Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Was macht den Agent von Illumio zuverlässiger als Inline-Agenten?

Ron Isaacson
Sr. Director, Unternehmensarchitektur
Illumio Editorial
7Dezember 2022
23 min. lesen

Geheim klingt nach einem guten Wort, wenn Sie Ihre Daten schützen möchten. Und egal, ob Sie eher Mission: Impossible oder Austin Powers bevorzugen, wer liebt nicht einen guten Geheimagentenfilm?

Wenn es um die Segmentierung geht, ist ein Geheimagent jedoch so ziemlich das Letzte, was Sie wollen.

Die Arbeit eines Cybersecurity-Agenten ist nie getan – sie ist unerlässlich

Wenn wir bei Illumio über Agenten sprechen, sprechen wir normalerweise nicht über Jason Bourne. Stattdessen sprechen wir über den Endpunkt-Agenten, das Arbeitspferd jeder Segmentierungsbereitstellung. Die Agent-Software von Illumio heißt Virtual Enforcement Node oder VEN und läuft auf jedem Workload, den wir schützen.

Sehen Sie sich diese Übersicht an, um mehr über den Illumio VEN zu erfahren:


Der Agent hat drei Hauptaufgaben:

  1. Es steht in ständiger Kommunikation mit der Policy Compute Engine (PCE), dem zentralen Gehirn von Illumio. Denken Sie an Maxwell Smart, der immer in sein Schuhtelefon spricht.
  2. Es überwacht, was auf der Workload passiert, einschließlich der Quelle und des Ziels jeder ein- oder ausgehenden Verbindung.
  3. Sie erzwingt die Sicherheitsrichtlinie, die Sie für Ihre Organisation definiert haben, indem sie die gewünschten Verbindungen zulässt und die Verbindungen blockiert, die Sie nicht möchten.

Die Durchsetzung ist entscheidend, wenn es darum geht, das Risiko von Datenschutzverletzungen zu verringern. Aber es ist auch der Ort, an dem ein Geheimagent in große Schwierigkeiten geraten kann.

Erfahren Sie hier mehr über den leichten, zuverlässigen VEN von Illumio.

Geheimagenten sitzen inline im Netzwerkverkehr

Ein Segmentierungs-Agent hat eine komplexe Aufgabe: Er muss die Sicherheitsrichtlinie verstehen, die für die Workload gilt, und er muss jede eingehende und ausgehende Verbindung auf die Einhaltung dieser Richtlinie überprüfen.

Eine Verbindung, die versehentlich blockiert wird, kann sich auf den Geschäftsbetrieb auswirken, aber das Zulassen einer riskanten Verbindung ist so, als würde man einem Angreifer die Tür öffnen. Der Agent muss jedes Mal die richtige Entscheidung treffen. Außerdem muss sie zu 100 Prozent zuverlässig sein und darf sich nicht auf die Leistung oder Verfügbarkeit Ihrer Anwendung auswirken.

Auf technischer Ebene gibt es zwei Hauptansätze, wenn es um die Durchsetzung geht:

  • Ein Agent kann in der Mitte jeder Verbindung sitzen und spontan Entscheidungen darüber treffen, was er zulässt oder blockiert.
  • Oder sie kann die Hilfe des Betriebssystems, ihres persönlichen Handlangers, in Anspruch nehmen, um die Drecksarbeit zu erledigen.

Ersteres nennen wir einen Inline-Agenten . Dieser Agent ist eine Software, die sich tief in den Kernel, den Kern des Betriebssystems, einklinkt. Jedes Paket von Netzwerkdatenverkehr, das in die Arbeitslast ein- oder ausgeht, wird vom Kernel an den Agenten übergeben. Der Agent muss dieses Paket untersuchen und entscheiden, ob es zugelassen werden soll, und es dann an den Kernel zurückgeben.

Agenten, die vollen Zugriff auf jedes Paket haben, können sehr leistungsfähig sein, da sie über viele Informationen verfügen, anhand derer sie beurteilen können, ob das Paket zugelassen werden sollte. Diese Mittel können jedoch auch sehr riskant sein. Sie müssen sich jedes Mal fragen: Wird Ihr Päckchen von James Bond geschützt, unterstützt von Qs meisterhaften Erfindungen? Oder wird es von Inspector Gadget vermasselt werden?

2 Gründe, warum Inline-Agenten unzuverlässig sein können

Leider ist an der Analogie für viele Unternehmen nichts Lustiges. Inline-Agenten haben keine sehr gute Erfolgsbilanz.

Das erste Problem ist in der Regel die Leistung: Inline-Agenten können nur einfache Regeln und rudimentäre Inspektionen anwenden, bevor sie sich spürbar auf die Arbeitslast auswirken. Zu den Auswirkungen eines überlasteten Agenten können eine hohe CPU-Last und ein verringerter Netzwerkdurchsatz gehören. Sicherheit auf Kosten einer schlechten Anwendungsleistung ist kein sehr guter Kompromiss.

Abgesehen von der Leistung gibt es jedoch oft Fragen zur Zuverlässigkeit. Was passiert, wenn Ihr Agent bei seiner Mission scheitert? Vielleicht fällt der Kommunikator am Handgelenk aus, oder der Agent erhält eine Eingabe, die er nicht erwartet hat. Oder vielleicht ist der Agent einfach nicht auf der Höhe der Aufgabe, wurde in einer einfacheren Umgebung trainiert und getestet und ist schlecht auf die Bedingungen in der realen Welt vorbereitet. Sollte der Agent beim Öffnen ausfallen und Sie einem unnötigen Risiko aussetzen, oder sollte er nicht geschlossen werden und Ihr Geschäft stören?

