Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Produtos Illumio

Combata o ransomware com mais rapidez: visibilidade centralizada para limites de fiscalização

Christer Swartz
,
Diretor de marketing de soluções
May 16, 2022
23 leitura mínima

Uma verdadeira arquitetura de segmentação Zero Trust empurra o limite de confiança diretamente para o indivíduo cargas de trabalho de aplicativos. É por isso que o modelo de segurança de lista de permissões da Illumio oferece a capacidade de permitir somente o tráfego que suas cargas de trabalho exigem, negando todo o resto por padrão.

O Illumio bloqueia ou permite decisões tomadas diretamente na carga de trabalho antes que um pacote chegue ao plano da rede ou precise acessar qualquer ferramenta de segurança em sua rede ou malha de nuvem. A fiscalização total com o Illumio significa que você pode segmentar com precisão o tráfego para dentro e para fora de suas cargas de trabalho em alta escala.
 
No entanto, em alguns casos, você nem sempre tem informações suficientes para saber qual tráfego deseja permitir que se comunique com suas cargas de trabalho, mas talvez saiba o que não quero permitir a comunicação.

Modelos de segmentação de lista negada versus lista de permissões

Essas situações exigem a opção de usar temporariamente um modelo de segmentação de lista de negação, que bloqueia determinadas portas entre cargas de trabalho e permite todo o resto por padrão.

É importante observar que essa deve ser apenas uma solução temporária. Você desejará usar ferramentas de análise para coletar o comportamento de tráfego de dependência de aplicativos necessário para definir um eventual modelo de política de lista de permissões. Em seguida, você pode mudar do modelo de segmentação da lista de negação para uma abordagem de lista de permissões e um modelo de segurança Zero Trust.
 
A flexibilidade se torna particularmente importante para proteção contra ransomware. A maioria dos ransomwares modernos usa portas abertas na rede de uma carga de trabalho para se mover lateralmente pelo ambiente. Veja, por exemplo, o Remote Desktop Protocol (RDP) e o Server Message Block (SMB). Essas portas são projetadas para que cargas de trabalho acessem um pequeno conjunto de recursos centrais, como aqueles gerenciados por equipes de TI, e raramente são pretendido para ser usado entre cargas de trabalho. No entanto, o ransomware geralmente os usa como “portas abertas” fáceis de propagar em todas as cargas de trabalho.
 
Para resolver esse problema rapidamente, você deve ter a capacidade de bloquear portas RDP e SMB entre todas as cargas de trabalho em alta escala. Em seguida, crie um pequeno número de exceções que permitam que as cargas de trabalho acessem recursos centrais específicos. É assim Limites de fiscalização trabalho no Illumio Core.

Definindo limites de fiscalização

Os limites de imposição são um conjunto de regras de negação aplicadas a cargas de trabalho que foram colocadas no modo “Aplicação seletiva”. Ao contrário do modo “Full Enforcement”, que segmenta e impõe o tráfego de carga de trabalho sob uma política de lista de permissões, o “Execução seletiva” bloqueia somente as portas selecionadas e o tráfego que você especificar.

O Illumio exibe regras de segmentação em três fluxos de trabalho diferentes:

  • No menu Conjuntos de regras e regras, onde as regras são criadas
  • No Explorer, onde você pode consultar o histórico de tráfego e eventos e analisar e visualizar todas as portas em todos os fluxos em um formato de tabela ou coordenada
  • No Illumination, o mapa em tempo real a partir do qual você pode ver as dependências e a conectividade dos aplicativos em todos os ambientes

Os limites de aplicação estavam visíveis na seção “Conjuntos de regras e regras” em seu lançamento inicial e podiam ser aplicados a todas as cargas de trabalho no modo “Aplicação seletiva”. Você também pode ver os limites de fiscalização na Explorador ferramenta — possibilitando ver o comportamento da porta e se os fluxos são afetados por uma regra de limite de aplicação.

E com a versão mais recente do Illumio Core, o Iluminação O mapa exibe limites de imposição em todos os fluxos em todas as dependências do aplicativo. A centralização dos limites de fiscalização no Illumination permite que você correlacione eventos de forma eficiente durante uma violação de segurança.

Visualizando limites de fiscalização e tráfego de fluxo de trabalho

Você pode visualizar os limites de fiscalização no Illumination por meio dos menus exibidos ao selecionar uma carga de trabalho ou um fluxo de tráfego.

policy-enforcement-boundaries

No menu, você verá o conhecido ícone de “parede de tijolos” indicando a presença de um limite de fiscalização próximo ao tráfego que será afetado por ele. Esse é o mesmo método usado para visualizar os limites de imposição no Explorer, permitindo uma representação visual e uma experiência consistentes.
 
