Lo que hace que el agente de Illumio sea más confiable que los agentes en línea

Secreto suena como una buena palabra para usar cuando desea proteger sus datos. Y ya sea que tus gustos sean más Misión: Imposible o Austin Powers, ¿a quién no le encanta una buena película de agentes secretos?

Sin embargo, cuando se trata de segmentación, un agente secreto es casi lo último que desea.

El trabajo de un agente de ciberseguridad nunca termina, es esencial

Cuando hablamos de agentes en Illumio, generalmente no estamos hablando de Jason Bourne. En cambio, estamos hablando del agente de punto final, el caballo de batalla de cualquier implementación de segmentación. El software de agente de Illumio se llama Virtual Enforcement Node o VEN y se ejecuta en todas las cargas de trabajo que protegemos.

Vea esta descripción general para obtener más información sobre el VEN de Illumio:

El agente tiene tres trabajos principales:

1. Mantiene una comunicación constante con Policy Compute Engine (PCE), el cerebro central de Illumio. Piense en Maxwell Smart, siempre hablando por el teléfono de su zapato.
2. Monitorear lo que sucede en la carga de trabajo, incluido el origen y el destino de cada conexión que entra o sale.
3. Aplica la política de seguridad que definió para su organización, permitiendo las conexiones que desea y bloqueando las que no.

La parte de aplicación es fundamental cuando se trata de reducir el riesgo de violaciones de datos. Pero también es donde un agente secreto puede meter en muchos problemas.

Obtenga los detalles sobre el VEN liviano y confiable de Illumio aquí.

Los agentes secretos se sientan en línea con el tráfico de la red

Un agente de segmentación tiene un trabajo complejo: necesita comprender la política de seguridad que se aplica a la carga de trabajo y debe comprobar que cada conexión entrante y saliente cumple con esa política.

Una conexión que se bloquea por error puede afectar las operaciones comerciales, pero permitir una conexión riesgosa es como abrir la puerta a un atacante. El agente debe tomar la decisión correcta en todo momento. También debe ser 100% confiable y no puede afectar el rendimiento o la disponibilidad de su aplicación.

A nivel técnico, hay dos enfoques principales en lo que respecta a la aplicación:

• Un agente puede sentar en medio de cada conexión y tomar decisiones sobre la marcha sobre qué permitir o bloquear.
• O puede contar con la ayuda del sistema operativo, su secuaz personal, para hacer el trabajo sucio.

Llamamos al primero un agente en línea . Este agente es una pieza de software que se engancha profundamente en el kernel, el núcleo del sistema operativo. Cada paquete de tráfico de red que entra o sale de la carga de trabajo se transfiere desde el kernel al agente. El agente tiene que inspeccionar ese paquete y decidir si debe permitir, luego pasarlo de vuelta al kernel.

Los agentes que tienen acceso completo a cada paquete pueden ser muy poderosos porque tienen mucha información que pueden usar para evaluar si se debe permitir el paquete. Sin embargo, estos agentes también pueden ser muy riesgosos. Tienes que preguntarte cada vez: ¿Tu paquete estará protegido por James Bond, respaldado por los inventos magistrales de Q? ¿O será torpe por el Inspector Gadget?

2 razones por las que los agentes en línea pueden ser poco confiables

Desafortunadamente para muchas organizaciones, no hay nada gracioso en la analogía. Los agentes en línea no tienen un muy buen historial.

La primera preocupación suele ser el rendimiento: los agentes en línea solo pueden aplicar reglas simples e inspecciones rudimentarias antes de que comiencen a afectar notablemente la carga de trabajo. Los efectos de un agente sobrecargado de trabajo pueden incluir una alta carga de CPU y un rendimiento de red reducido. La seguridad a expensas de un rendimiento deficiente de las aplicaciones no es una muy buena compensación.

