Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Qu'est-ce qui rend l'agent d'Illumio plus fiable que les agents en ligne ?

Ron Isaacson
Directeur principal, Architecture d'entreprise
Illumio Editorial
Décembre 7, 2022
23 min. lire

Le mot "secret " semble être un bon mot à utiliser lorsque vous souhaitez protéger vos données. Et que vous préfériez Mission : Impossible ou Austin Powers, qui n'aime pas un bon film d'agent secret ?

Cependant, en matière de segmentation, un agent secret est la dernière chose dont vous avez besoin.

Le travail d'un agent de cybersécurité n'est jamais terminé - il est essentiel

Lorsque nous parlons d'agents chez Illumio, nous ne parlons généralement pas de Jason Bourne. Nous parlons plutôt de l'agent de point final, le cheval de bataille de tout déploiement de segmentation. Le logiciel agent d'Illumio est appelé Virtual Enforcement Node (VEN) et il s'exécute sur chaque charge de travail que nous protégeons.

Regardez cette présentation pour en savoir plus sur l'Illumio VEN :


L'agent a trois missions principales :

  1. Il maintient une communication constante avec le Policy Compute Engine (PCE), le cerveau central d'Illumio. Pensez à Maxwell Smart, toujours en train de parler dans le téléphone de sa chaussure.
  2. Il surveille ce qui se passe sur la charge de travail, y compris la source et la destination de chaque connexion entrante ou sortante.
  3. Il applique la politique de sécurité que vous avez définie pour votre organisation, en autorisant les connexions que vous souhaitez et en bloquant celles que vous ne souhaitez pas.

L'application de la législation est essentielle pour réduire le risque de violation des données. Mais c'est aussi là qu'un agent secret peut avoir de gros ennuis.

Pour en savoir plus sur le VEN léger et fiable d'Illumio, cliquez ici.

Des agents secrets surveillent le trafic sur le réseau

La tâche d'un agent de segmentation est complexe : Il doit comprendre la politique de sécurité qui s'applique à la charge de travail et vérifier la conformité de chaque connexion entrante et sortante avec cette politique.

Une connexion bloquée par erreur peut avoir un impact sur les activités de l'entreprise, mais autoriser une connexion risquée revient à ouvrir la porte à un pirate. L'agent doit prendre la bonne décision à chaque fois. Il doit également être fiable à 100 % et ne doit pas avoir d'incidence sur les performances ou la disponibilité de votre application.

D'un point de vue technique, il existe deux approches principales en matière d'application de la législation :

  • Un agent peut s'asseoir au milieu de chaque connexion et prendre des décisions à la volée sur ce qu'il faut autoriser ou bloquer.
  • Il peut aussi demander l'aide du système d'exploitation, son homme de main personnel, pour faire le sale boulot.

Nous appelons le premier agent un agent en ligne . Cet agent est un logiciel qui s'insère profondément dans le noyau, le cœur du système d'exploitation. Chaque paquet de trafic réseau entrant ou sortant de la charge de travail est transmis du noyau à l'agent. L'agent doit inspecter ce paquet et décider s'il doit être autorisé, puis le renvoyer au noyau.

Les agents qui ont un accès complet à chaque paquet peuvent être très puissants car ils disposent de nombreuses informations qu'ils peuvent utiliser pour déterminer si le paquet doit être autorisé. Cependant, ces agents peuvent également être très risqués. Vous vous interrogez à chaque fois : Votre paquet sera-t-il protégé par James Bond, soutenu par les inventions magistrales de Q ? Ou bien l'inspecteur Gadget le fera-t-il capoter ?

2 raisons pour lesquelles les agents en ligne peuvent ne pas être fiables

Malheureusement pour de nombreuses organisations, l'analogie n'a rien d'amusant. Les agents en ligne n'ont pas de très bons antécédents.

La première préoccupation est généralement la performance: Les agents en ligne ne peuvent appliquer que des règles simples et une inspection rudimentaire avant de commencer à avoir un impact notable sur la charge de travail. Les effets d'un agent surchargé peuvent se traduire par une charge élevée de l'unité centrale et une réduction du débit du réseau. La sécurité au détriment de la performance des applications n'est pas un très bon compromis.

Au-delà des performances, la question de la fiabilité se pose souvent. Que se passe-t-il lorsque votre agent échoue dans sa mission ? Il se peut que le communicateur du poignet tombe en panne ou que l'agent reçoive une information à laquelle il ne s'attendait pas. Ou peut-être que l'agent n'est tout simplement pas à la hauteur de la tâche, formé et testé dans un environnement plus simple et mal préparé aux conditions du monde réel. L'agent doit-il tomber en panne ouverte, ce qui vous expose à des risques inutiles, ou doit-il tomber en panne fermée et perturber votre activité ?

