Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Cartographie d'Illumio dans le Top 20 du CIS

Illumio Editorial
Illumio Editorial
August 6, 2020
23 min. lire

Au cours des dernières semaines, nous avons observé une augmentation des demandes de renseignements de la part d'entreprises qui souhaitent comprendre comment Illumio les aide à mettre en œuvre l'initiative des contrôles de sécurité du Center for Internet Security (CIS). Les directives CIS Top 20 Controls sont largement adoptées et existent depuis plus de 10 ans, la dernière version (7.1) ayant été publiée en avril 2019, nous avons donc été intrigués par cette tendance. Nous avons discuté avec ces entreprises de leurs motivations et de leur intérêt pour Illumio et nous avons appris beaucoup de choses.

La plupart de ces organisations utilisent les lignes directrices des meilleures pratiques du CIS depuis un certain temps, mais la transition rapide vers des modèles de travail à distance, combinée à l'augmentation signalée des cyberattaques, les oblige à réévaluer leurs contrôles et leurs outils. Selon une enquête du CSO d'avril 2020, 26% des personnes interrogées ont constaté une augmentation du volume, de la gravité et/ou de la portée des cyberattaques depuis la mi-mars. Certaines de ces entreprises poursuivent leur transition vers les nuages publics et augmentent l'empreinte de la virtualisation dans leurs centres de données. Ils veulent tous mieux comprendre les lacunes de leurs contrôles de sécurité et de leurs technologies habilitantes.

Dans cette optique, voici une vue d'ensemble de la manière dont Illumio prend en charge les 20 contrôles les plus importants de l'ECI.

Vue d'ensemble des 20 principaux contrôles de sécurité critiques du CIS

Commençons par une brève présentation des 20 principaux contrôles de sécurité critiques du CIS. Les contrôles ont été initialement créés par les équipes rouge et bleue de la NSA, les laboratoires d'énergie nucléaire du ministère américain de l'énergie, les organismes chargés de l'application de la loi et certains des meilleurs organismes nationaux de criminalistique et d'intervention en cas d'incident.

Les contrôles sont dérivés des schémas d'attaque les plus courants mis en évidence dans les principaux rapports sur les menaces et approuvés par une très large communauté de praticiens du gouvernement et de l'industrie. Ils reflètent les connaissances combinées d'experts commerciaux et gouvernementaux en matière de criminalistique et de réponse aux incidents.

La mise en œuvre et l'opérationnalisation des 20 principaux contrôles de sécurité du CIS n'est pas un exercice unique. La technologie, le paysage des menaces et les techniques d'attaque évoluent constamment. Les contrôles sont mis à jour, validés et affinés chaque année. Ils ne sont pas destinés à remplacer un programme de conformité et s'inscrivent dans des cadres tels que le NIST CSF et des normes de conformité telles que PCI-DSS et HIPAA. Nombre d'entre eux utilisent les contrôles CIS comme base des meilleures pratiques en matière de sécurité de l'information, qu'ils complètent ensuite pour traiter les cas particuliers et répondre à des exigences très spécifiques et prescriptives.

Mise en correspondance d'Illumio avec les 20 contrôles les plus importants de l'ECI

Voici comment les capacités d'Illumio vous aident directement à respecter ou à soutenir un contrôle CIS.

Contrôles de base

1. Inventaire et contrôle des biens matériels. Illumio prend en charge ce contrôle en vous permettant d'utiliser la carte de dépendance des applications en temps réel pour identifier et valider les composants matériels des serveurs qui appartiennent à un groupe d'applications, ainsi que les serveurs et les appareils qui sont autorisés à se connecter aux applications. Illumio prend en charge l'intégration basée sur l'API avec des outils tiers tels que NAC, la découverte d'actifs, ServiceNow CMDB et Service Mapping pour valider l'inventaire. L'agent Illumio prend en charge les machines nues, les machines virtuelles, les instances de nuages publics, les conteneurs et recueille des informations télémétriques (adresses IP, ports, processus, protocoles) pour construire la carte des dépendances de l'application. 

2. Inventaire et contrôle des actifs logiciels. Illumio prend en charge ce contrôle en vous permettant d'utiliser la carte de dépendance des applications pour identifier les applications et les composants de charge de travail qui appartiennent au groupe d'applications et les autres composants de la pile logicielle qui sont autorisés à se connecter, y compris les connexions multi-cloud, conteneur à serveur, et les connexions avec les instances de cloud public. Les informations sur la connectivité et les flux enrichissent les informations sur l'inventaire des logiciels qui sont gérées par les outils de gestion des actifs, de CMDB et de SCM. Le modèle d'exclusion par défaut d'Illumio sépare logiquement les applications à haut risque qui sont nécessaires aux opérations commerciales. La visibilité sans agent - pour les scénarios où les agents ne sont pas pris en charge, comme AWS RDS, Azure Managed SQL, les flux GCP et les filtres de stockage - est activée à l'aide de la fonctionnalité Flowlink.

3. Gestion continue des vulnérabilités. Illumio soutient ce contrôle en s'intégrant aux scanners de vulnérabilités et en ingérant l'information sur les vulnérabilités. Il utilise ces informations pour afficher visuellement les voies d'attaque latérales potentielles des logiciels malveillants. Le score d'exposition aux vulnérabilités offre un calcul du risque centré sur l'entreprise. Vous pouvez utiliser ces informations pour améliorer votre capacité à hiérarchiser votre stratégie de correction et à appliquer une segmentation au niveau du processus pour les cas où la correction n'est pas réalisable d'un point de vue opérationnel.

4. Utilisation contrôlée des privilèges administratifs. Illumio prend en charge ce contrôle en s'intégrant aux principales solutions MFA. Illumio peut surveiller et appliquer des politiques pour s'assurer que les postes de travail dédiés sont isolés et que le moindre privilège est appliqué. Dans les environnements VDI, les connexions aux applications de charge de travail sont contrôlées en fonction de l'appartenance de l'utilisateur au groupe Microsoft.

5. Configuration sécurisée du matériel et des logiciels sur les appareils mobiles, les ordinateurs portables, les stations de travail et les serveurs. Illumio soutient les outils SCM en offrant une visibilité sur l'ensemble du trafic et en identifiant rapidement les ports/protocoles utilisés par les charges de travail auxquelles les propriétaires d'applications ne s'attendent pas, afin qu'ils puissent rapidement remédier à la situation.

6. Si un client utilise Illumio pour segmenter son centre de données interne et son nuage, les connexions utilisateur-application et les connexions poste-à-poste, Illumio tient un journal de toutes les connexions et de tous les flux de trafic, des événements (trafic autorisé, bloqué, potentiellement bloqué) et de l'historique des politiques, des règles et des événementsconnexes. Les opérateurs autorisés peuvent consulter la base de données historique du trafic d'Illumio pour les opérations, les réponses aux incidents et les enquêtes, les rapports et les audits. Illumio s'intègre aux principaux outils SIEM comme Splunk, IBM QRadar et ArcSight pour archiver, rechercher et corréler des ensembles massifs de données de journaux et d'événements pour la production de rapports, les enquêtes et la réponse aux incidents.

Contrôles fondamentaux

9. Limitation et contrôle des ports, protocoles et services du réseau. Illumio répond directement à ce contrôle. Illumio utilise l'information sur les connexions de l'application - l'historique détaillé des connexions et des flux de trafic, y compris les ports, les processus et les protocoles - pour recommander initialement les règles de pare-feu applicables. Illumio dispose d'un modèle de refus par défaut, de sorte que les connexions non conformes peuvent être bloquées ou potentiellement bloquées.

11. Configuration sécurisée des dispositifs de réseau, tels que les pare-feu, les routeurs et les commutateurs. Illumio répond directement à ce contrôle. Illumio conserve des informations historiques et en temps réel sur le trafic et les journaux d'événements afin de valider que les dispositifs de réseau, en particulier les pare-feu Est-Ouest, font ce qu'ils doivent faire et n'autorisent pas le trafic que la politique du pare-feu devrait interdire. Les utilisateurs peuvent créer une liste de refus d' adresses IP pour bloquer les communications avec des adresses IP malveillantes ou inutilisées. Les utilisateurs peuvent programmer les connexions pour limiter les connexions de charge de travail à charge de travail à des ports, processus et protocoles spécifiques. Illumio Core met en œuvre la prévention de l'altération du VEN. Vous pouvez mettre en œuvre la micro-segmentation avec Illumio afin que les machines des administrateurs de réseau puissent être isolées et avoir un accès élevé. Vous pouvez mettre en œuvre une segmentation plus fine sans avoir à réorganiser les VLAN et les sous-réseaux à chaque fois que les besoins de l'entreprise changent.

12. Défense des frontières. Illumio répond directement à ce contrôle. Illumio applique une segmentation basée sur l'hôte pour surveiller et contrôler les connexions et les flux entre les applications et les appareils avec différents niveaux de confiance. Vous pouvez réaliser une segmentation fine sans réarchitecture coûteuse et risquée de son infrastructure de réseau.

13. Protection des données. Illumio soutient cette exigence en empêchant de manière proactive les charges de travail et les utilisateurs non autorisés de se connecter aux applications protégées via le modèle de refus par défaut et en identifiant et en bloquant les voies d'attaque latérales potentielles des acteurs malveillants. Illumio détecte et bloque les connexions non autorisées qui pourraient tenter de transférer des informations sensibles et envoie des alertes à la sécurité. Vous pouvez également utiliser Illumio pour programmer et appliquer des politiques qui contrôlent l'accès et les connexions aux fournisseurs de cloud et de messagerie.

