mucho más difíciles de administrar, llegando eventualmente a números ridículamente altos. Personalmente he visto grandes empresas con millones de reglas de firewall, algunas de ellas de más de una década.

El problema con las reglas basadas en puertos

Los sistemas operativos Windows presentan un problema único cuando se trata de asegurar con firewalls tradicionales. Esos firewalls utilizan reglas basadas en puertos, por lo que un puerto de una dirección IP específica puede comunicarse con otro puerto en una dirección IP diferente.

Esta estrategia se presta a UNIX y Linux, que normalmente tienen un único proceso que se ejecuta en un único puerto o rangos de puertos. Pero en los sistemas operativos Microsoft, es común tener un grupo de procesos usando un solo puerto, o grupo de puertos, que pueden ser asignados dinámicamente. Por lo tanto, es posible que no sepa qué puerto quieren usar antes de tiempo. Entonces, ¿cómo saber si debe permitir un puerto si no conoce el proceso que lo usa o qué puerto usará?

Las empresas están tratando los síntomas del problema, pero no el problema central: la seguridad actual es estática y simplemente no puede mantenerse al día con la tasa de cambio.

Los puertos dinámicos se asignan al azar a partir de un conjunto de “puertos altos” comúnmente acordados. Como puede imaginar, no saber qué puerto se utilizará provoca que se abra una amplia franja de rangos de puertos en los firewalls de segmentación para que las máquinas Windows puedan comunicarse entre sí. Por el contrario, puede restringir estos rangos de puertos, pero luego tendría que cambiar las claves del registro y reiniciar todos sus hosts de Windows.

Esto nos deja en la posición no ideal de tratar de administrar una cantidad inmanejable de reglas de firewall o restringir los rangos de puertos nativos de nuestro host.

Mantenerse al día con la tasa de cambio

Las empresas están tratando de ayudar mediante la creación de software para administrar las reglas de firewall, agregar conocimiento de las aplicaciones a sus firewalls y, en general, ayudar con un aspecto u otro de una situación frustrante. Pero todos tratan los síntomas del problema, y no el tema central: la seguridad de hoy es estática y simplemente no puede mantenerse al día con la tasa de cambio.

Ahora es posible lograr una segmentación granular de aplicaciones, incluso en migraciones a la nube.

Ingrese el Plataforma de Seguridad Adaptable (ASP) Illumio, un enfoque completamente nuevo para proteger sus cargas de trabajo de Windows (y Linux) con un modelo de seguridad dinámico y adaptable. Illumio ASP utiliza los servicios nativos de aplicación de seguridad proporcionados por los sistemas operativos, la Plataforma de Filtrado de Windows e iptables. Luego agrega un sistema de etiquetado intuitivo que elimina la necesidad de direcciones IP y puertos para escribir reglas.

De esta manera, a medida que los hosts nuevos o modificados se registran, Illumio ASP lee sus etiquetas asignadas y configura su perfil de seguridad automáticamente. Lo mismo se aplica si un host mueve direcciones IP: El cambio se ve y todas las políticas apropiadas se vuelven a calcular en segundos.

Definir su entorno mediante etiquetas significa que puede agrupar una seguridad de aplicaciones. Cuando activa o desactiva componentes de su aplicación, sigue la seguridad, sin necesidad de modificar las reglas de firewall ni administrar las VLAN.

¿Qué significa esto? Ahora podemos lograr una segmentación granular de aplicaciones, incluso en migraciones a la nube.

El Policy Compute Engine, o PCE, es el “cerebro” de la operación.

Con la adición de la aplicación basada en procesos en entornos Windows, Illumio finalmente eliminará la cuestión de cómo lidiar con los puertos altos dinámicos. Usted define el proceso aprobado, e Illumio le permite hablar en cualquier puerto que desee, de forma segura.

¿Qué hace que esto suceda? El Policy Compute Engine, o PCE, es el “cerebro” de la operación. Usando un agente ligero llamado Nodo de aplicación virtual (VEN), el PCE reconoce instantáneamente cuando se ha producido un cambio y corrige los sistemas afectados en cuestión de segundos. Este motor dinámico de políticas no solo le permite escribir rápidamente políticas de seguridad en lenguaje natural, sino que también muestra un mapa interactivo y en vivo de la estructura de su aplicación llamado Iluminación. Una herramienta muy efectiva para comunicar posturas de seguridad complejas a casi cualquier persona.

Asegurar los servidores Windows se puso realmente interesante.