Ces risques sont tous inhérents au métier d'agent secret, qui opère dans l'ombre et utilise ses propres méthodes non éprouvées. Plus l'agent est en contact avec chaque paquet, plus il risque de provoquer une panne ou une dégradation des performances.

L'agent secret d'Illumio : Le VEN d'Illumio

En ce qui concerne les agents, Illumio adopte une approche différente. Nous aimons diviser le travail de segmentation en deux parties principales :

  • Parlez de votre politique de sécurité. Réfléchissons à vos risques et aux types d'actifs que vous devez protéger, et élaborons une politique de sécurité conviviale qui protège vos services et vos données.
  • Appliquez votre politique de sécurité. C'est là qu'intervient le VEN, et idéalement, c'est la pièce la plus transparente et la moins intéressante du puzzle.

Votre entreprise vous donne suffisamment à penser ; la dernière chose dont vous avez besoin, c'est d'un agent qui vous cause des ennuis inutiles.

Pour que l'expérience de l'agent soit sans drame, Illumio adopte une approche à plusieurs niveaux pour les opérations du VEN :

  • Le VEN récupère périodiquement les mises à jour de la politique de sécurité auprès de l'ECP. Si le PCE est inaccessible (pour une courte ou une longue période), le VEN a déjà tout ce qu'il faut pour protéger votre charge de travail. Il n'y a pas de dépendance en temps réel entre le VEN et le PCE.
  • Une fois que le VEN a reçu ses ordres du PCE, il transmet l'exécution au système d'exploitation. " Ce service "est fourni par iptables sous Linux ou WFP sous Windows (WFP est la plate-forme de filtrage Windows, l'outil d'application de bas niveau sur lequel est construit le pare-feu Windows). Lorsqu'il s'agit de systèmes distribués complexes, l'application au niveau du système d'exploitation n'est pas très intelligente, mais elle est très musclée.
  • Après avoir reçu ses instructions du VEN, l'OS procède alors à l'exécution de manière totalement autonome. Dans le cas improbable où un problème surviendrait avec le VEN, le système d'exploitation peut continuer à appliquer sa politique la plus récente sans aide supplémentaire. Comme tout bon gestionnaire, le VEN peut prendre une pause si nécessaire et tout continuera à bien fonctionner.

Découvrez comment l'Illumio VEN a été conçu pour conserver sa légèreté.

Avantages du VEN d'Illumio

Le principal avantage de cette approche est que l'application fournie par le système d'exploitation est extrêmement stable et performante. Sous Linux, iptables a été publié pour la première fois en 1998 ; le développement de WFP a commencé vers 2007. Ces services sont matures, robustes et utilisés sur des centaines de millions de serveurs dans le monde entier. La plupart des problèmes potentiels susceptibles d'avoir une incidence sur la charge de travail ont été détectés et résolus il y a longtemps.

Et contrairement aux agents en ligne, le VEN d'Illumio a la réputation d'être léger et fiable. Notre VEN a fait ses preuves en bloquant les connexions indésirables sans que votre activité ne soit affectée par une latence accrue ou des interruptions de service.

En se concentrant sur vos objectifs de réduction des risques et en adoptant une approche "hands-off" pour vos paquets, Illumio vous permet de penser à la sécurité sans vous soucier de savoir si l'agent fait son travail efficacement.

Vous voulez en savoir plus sur la plateforme de segmentation zéro confiance d'Illumio ? Contactez-nous dès aujourd'hui pour une consultation et une démonstration.

Sujets connexes

Segmentation sans confiance

Articles connexes

Comment une équipe informatique de quatre personnes a mis en place la segmentation zéro confiance en trois semaines
Segmentation sans confiance

Comment une équipe informatique de quatre personnes a mis en place la segmentation zéro confiance en trois semaines

Comment l'agent Virtual Enforcement Node (VEN) d'Illumio et l'Enforced Zero Trust Segmentation permettent une mise en application complète sur l'ensemble d'une infrastructure de serveurs.

Read more
Segmentation du réseau par rapport à la sécurité
Segmentation sans confiance

Segmentation du réseau par rapport à la sécurité

Dans cet épisode du Tailgating Security Podcast, Alan Cohen et Matt Glenn discutent de la grande différence entre la segmentation du réseau et la segmentation de la sécurité.

Read more
4 Meilleures pratiques utilisées par NIBE pour faire de leur déploiement de microsegmentation un succès
Segmentation sans confiance

4 Meilleures pratiques utilisées par NIBE pour faire de leur déploiement de microsegmentation un succès

Découvrez comment le fabricant mondial NIBE a réussi à atteindre un taux de déploiement de 98 % de la segmentation zéro confiance en seulement 6 mois avec Illumio.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more