14. Accès contrôlé basé sur le besoin de savoir. Illumio répond directement à ce contrôle. Illumio peut être utilisé pour contrôler les connexions autorisées entre les charges de travail, les applications, les utilisateurs VDI et les appareils. Illumio Core peut aider à gérer l'accès à un environnement en gérant à la fois l'accès réseau à un système et potentiellement l'accès logique. Les adresses IP externes peuvent être spécifiquement ajoutées à des ensembles de règles et appliquées à des groupes en fonction de la nécessité pour les utilisateurs d'accéder à ces systèmes (les utilisateurs peuvent être des machines ou des opérateurs individuels). Ces règles peuvent être activées/désactivées au niveau d'une politique afin de désactiver immédiatement et efficacement certains accès aux systèmes. Dans les environnements VDI, la segmentation adaptative des utilisateurs peut être utilisée pour autoriser l'accès à certaines ressources sur la base de la stratégie de groupe Active Directory.

15. Contrôle d'accès sans fil. Illumio soutient ce contrôle en programmant et en appliquant la segmentation pour l'accès sans fil sur des appareils et des serveurs autorisés spécifiques et en restreignant l'accès à d'autres réseaux sans fil.

16. Surveillance et contrôle des comptes. Illumio prend en charge ce contrôle en s'intégrant à des outils tiers de SSO et de gouvernance d'accès. Vous pouvez également utiliser le chiffrement à la demande d'Illumio pour vous assurer que tous les noms d'utilisateur et les identifiants d'authentification sont transmis à travers les réseaux en utilisant des canaux chiffrés.

Contrôles organisationnels

18. Sécurité des logiciels d'application. Illumio prend en charge ce contrôle en appliquant des politiques de micro-segmentation pour séparer les systèmes de production des systèmes de non-production. Illumio programme également des règles de pare-feu basées sur l'hôte pour s'assurer que les développeurs n'ont pas un accès illimité et non surveillé aux systèmes de production.

19. Réponse et gestion des incidents. Illumio prend en charge ce contrôle. Les utilisateurs autorisés peuvent tirer des rapports de la base de données historique d'Illumio sur le trafic, les événements et les données de journal pour soutenir les enquêtes et les flux de travail de réponse aux incidents.

20. Tests de pénétration et exercices d'équipe rouge. Illumio prend en charge ce contrôle. Les organisations peuvent utiliser les informations contenues dans la carte des dépendances applicatives, les ensembles de règles et les groupes d'applications comme base de référence pour concevoir l'étendue de leurs tests d'intrusion.

En résumé

Les événements systémiques déclenchent généralement une évaluation des contrôles de sécurité existants. Illumio aide les entreprises à mettre en œuvre une approche pragmatique pour évaluer et permettre la mise en œuvre de leurs contrôles CIS Top 20. Les entreprises peuvent y parvenir en tirant parti des possibilités suivantes :

  1. La cartographie en temps réel des dépendances applicatives qui permet d'identifier les nouvelles connexions et les changements de connexions avec les systèmes de grande valeur qui découlent des changements dans le modèle d'exploitation.
  2. Des cartes de vulnérabilité qui calculent et illustrent visuellement l'exploitabilité d'une vulnérabilité. Cela permet de prioriser les contrôles et les efforts de segmentation autour des actifs et des connexions les plus risqués.
  3. Segmentation via un modèle de refus par défaut qui ne repose pas sur une réorganisation de l'architecture de réseau.
  4. Intégration basée sur l'API avec des outils tiers d'exploitation informatique, de sécurité et d'analyse qui vous aident à surveiller en permanence les tendances qui introduisent de nouveaux risques pour votre entreprise. Ces intégrations vous aident également à élaborer et à mettre en œuvre des plans visant à améliorer l'efficacité des contrôles existants.

Les 20 principaux contrôles du CIS offrent une hygiène de base en matière de sécurité, mais ils fournissent également un cadre permettant de hiérarchiser les lacunes et les contrôles de sécurité qui auront l'impact le plus important sur votre organisation.

Si vous souhaitez en savoir plus sur les capacités d'Illumio, consultez Illumio Core.

Sujets connexes

No items found.

Articles connexes

5 idées incontournables de Chase Cunningham, pionnier de la confiance zéro
Segmentation sans confiance

5 idées incontournables de Chase Cunningham, pionnier de la confiance zéro

Chase Cunningham, également connu sous le nom de Dr. Zero Trust, partage ses réflexions dans cet épisode du Zero Trust Leadership Podcast.

Read more
2022 Gartner Hype Cycle pour la charge de travail et la sécurité des réseaux : Pourquoi la microsegmentation est une technologie très avantageuse
Segmentation sans confiance

2022 Gartner Hype Cycle pour la charge de travail et la sécurité des réseaux : Pourquoi la microsegmentation est une technologie très avantageuse

Découvrez pourquoi Gartner a fait passer la microsegmentation, également appelée Zero Trust Segmentation (ZTS), du statut de technologie à avantages modérés à celui de technologie à avantages élevés.

Read more
3 points à retenir de la nouvelle fiche d'information de la NSA sur la cybersécurité
Segmentation sans confiance

3 points à retenir de la nouvelle fiche d'information de la NSA sur la cybersécurité

Découvrez comment la NSA reconnaît la segmentation de la confiance zéro comme un élément essentiel de la confiance zéro.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more