Sin embargo, más allá del rendimiento, a menudo hay dudas sobre la confiabilidad. ¿Qué sucede cuando su agente falla en su misión? Tal vez el comunicador de muñeca se caiga o el agente obtenga una entrada que no esperaba. O tal vez el agente simplemente no está a la altura de la tarea, capacitado y probado en un entorno más simple y mal preparado para las condiciones del mundo real. ¿Debería fallar el agente al abrir, exponiéndolo a un riesgo innecesario, o debería fallar al cerrar e interrumpir su negocio?

Todos estos riesgos son inherentes al trabajo de un agente secreto, que opera en las sombras y emplea sus propios métodos no probados. Cuanto más contacto tenga el agente con cada paquete, mayor será el riesgo de que el agente provoque una interrupción o degradación del rendimiento.

El agente no tan secreto de Illumio: el Illumio VEN

Cuando se trata de agentes, Illumio adopta un enfoque diferente. Nos gusta dividir el trabajo de segmentación en dos partes principales:

• Hable sobre su política de seguridad. Pensemos en sus riesgos y los tipos de activos que necesita proteger, y elaboremos una política de seguridad amigable para los humanos que proteja sus servicios y datos.
• Aplique su política de seguridad. Aquí es donde entra en juego el VEN e, idealmente, es la pieza más transparente y menos interesante del rompecabezas.

Tu negocio te da suficiente en qué pensar; Lo último que necesita es un agente que traiga drama innecesario.

Para garantizar una experiencia de agente sin dramas, Illumio adopta un enfoque en capas para las operaciones de VEN:

• El VEN recupera periódicamente las actualizaciones de la directiva de seguridad del PCE. Si el PCE es inalcanzable (por un corto o largo tiempo), el VEN ya tiene todo lo que necesita para proteger su carga de trabajo. No hay dependencia en tiempo real entre el VEN y el PCE.
• Una vez que el VEN recibe sus órdenes del PCE, entrega la aplicación al sistema operativo. Este servicio de "cumplimiento por contrato" es proporcionado por iptables en Linux o WFP en Windows (WFP es la plataforma de filtrado de Windows, el ejecutor de bajo nivel sobre el que se basa el Firewall de Windows). Cuando se trata de sistemas distribuidos complejos, la aplicación a nivel de sistema operativo no trae mucho cerebro, pero tiene mucho músculo.
• Una vez recibida la dirección del VEN, el sistema operativo realiza la aplicación por su cuenta. En el improbable caso de que algo salga mal con el VEN, el sistema operativo puede continuar aplicando su política más reciente sin ninguna ayuda adicional. Como cualquier buen gerente, el VEN puede tomar un descanso si es necesario y todo seguirá funcionando sin problemas.

Lea más sobre cómo se desarrolló el Illumio VEN para mantener su rendimiento ligero.

Beneficios de VEN de Illumio

El beneficio clave de este enfoque es que la aplicación proporcionada por el sistema operativo es extremadamente estable y de alto rendimiento. En Linux, iptables se lanzó por primera vez en 1998; el desarrollo del PMA comenzó alrededor de 2007. Estos servicios son maduros, robustos y se emplean en cientos de millones de servidores en todo el mundo. La mayoría de los problemas potenciales que podrían afectar la carga de trabajo se encontraron y solucionaron hace mucho tiempo.

Y a diferencia de los agentes en línea, el VEN de Illumio tiene una gran reputación por ser liviano y confiable. Nuestro VEN tiene un historial comprobado de bloqueo de conexiones no deseadas sin afectar su negocio a través de latencia adicional o interrupciones del servicio.

Al centrar en sus objetivos de reducción de riesgos y adoptar un enfoque de "no intervención" en sus paquetes, Illumio le permite pensar en la seguridad sin preocupar por si el agente está haciendo su trabajo de manera efectiva.

¿Listo para obtener más información sobre la plataforma de segmentación Zero Trust de Illumio? Contáctenos hoy para una consulta y demostración.