.png)
Luttez plus rapidement contre les ransomwares : Visibilité centralisée des limites d'application de la loi
Une véritable architecture de segmentation sans confiance repousse la limite de la confiance directement vers les charges de travail des applications individuelles. C'est pourquoi le modèle de sécurité par liste d'autorisation d'Illumio vous permet de n'autoriser que le trafic dont vos charges de travail ont besoin - en refusant tout le reste par défaut.
Illumio bloque ou autorise les décisions prises directement au niveau de la charge de travail avant qu'un paquet n'atteigne le plan du réseau ou n'ait besoin d'atteindre un outil de sécurité dans votre réseau ou votre structure d'informatique en nuage. La mise en œuvre complète avec Illumio signifie que vous pouvez segmenter avec précision le trafic entrant et sortant de vos charges de travail à grande échelle.
Toutefois, dans certains cas, vous ne disposez pas toujours d'informations suffisantes pour savoir quel trafic vous souhaitez autoriser à communiquer avec vos charges de travail - mais vous pouvez savoir ce que vous ne souhaitez pas autoriser à communiquer.
Modèles de segmentation Deny-list vs. allow-list
Dans de telles situations, il est possible d'utiliser temporairement un modèle de segmentation par liste de refus, qui bloque certains ports entre les charges de travail et autorise tous les autres par défaut.
Il est important de noter qu'il ne s'agit que d'une solution temporaire. Vous devrez utiliser des outils d'analyse pour collecter le comportement du trafic dépendant des applications nécessaire à la définition d'un modèle de politique de liste d'autorisation. Vous pouvez alors passer du modèle de segmentation par liste de refus à une approche par liste d'autorisation et à un modèle de sécurité de confiance zéro.
Cette flexibilité est particulièrement importante pour la protection contre les ransomwares. La plupart des ransomwares modernes utilisent des ports ouverts sur le réseau d'une charge de travail pour se déplacer latéralement dans l'environnement. Prenons par exemple le Remote Desktop Protocol (RDP) et le Server Message Block (SMB). Ces ports sont conçus pour permettre aux charges de travail d'accéder à un petit ensemble de ressources centrales, telles que celles gérées par les équipes informatiques, et sont rarement destinés à être utilisés entre les charges de travail. Cependant, les ransomwares les utilisent souvent comme des portes ouvertes "" pour se propager dans toutes les charges de travail.
Pour résoudre rapidement ce problème, vous devez pouvoir bloquer les ports RDP et SMB entre toutes les charges de travail à grande échelle. Créez ensuite un petit nombre d'exceptions permettant aux charges de travail d'accéder à des ressources centrales spécifiques. Voici comment fonctionnent les limites d'application dans Illumio Core.
Définir les limites de l'application de la loi
Les limites d'application sont un ensemble de règles de refus appliquées aux charges de travail qui ont été placées en mode d'application sélective "" . Contrairement au mode "Full Enforcement", qui segmente et applique le trafic de la charge de travail dans le cadre d'une stratégie de liste d'autorisations, "Selective Enforcement" ne bloque que certains ports et le trafic que vous spécifiez.
Illumio affiche les règles de segmentation dans trois flux de travail différents :
- Dans le menu Jeux de règles et règles où les règles sont créées
- Dans Explorer, vous pouvez consulter l'historique du trafic et des événements, et analyser et visualiser tous les ports de tous les flux sous forme de tableau ou de coordonnées.
- Dans Illumination, la carte en temps réel à partir de laquelle vous pouvez voir les dépendances et la connectivité des applications dans tous les environnements.
Les limites d'application étaient visibles dans la section "Rulesets and Rules" lors de sa sortie initiale, et pouvaient être appliquées à toutes les charges de travail en mode "Selective Enforcement". Vous pouvez également visualiser les limites d'application dans l'outil Explorateur, ce qui permet de voir le comportement des ports et si les flux sont affectés par une règle de limite d'application.
Et avec la dernière version d'Illumio Core, la carte d'Illumination affiche les limites d'application dans tous les flux à travers toutes les dépendances d'application. La centralisation des limites d'application dans Illumination vous permet de corréler efficacement les événements au cours d'une violation de la sécurité.
Visualisation des limites d'application et du flux de travail
Vous pouvez visualiser les limites d'application dans Illumination via les menus affichés lorsque vous sélectionnez une charge de travail ou un flux de trafic.