Essa visualização exibe todo o tráfego entre cargas de trabalho selecionadas, seja no modo “Aplicação seletiva” ou no modo “Execução mista”, e quais fluxos de tráfego serão afetados por um limite de fiscalização.

Você também pode ver o tipo de tráfego entre fluxos de trabalho ao lado de cada fluxo como tráfego unicast, broadcast ou multicast. Os tipos de tráfego são indicados pelos novos “B” e “M” ao lado de cada fluxo (o tráfego sem letra ao lado é unicast).

enforcement-boundaries-traffic

Centralizando os fluxos de trabalho do Enforcement Boundary na iluminação

Além de exibir limites de fiscalização junto com cargas de trabalho e fluxos de tráfego no Illumination, você pode selecionar e modificar limites de fiscalização específicos diretamente no Illumination. Ao selecionar a decisão de tráfego e política para uma carga de trabalho, você pode exibir ou editar esse limite de fiscalização.

view-enforcement-boundaries

Isso elimina a necessidade de alternar entre visualizar o tráfego no Illumination e acessar limites de fiscalização específicos em diferentes fluxos de trabalho. Você pode visualizar os dois tipos de políticas de segmentação — listas de permissão e listas de negação — como parte das dependências do aplicativo no Illumination.

Limites de fiscalização: a diferença da Illumio

Ao contrário de muitas outras plataformas de segurança, a Enforcement Boundaries expande os recursos da Illumio para oferecer modelos de políticas de segmentação de listas de permissões e listas de negação. Isso permite que você adote uma abordagem granular para qualquer arquitetura de segurança e implemente uma solução rápida para o ransomware. E você pode fazer isso com segurança, com a capacidade de analisar o efeito das regras do Enforcement Boundary em padrões de tráfego específicos em Explorador e dentro das dependências do aplicativo exibidas em Iluminação. Agora você pode se proteger contra o que deseja permitir e o que não quer permitir e ver os efeitos em todos os três fluxos de trabalho principais.
 
Os limites de fiscalização também resolvem um problema antigo com firewalls: ordenação de regras. Os firewalls tradicionais leem as regras de cima para baixo com uma “negação” implícita no final. Colocar uma nova regra em um conjunto de regras de firewall existente não é para os fracos de coração, pois colocar uma ou mais novas instruções de regra no lugar errado, antes ou depois de alguma outra regra existente, corre o risco de quebrar dependências.
Esse desafio exige um processo de controle de mudanças cuidadosamente definido durante uma janela planejada de controle de mudanças. E se uma dependência for interrompida repentinamente durante a alteração, você deverá reverter e tentar novamente mais tarde.

Para evitar esse problema, a Illumio oferece um modelo declarativo em que o administrador define o estado final de qualquer nova regra de segmentação ou limite de execução e a Illumio implementa cuidadosamente a ordem correta das regras. Isso significa que o administrador define o “o quê” e a Illumio implementa o “como”.

Como o elo mais fraco em qualquer arquitetura de segurança é a digitação humana em um teclado, o Illumio elimina o risco de erros de configuração, que continua sendo a fonte mais comum de segurança fraca em qualquer nuvem ou rede corporativa. Você pode definir e visualizar claramente os limites de fiscalização — e garantir que você possa implementar com segurança e eficiência. segmentação da carga de trabalho em grande escala.

Para saber mais sobre a Illumio, líder em segmentação Zero Trust:

Tópicos relacionados

Microsegmentação

Artigos relacionados

A Illumio simplifica a segmentação Zero Trust com licenciamento flexível
Produtos Illumio

A Illumio simplifica a segmentação Zero Trust com licenciamento flexível

As novas opções de licenciamento da plataforma Illumio ZTS significam que sua organização está ainda melhor posicionada para atender às necessidades de segurança dos ambientes atuais de nuvem, endpoint e data center em constante mudança.

Leia mais
Monitoramento e controle de tráfego na nuvem aprimorados
Produtos Illumio

Monitoramento e controle de tráfego na nuvem aprimorados

Com o Illumio Core, a Illumio é reconhecida como líder na segmentação Zero Trust para data centers e sistemas locais.

Leia mais
Seus endpoints estão falando pelas suas costas
Produtos Illumio

Seus endpoints estão falando pelas suas costas

Saiba por que as ferramentas de segurança de terminais nem sempre protegem contra movimentos laterais e como o Illumio Endpoint pode ajudar a preencher essa lacuna.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais