Schnellere Bekämpfung von Ransomware: Zentralisierte Transparenz für Durchsetzungsgrenzen

Eine echte Zero-Trust-Segmentierungsarchitektur verschiebt die Vertrauensgrenze direkt auf die einzelnen Anwendungs-Workloads. Aus diesem Grund gibt Ihnen das Sicherheitsmodell von Illumio die Möglichkeit, nur den Datenverkehr zuzulassen, den Ihre Workloads benötigen – und alles andere standardmäßig abzulehnen.

Illumio blockiert oder lässt Entscheidungen zu, die direkt am Workload getroffen werden, bevor ein Paket die Netzwerkebene erreicht oder ein Sicherheitstool in Ihrem Netzwerk oder Ihrer Cloud-Fabric erreichen muss. Die vollständige Durchsetzung mit Illumio bedeutet, dass Sie den Datenverkehr in und aus Ihren Workloads in großem Umfang genau segmentieren können.  
 
In einigen Fällen verfügen Sie jedoch möglicherweise nicht immer über genügend Informationen, um zu wissen, welchen Datenverkehr Sie für die Kommunikation mit Ihren Workloads zulassen möchten – aber Sie wissen möglicherweise, was Sie nicht zulassen möchten.

Deny-List- vs. Allow-List-Segmentierungsmodelle

In solchen Situationen ist die Option erforderlich, vorübergehend ein Segmentierungsmodell mit Verweigerungslisten zu verwenden, das bestimmte Ports zwischen Workloads blockiert und alle anderen standardmäßig zulässt.

Es ist wichtig zu beachten, dass dies nur eine vorübergehende Lösung sein sollte. Sie sollten Analysetools verwenden, um das erforderliche Verhalten des Datenverkehrs von Anwendungsabhängigkeiten zu erfassen, das zum Definieren eines eventuellen Richtlinienmodells für die Zulassungsliste erforderlich ist. Anschließend können Sie vom Segmentierungsmodell der Verweigerungsliste zu einem Zulassungslistenansatz und einem Zero-Trust-Sicherheitsmodell wechseln.  
 
Die Flexibilität wird besonders wichtig für den Schutz vor Ransomware. Die meisten modernen Ransomware nutzt offene Ports im Netzwerk eines Workloads, um sich lateral über die Umgebung zu bewegen. Nehmen wir zum Beispiel Remote Desktop Protocol (RDP) und Server Message Block (SMB). Diese Ports sind für Workloads konzipiert, die auf eine kleine Gruppe zentraler Ressourcen zugreifen können, z. B. solche, die von IT-Teams verwaltet werden, und sind selten für die Verwendung zwischen Workloads vorgesehen . Ransomware nutzt sie jedoch in der Regel als einfache "offene Türen", um sich über alle Workloads hinweg zu verbreiten.
 
Um dieses Problem schnell zu lösen, sollten Sie in der Lage sein, RDP- und SMB-Ports zwischen allen Workloads in großem Umfang zu blockieren. Erstellen Sie dann eine kleine Anzahl von Ausnahmen, die Workloads den Zugriff auf bestimmte zentrale Ressourcen ermöglichen. So funktionieren Enforcement Boundaries in Illumio Core.

Definieren von Erzwingungsgrenzen

Erzwingungsgrenzen sind eine Reihe von Verweigerungsregeln, die auf Workloads angewendet werden, die in den Modus "Selektive Erzwingung" versetzt wurden. Im Gegensatz zum Modus "Vollständige Durchsetzung", bei dem der Workload-Datenverkehr gemäß einer Zulassungslistenrichtlinie segmentiert und erzwungen wird, blockiert die "Selektive Durchsetzung" nur ausgewählte Ports und den von Ihnen angegebenen Datenverkehr.

Illumio zeigt Segmentierungsregeln in drei verschiedenen Workflows an:

• Im Menü Regelsätze und Regeln, in dem Regeln erstellt werden
• Im Explorer, wo Sie historischen Datenverkehr und Ereignisse abfragen und alle Ports in allen Datenflüssen in einem Tabellen- oder Koordinatenformat analysieren und visualisieren können
• In Illumination, der Echtzeitkarte, aus der Sie Anwendungsabhängigkeiten und Konnektivität in allen Umgebungen sehen können

Erzwingungsgrenzen waren bei der ersten Veröffentlichung im Abschnitt "Regelsätze und Regeln" sichtbar und konnten im Modus "Selektive Durchsetzung" auf alle Workloads angewendet werden. Sie können Erzwingungsgrenzen auch im Explorer-Tool anzeigen, sodass Sie das Portverhalten und die Auswirkungen einer Erzwingungsgrenzregel auf Datenflüsse anzeigen können.

Und mit der neuesten Version von Illumio Core zeigt die Illumination-Karte die Durchsetzungsgrenzen in allen Flüssen über alle Anwendungsabhängigkeiten hinweg an. Durch die Zentralisierung von Erzwingungsgrenzen in Illumination können Sie Ereignisse während einer Sicherheitsverletzung effizient korrelieren.  

Visualisieren von Erzwingungsgrenzen und Workflow-Datenverkehr

Sie können Erzwingungsgrenzen in Illumination über die Menüs visualisieren, die angezeigt werden, wenn Sie eine Arbeitslast oder einen Datenverkehrsfluss auswählen.

Im Menü sehen Sie das bekannte "Ziegelwand"-Symbol, das das Vorhandensein einer Durchsetzungsgrenze neben dem Datenverkehr anzeigt, der davon betroffen sein wird. Dies ist die gleiche Methode, die zum Visualisieren von Erzwingungsgrenzen im Explorer verwendet wird, um eine konsistente visuelle Darstellung und Erfahrung zu ermöglichen.  
 
In dieser Ansicht wird der gesamte Datenverkehr zwischen ausgewählten Workloads angezeigt, unabhängig davon, ob er sich im Modus "Selektive Erzwingung" oder im Modus "Gemischte Durchsetzung" befindet, und welche Datenverkehrsflüsse von einer Erzwingungsgrenze betroffen sind.  

Sie können auch die Art des Datenverkehrs zwischen Workflows neben jedem Fluss als Unicast-, Broadcast- oder Multicast-Datenverkehr anzeigen. Datenverkehrsarten werden durch die neuen Buchstaben "B" und "M" neben jedem Datenfluss gekennzeichnet (Datenverkehr ohne Buchstaben daneben ist Unicast).

Zentralisieren von Arbeitsabläufen für Erzwingungsgrenzen in Illumination

Zusätzlich zur Anzeige von Erzwingungsgrenzen neben Arbeitslasten und Datenverkehrsflüssen in Illumination können Sie bestimmte Erzwingungsgrenzen direkt in Illumination auswählen und ändern. Wenn Sie die Datenverkehrs- und Richtlinienentscheidung für eine Workload auswählen, können Sie diese Erzwingungsgrenze anzeigen oder bearbeiten.

Dadurch entfällt die Notwendigkeit, zwischen der Visualisierung des Datenverkehrs in Illumination und dem Zugriff auf bestimmte Durchsetzungsgrenzen in verschiedenen Workflows hin und her zu springen. Sie können beide Arten von Segmentierungsrichtlinien – Zulassungslisten und Verweigerungslisten – als Teil der Anwendungsabhängigkeiten in Illumination visualisieren.  

Enforcement Boundaries: Der Illumio-Unterschied

Im Gegensatz zu vielen anderen Sicherheitsplattformen erweitern Enforcement Boundaries die Fähigkeiten von Illumio, um sowohl Zulassungs- als auch Verweigerungslisten-Segmentierungsrichtlinienmodelle anzubieten. Auf diese Weise können Sie einen granularen Ansatz für beide Sicherheitsarchitekturen verfolgen und eine schnelle Lösung für Ransomware implementieren. Und Sie können dies auf sichere Weise tun, da Sie die Auswirkungen von Erzwingungsgrenzenregeln auf bestimmte Datenverkehrsmuster im Explorer und innerhalb von Anwendungsabhängigkeiten, die in Illumination angezeigt werden, analysieren können. Sie können sich jetzt davor schützen, was Sie zulassen möchten und was nicht – und die Auswirkungen in allen drei Hauptworkflows sehen.
 
Durchsetzungsgrenzen lösen auch ein seit langem bestehendes Problem mit Firewalls: die Reihenfolge der Regeln. Herkömmliche Firewalls lesen Regeln von oben nach unten mit einem impliziten "deny" am Ende. Das Platzieren einer neuen Regel in einem vorhandenen Firewall-Regelsatz ist nichts für schwache Nerven, da das Platzieren einer oder mehrerer neuer Regelanweisungen an der falschen Stelle, vor oder nach einer anderen vorhandenen Regel, das Risiko birgt, Abhängigkeiten zu unterbrechen.
Diese Herausforderung erfordert einen sorgfältig definierten Change-Control-Prozess während eines geplanten Change-Control-Fensters. Und wenn eine Abhängigkeit während der Änderung plötzlich unterbrochen wird, müssen Sie ein Rollback durchführen und es später erneut versuchen.

Um dieses Problem zu vermeiden, bietet Illumio ein deklaratives Modell, bei dem der Administrator den Endstatus aller neuen Segmentierungsregeln oder Durchsetzungsgrenzen definiert und Illumio die richtige Regelreihenfolge sorgfältig implementiert. Das bedeutet, dass der Administrator das "Was" definiert und Illumio das "Wie" umsetzt.

Da das schwächste Glied in jeder Sicherheitsarchitektur ein Mensch ist, der auf einer Tastatur tippt, beseitigt Illumio das Risiko von Konfigurationsfehlern, die nach wie vor die häufigste Ursache für schwache Sicherheit in jeder Cloud oder jedem Unternehmensnetzwerk sind. Sie können Durchsetzungsgrenzen klar definieren und visualisieren – und garantieren, dass Sie die Workload-Segmentierung sicher und effizient in großem Umfang implementieren können.

Um mehr über Illumio, den führenden Anbieter von Zero-Trust-Segmentierung, zu erfahren:

• Laden Sie die Forrester Wave-Berichte herunter, in denen Illumio sowohl in den Bereichen Zero Trust als auch Mikrosegmentierung als führend eingestuft wird.
• Lesen Sie, wie Illumio einer globalen Anwaltskanzlei geholfen hat, einen Ransomware-Angriff zu stoppen.
• Kontaktieren Sie uns noch heute , um eine Beratung und Demonstration zu vereinbaren.