Dans le menu, vous verrez l'icône familière du "mur de briques" indiquant la présence d'une limite d'application à côté du trafic qui sera affecté par cette limite. Il s'agit de la même méthode que celle utilisée pour visualiser les limites d'application dans Explorer, ce qui permet une représentation visuelle et une expérience cohérentes.
Cette vue affiche l'ensemble du trafic entre les charges de travail sélectionnées, que ce soit en mode "Selective Enforcement" ou en mode "Mixed Enforcement", ainsi que les flux de trafic qui seront affectés par une limite d'application.
Vous pouvez également voir le type de trafic entre les flux de travail à côté de chaque flux en tant que trafic unicast, broadcast ou multicast. Les types de trafic sont indiqués par les nouveaux "B" et "M" à côté de chaque flux (le trafic sans lettre à côté est unicast).
Centralisation des flux de travail relatifs aux limites d'application dans Illumination
En plus d'afficher les limites d'application avec les charges de travail et les flux de trafic dans Illumination, vous pouvez sélectionner et modifier des limites d'application spécifiques directement dans Illumination. En sélectionnant le trafic et la décision de politique pour une charge de travail, vous pouvez afficher ou modifier cette frontière d'application.
Il n'est donc plus nécessaire de faire des allers-retours entre la visualisation du trafic dans Illumination et l'accès à des limites d'application spécifiques dans différents flux de travail. Vous pouvez visualiser les deux types de politiques de segmentation - les listes d'autorisation et les listes de refus - dans le cadre des dépendances de l'application dans Illumination.
Limites d'application : La différence Illumio
Contrairement à de nombreuses autres plateformes de sécurité, les limites d'application élargissent les capacités d'Illumio afin d'offrir des modèles de politiques de segmentation de liste d'autorisation et de liste de refus. Cela vous permet d'adopter une approche granulaire de l'architecture de sécurité et de mettre en œuvre une solution rapide contre les ransomwares. Et vous pouvez le faire en toute sécurité, grâce à la possibilité d'analyser l'effet des règles d'application des limites sur des schémas de circulation spécifiques dans Explorer et dans les dépendances d'application affichées dans Illumination. Vous pouvez désormais vous protéger contre ce que vous voulez autoriser et ce que vous ne voulez pas autoriser - et en voir les effets dans les trois principaux flux de travail.
Les limites d'application résolvent également un problème de longue date avec les pare-feux : l'ordonnancement des règles. Les pare-feu traditionnels lisent les règles de haut en bas avec un refus implicite "" à la fin. L'insertion d'une nouvelle règle dans un ensemble de règles de pare-feu existant n'est pas pour les âmes sensibles, car l'insertion d'une ou de plusieurs nouvelles règles au mauvais endroit, avant ou après une autre règle existante, risque de rompre les dépendances.
Ce défi nécessite un processus de contrôle du changement soigneusement défini au cours d'une fenêtre de contrôle du changement planifiée. Et si une dépendance se brise soudainement pendant le changement, vous devez revenir en arrière et réessayer plus tard.
Pour éviter ce problème, Illumio offre un modèle déclaratif où l'administrateur définit l'état final de toute nouvelle règle de segmentation ou limite d'application et Illumio met soigneusement en œuvre l'ordre correct des règles. Cela signifie que l'administrateur définit le "quoi" et qu'Illumio met en œuvre le "comment."
Puisque le maillon le plus faible de toute architecture de sécurité est un humain tapant sur un clavier, Illumio élimine le risque d'erreurs de configuration, qui demeure la source la plus commune de sécurité faible dans tout réseau d'entreprise ou d'informatique en nuage. Vous pouvez clairement définir et visualiser les limites d'application - et garantir que vous pouvez mettre en œuvre de manière sûre et efficace la segmentation de la charge de travail à l'échelle.
Pour en savoir plus sur Illumio, le leader de la segmentation sans confiance :
- Téléchargez les rapports Forrester Wave qui désignent Illumio comme leader dans les domaines du Zero Trust et de la microsegmentation.
- Découvrez comment Illumio a aidé un cabinet d'avocats international à mettre fin à une attaque de ransomware.
- Contactez-nous dès aujourd'hui pour planifier une consultation et une démonstration.