All diese Risiken sind Teil der Arbeit eines Geheimagenten, der im Schatten operiert und seine eigenen, unerprobten Methoden anwendet. Je mehr Kontakt der Agent mit jedem Paket hat, desto größer ist das Risiko, dass der Agent einen Ausfall oder eine Verschlechterung der Leistung verursacht.

Illumios gar nicht so geheimer Agent: Der Illumio VEN

Wenn es um Agenten geht, verfolgt Illumio einen anderen Ansatz. Wir unterteilen die Arbeit der Segmentierung in zwei Hauptteile:

  • Sprechen Sie über Ihre Sicherheitsrichtlinie. Lassen Sie uns über Ihre Risiken und die Arten von Vermögenswerten nachdenken, die Sie schützen müssen, und eine benutzerfreundliche Sicherheitsrichtlinie entwickeln, die Ihre Dienste und Daten schützt.
  • Setzen Sie Ihre Sicherheitsrichtlinie durch. Hier kommt der VEN ins Spiel, und im Idealfall ist er das transparenteste und am wenigsten interessante Teil des Puzzles.

Ihr Geschäft gibt Ihnen genug zum Nachdenken; Das Letzte, was Sie brauchen, ist ein Agent, der unnötiges Drama bringt.

Um ein Agentenerlebnis ohne Drama zu gewährleisten, verfolgt Illumio einen mehrschichtigen Ansatz für den VEN-Betrieb:

  • Der VEN ruft regelmäßig Aktualisierungen der Sicherheitsrichtlinien vom PCE ab. Wenn der PCE nicht erreichbar ist (für kurze Zeit oder längere Zeit), hat der VEN bereits alles, was er braucht, um Ihre Auslastung zu schützen. Es gibt keine Echtzeitabhängigkeit zwischen dem VEN und dem PCE.
  • Sobald das VEN seine Befehle vom PCE erhält, übergibt es die Durchsetzung an das Betriebssystem. Dieser "Enforcement-for-Hire"-Dienst wird von iptables unter Linux oder WFP unter Windows bereitgestellt (WFP ist die Windows Filtering Platform, der Low-Level-Enforcer, auf dem die Windows-Firewall aufbaut). Wenn es um komplexe verteilte Systeme geht, bringt die Durchsetzung auf Betriebssystemebene nicht viel Verstand mit, aber sie hat viel Muskeln.
  • Nachdem das Betriebssystem seine Anweisung vom VEN erhalten hat, führt es die Durchsetzung vollständig von selbst durch. In dem unwahrscheinlichen Fall, dass mit dem VEN etwas schief geht, kann das Betriebssystem seine neueste Richtlinie ohne zusätzliche Hilfe weiter durchsetzen. Wie jeder gute Manager kann auch der VEN bei Bedarf eine Pause einlegen und alles läuft reibungslos weiter.

Lesen Sie mehr darüber, wie der Illumio VEN entwickelt wurde, um seine leichte Leistung zu erhalten.

Vorteile von Illumio's VEN

Der Hauptvorteil dieses Ansatzes besteht darin, dass die vom Betriebssystem bereitgestellte Durchsetzung extrem stabil und leistungsstark ist. Unter Linux wurde iptables erstmals 1998 veröffentlicht. Die Entwicklung des WFP begann um 2007. Diese Dienste sind ausgereift, robust und werden auf Hunderten von Millionen von Servern weltweit eingesetzt. Die meisten potenziellen Probleme, die sich möglicherweise auf die Arbeitslast auswirken könnten, wurden vor langer Zeit gefunden und behoben.

Und im Gegensatz zu Inline-Agenten hat der VEN von Illumio den guten Ruf, leicht und zuverlässig zu sein. Unser VEN hat eine nachgewiesene Erfolgsbilanz beim Blockieren unerwünschter Verbindungen, ohne Ihr Unternehmen durch zusätzliche Latenzzeiten oder Serviceunterbrechungen zu beeinträchtigen.

Indem Sie sich auf Ihre Ziele zur Risikominderung konzentrieren und einen "Hands-off"-Ansatz für Ihre Pakete verfolgen, ermöglicht Ihnen Illumio, über die Sicherheit nachzudenken, ohne sich Gedanken darüber machen zu müssen, ob der Agent seine Arbeit effektiv erledigt.

Sind Sie bereit, mehr über die Illumio Zero Trust Segmentierungsplattform zu erfahren? Kontaktieren Sie uns noch heute für eine Beratung und Demo.

Verwandte Themen

Zero-Trust-Segmentierung

Verwandte Artikel

Wie ein vierköpfiges IT-Team die Zero-Trust-Segmentierung in 3 Wochen durchsetzte
Zero-Trust-Segmentierung

Wie ein vierköpfiges IT-Team die Zero-Trust-Segmentierung in 3 Wochen durchsetzte

Wie der Virtual Enforcement Node (VEN)-Agent und die erzwungene Zero-Trust-Segmentierung von Illumio eine vollständige Durchsetzung über eine gesamte Serverinfrastruktur hinweg ermöglichen.

Read more
Netzwerk- vs. Sicherheitssegmentierung
Zero-Trust-Segmentierung

Netzwerk- vs. Sicherheitssegmentierung

In dieser Folge des Tailgating Security Podcast diskutieren Alan Cohen und Matt Glenn über die großen Unterschiede zwischen Netzwerk- und Sicherheitssegmentierung.

Read more
4 Best Practices, mit denen NIBE die Mikrosegmentierung zum Erfolg geführt hat
Zero-Trust-Segmentierung

4 Best Practices, mit denen NIBE die Mikrosegmentierung zum Erfolg geführt hat

Erfahren Sie, wie der globale Hersteller NIBE mit Illumio in nur 6 Monaten erfolgreich 98 Prozent der Zero-Trust-Segmentierung implementiert hat.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more