Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
PRODUCTOS ILLUMIO

Combata el ransomware más rápido: visibilidad centralizada para los límites de aplicación

Christer Swartz
Director de Marketing de Soluciones
Illumio Editorial
16de mayo de 2022
23 min. leer

Una verdadera arquitectura de segmentación de confianza cero empuja el límite de confianza directamente a las cargas de trabajo de aplicaciones individuales. Es por eso que el modelo de seguridad de lista de permitidos de Illumio le brinda la capacidad de permitir solo el tráfico que requieren sus cargas de trabajo, negando todo lo demás de forma predeterminada.

Illumio bloquea o permite que las decisiones se tomen directamente en la carga de trabajo antes de que un paquete llegue al plano de red o necesite llegar a cualquier herramienta de seguridad en su red o estructura en la nube. La aplicación completa con Illumio significa que puede segmentar con precisión el tráfico dentro y fuera de sus cargas de trabajo a gran escala.  
 
Sin embargo, en algunos casos, es posible que no siempre tenga suficiente información para saber qué tráfico desea permitir que se comunique con las cargas de trabajo, pero es posible que sepa lo que no desea permitir que se comunique.

Modelos de segmentación de lista de denegación frente a lista de permitidos

Estas situaciones requieren la opción de usar temporalmente un modelo de segmentación de lista de denegación, que bloquea ciertos puertos entre cargas de trabajo y permite todo lo demás de forma predeterminada.

Es importante tener en cuenta que esto debería ser solo una solución temporal. Querrá usar herramientas de análisis para recopilar el comportamiento de tráfico de dependencia de aplicaciones necesario para definir un modelo de directiva de lista de permitidos final. A continuación, puede cambiar del modelo de segmentación de lista de denegación a un enfoque de lista de permitidos y un modelo de seguridad confiable cero.  
 
La flexibilidad se vuelve particularmente importante para la protección contra ransomware. La mayoría de los ransomware modernos emplean puertos abiertos en la red de una carga de trabajo para mover lateralmente por el entorno. Tomemos, por ejemplo, el Protocolo de escritorio remoto (RDP) y el Bloque de mensajes del servidor (SMB). Estos puertos están diseñados para que las cargas de trabajo accedan a un pequeño conjunto de recursos centrales, como los gestionados por los equipos de TI, y rara vez están diseñados para usar entre cargas de trabajo. Sin embargo, el ransomware suele emplearlos como "puertas abiertas" fáciles de propagar a través de todas las cargas de trabajo.
 
Para resolver rápidamente este problema, debe tener la capacidad de bloquear puertos RDP y SMB entre todas las cargas de trabajo a gran escala. A continuación, cree un pequeño número de excepciones que permitan a las cargas de trabajo acceder a recursos centrales específicos. Así es como funcionan los límites de aplicación en Illumio Core.

Definición de límites de aplicación

Los límites de cumplimiento son un conjunto de reglas de denegación que se aplican a las cargas de trabajo que se colocaron en modo de "aplicación selectiva". A diferencia del modo "Aplicación completa", que segmenta y aplica el tráfico de carga de trabajo bajo una directiva de lista de permitidos, "Aplicación selectiva" bloquea solo los puertos y el tráfico seleccionados que especifique.

Illumio muestra reglas de segmentación en tres flujos de trabajo diferentes:

  • En el menú Conjuntos de reglas y reglas donde se crean las reglas
  • En el Explorador, donde puede consultar el tráfico y los eventos históricos, y analizar y visualizar todos los puertos de todos los flujos en un formato de tabla o coordenadas
  • En Illumination, el mapa en tiempo real desde el que puede ver las dependencias y la conectividad de las aplicaciones en todos los entornos

Los límites de aplicación estaban visibles en la sección "Conjuntos de reglas y reglas" en su versión inicial y se podían aplicar a todas las cargas de trabajo en modo "Aplicación selectiva". También puede ver los límites de cumplimiento en la herramienta Explorador , lo que permite ver el comportamiento de los puertos y si los flujos se ven afectados por una regla de límite de cumplimiento.

Y con la última versión de Illumio Core, el mapa de iluminación muestra los límites de aplicación en todos los flujos en todas las dependencias de la aplicación. La centralización de los límites de aplicación en Illumination le permite correlacionar de manera eficiente los eventos durante una violación de seguridad.  

Visualización de los límites de aplicación y el tráfico del flujo de trabajo

Puede visualizar los límites de aplicación en Illumination a través de los menús que se muestran al seleccionar una carga de trabajo o un flujo de tráfico.

policy-enforcement-boundaries

En el menú, verá el conocido icono de "pared de ladrillos" que indica la presencia de un límite de cumplimiento junto al tráfico que se verá afectado por él. Este es el mismo método empleado para visualizar los límites de cumplimiento en el Explorador, lo que permite una representación visual y una experiencia coherentes.  
 
Esta vista muestra todo el tráfico entre las cargas de trabajo seleccionadas, ya sea en modo "Aplicación selectiva" o en modo "Aplicación mixta", y qué flujos de tráfico se verán afectados por un límite de aplicación.  

También puede ver el tipo de tráfico entre flujos de trabajo junto a cada flujo como tráfico de unidifusión, difusión o multidifusión. Los tipos de tráfico se indican con la nueva "B" y "M" junto a cada flujo (el tráfico sin letra al lado es unicast).

enforcement-boundaries-traffic

Centralización de los flujos de trabajo de cumplimiento de límites en Illumination

Además de mostrar los límites de cumplimiento junto con las cargas de trabajo y los flujos de tráfico en Illumination, puede seleccionar y modificar límites de cumplimiento específicos directamente desde Illumination. Al seleccionar la decisión de tráfico y directiva para una carga de trabajo, puede mostrar o editar ese límite de cumplimiento.

view-enforcement-boundaries

Esto elimina la necesidad de saltar de un lado a otro entre la visualización del tráfico en Illumination y el acceso a límites de cumplimiento específicos en diferentes flujos de trabajo. Puede visualizar ambos tipos de políticas de segmentación (listas de permitidos y listas de denegación) como parte de las dependencias de la aplicación en Illumination.  

Límites de aplicación: la diferencia de Illumio

A diferencia de muchas otras plataformas de seguridad, Enforcement Boundaries amplía las capacidades de Illumio para ofrecer modelos de política de segmentación de listas de permitidos y de listas de denegados. Esto le permite adoptar un enfoque granular para cualquiera de las arquitecturas de seguridad e implementar una solución rápida para el ransomware. Y puede hacerlo de forma segura, con la capacidad de analizar el efecto de las reglas de límites de aplicación en patrones de tráfico específicos en Explorer y dentro de las dependencias de la aplicación que se muestran en Illumination. Ahora puede proteger contra lo que desea permitir y lo que no desea permitir, y ver los efectos en los tres flujos de trabajo principales.
 
Los límites de aplicación también resuelven un problema de larga data con los firewalls: el orden de reglas. Los firewalls tradicionales leen las reglas de arriba a abajo con un "deny" implícito al final. Colocar una nueva regla en un conjunto de reglas de firewall existente no es para los débiles de corazón, ya que colocar una o más instrucciones de regla nuevas en el lugar incorrecto, antes o luego de alguna otra regla existente, corre el riesgo de romper las dependencias.
Este desafío requiere un proceso de control de cambios cuidadosamente definido durante una ventana de control de cambios planeada. Y si una dependencia se rompe repentinamente durante el cambio, debe revertir y volver a intentarlo más tarde.

Para evitar este problema, Illumio ofrece un modelo declarativo en el que el administrador define el estado final de cualquier nueva regla de segmentación o límite de aplicación e Illumio implementa cuidadosamente el orden correcto de las reglas. Esto significa que el administrador define el "qué" e Illumio implementa el "cómo".

Dado que el eslabón más débil en cualquier arquitectura de seguridad es un humano que escribe en un teclado, Illumio elimina el riesgo de errores de configuración, que sigue siendo la fuente más común de seguridad débil en cualquier red empresarial o en la nube. Puede definir y visualizar claramente los límites de aplicación y garantizar que puede implementar de manera segura y eficiente la segmentación de cargas de trabajo a escala.

Para obtener más información sobre Illumio, el líder en segmentación de confianza cero:

Temas relacionados

microsegmentación

Artículos relacionados

Características poco conocidas de Illumio ASP - Exportación de registros a buckets de Amazon S3
PRODUCTOS ILLUMIO

Características poco conocidas de Illumio ASP - Exportación de registros a buckets de Amazon S3

Una descripción general de cómo realizar una exportación de registros a buckets de Amazon S3, así como los datos capturados por los registros de buckets de S3.

Read more
Respuesta y contención de brechas en la nube con Illumio CloudSecure
PRODUCTOS ILLUMIO

Respuesta y contención de brechas en la nube con Illumio CloudSecure

Descubra por qué la respuesta a la violación de la nube es importante ahora y cómo usar Illumio CloudSecure para contener el próximo ataque inevitable a la nube.

Read more
Illumio nombrado proveedor emergente de CRN UK
PRODUCTOS ILLUMIO

Illumio nombrado proveedor emergente de CRN UK

Nombrado Proveedor Emergente de los CRN UK Channel Awards, el valor de la solución Zero Trust de Illumio es elogiado por su capacidad para proteger a las fuerzas de trabajo remotas.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more