Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
P R O D U I T S I L L U M I O

Fonctionnalités peu connues d'Illumio Core : Services virtuels

Christer Swartz
Directeur du marketing des solutions
Illumio Editorial
Mars 13, 2024
23 min. lire

‍Danscette série continue, les experts en sécurité d'Illumio mettent en lumière les fonctionnalités moins connues (mais non moins puissantes) d'Illumio Core.  

La valeur des données exfiltrées ayant chuté sur le marché noir, le détournement de ressources critiques et l'obtention d'une rançon pour leurs données ont considérablement augmenté et sont devenus un modèle commercial criminel très fructueux. Aujourd'hui, perturber l'infrastructure d'une organisation est une cible très tentante pour les acteurs malveillants.  

Les ressources de l'infrastructure peuvent être détournées et perturbées au niveau de l'hôte et de l'application, et les deux types de ressources doivent être visualisés et appliqués indépendamment l'un de l'autre et à une échelle granulaire.  

Dans cet article de blogue, apprenez comment tirer parti des services virtuels d'Illumio Core pour sécuriser vos hôtes et leurs applications et processus, avec ou sans agent. Cela permet d'obtenir une architecture de confiance zéro de bout en bout, sans angles morts.

L'approche sans agent d'Illumio Core pour la sécurité de la charge de travail

Illumio Core gère les charges de travail directement sur le système d'exploitation en déployant l'agent Illumio VEN qui est ensuite associé à Illumio PCE. Cela permet à Illumio de visualiser et d'appliquer le trafic centré sur l'application en utilisant des capacités de pare-feu qui sont natives à chaque système d'exploitation, indépendamment des solutions de sécurité traditionnelles. La segmentation centrée sur la charge de travail nécessite une solution indépendante de l'environnement d'hébergement sous-jacent.

Bien que cette approche consistant à intégrer la solution de sécurité de la charge de travail directement à la charge de travail soit la plus idéale, il existe d'autres types de charges de travail qui doivent être incluses dans les architectures de visibilité et d'application de la charge de travail, mais qui ne permettent pas le déploiement d'agents tiers, tels que les équilibreurs de charge, les appareils IoT et les appareils OT.  

Les solutions de sécurité sans agent sont souvent associées à des plateformes de cloud public qu'Illumio met en œuvre avec Illumio CloudSecure. Dans un environnement sur site, il existe plusieurs solutions d'informatique en nuage privée qui offrent différentes options de sécurité, mais la plupart de ces solutions dépendent d'hyperviseurs ou d'architectures virtuelles de réseaux superposés. La création de segments dans un environnement d'hyperviseur ou de réseau superposé reste une solution centrée sur le réseau, alors que la segmentation centrée sur la charge de travail nécessite une solution qui ne dépend pas de l'environnement d'hébergement sous-jacent. Comment Illumio peut-il permettre cela sans l'agent VEN?

3 façons dont Illumio Core sécurise les environnements sans agent

Illumio Core étend sa solution de visibilité et d'application au-delà des charges de travail gérées grâce à ces entités sans agent :  

  • Charges de travail non gérées
  • Serveurs virtuels
  • Services virtuels
Charges de travail non gérées

Illumio peut identifier les charges de travail non gérées sans agent VEN en utilisant son nom d'hôte et son adresse IP. Illumio attribue ensuite des étiquettes à cette charge de travail, ce qui lui permet de la visualiser et d'en imposer l'accès à toutes les autres charges de travail gérées.  

Illumio ne reçoit pas de télémétrie de cette charge de travail non gérée puisqu'il n'y a pas d'agent VEN déployé sur celle-ci. Au lieu de cela, Illumio peut voir avec quelles charges de travail gérées il communique, ce qui lui permet d'inclure pleinement ces charges de travail non gérées et sans agent dans sa carte d'illumination et son modèle de politique.

Illumio gère les charges de travail gérées et non gérées de la même manière :

Illumio affiche et impose le trafic sur les charges de travail non gérées, sans agent.
Illumio affiche et impose le trafic sur les charges de travail non gérées, sans agent.
‍‍Serveursvirtuels

Un serveur virtuel est utilisé pour renforcer le trafic par le biais d'un équilibreur de charge. Illumio définit chaque serveur virtuel par le VIP exposé sur l'équilibreur de charge F5 ou AVI. Illumio crée également des étiquettes pour les membres du pool déployés derrière l'équilibreur de charge associé à ce VIP.  

Le module Network Enforcement Node (NEN) d'Illumio permet de lire et d'écrire la politique de sécurité directement sur l'équilibreur de charge à l'aide d'un flux de travail axé sur l'API. Cela permet à Illumio de visualiser et d'appliquer le trafic vers et depuis les serveurs virtuels par l'intermédiaire d'un équilibreur de charge sans dépendre du déploiement d'un agent VEN.  

Illumio renforce les services virtuels en configurant l'équilibreur de charge et en gérant les pools.
Illumio renforce les services virtuels en configurant l'équilibreur de charge et en gérant les pools.

‍Caption: Illumio renforce les services virtuels en configurant l'équilibreur de charge et en gérant les pools.

Services virtuels

Un service virtuel est utilisé pour étiqueter et définir une politique pour un ou plusieurs processus ou applications spécifiques résidant sur le même hôte, chaque service virtuel étant indépendant des étiquettes et de la politique de l'hôte sous-jacent. Par exemple, si deux applications sont déployées sur un même hôte, Illumio créera deux services virtuels différents, chacun appliquant une politique distincte l'un de l'autre et de l'hôte sous-jacent.  

Lorsqu'Illumio utilise un service virtuel pour définir un processus ou une application spécifique en tant que charge de travail, indépendamment de l'hôte sur lequel il est déployé, il "liera" ce service virtuel aux ports utilisés par ce processus. Un service virtuel peut correspondre à un processus unique ou à une collection de ports TCP spécifiques sur un hôte.  

Illumio peut attribuer différentes étiquettes à différentes applications sur un même hôte. Par exemple, si un hôte a déployé un processus de base de données et une instance postgres sur le port 5678, Illumio peut créer deux services virtuels différents et lier chacun d'eux aux ports pertinents utilisés par chaque processus. Ensuite, Illumio les étiquettera en utilisant le même étiquetage multidimensionnel que celui utilisé pour les charges de travail gérées.  

Il est alors possible de définir des politiques différentes pour chaque étiquette d'application, distinctes des étiquettes et des politiques définies pour l'hôte sous-jacent :

 

Illumio permet une politique granulaire spécifique aux différents processus déployés sur un hôte.
Illumio permet une politique granulaire spécifique aux différents processus déployés sur un hôte.

Si le service ou l'application est déplacé d'un hôte à un autre, ce qui peut se produire dans les plateformes de nuage privé, la politique définie pour cette application dans Illumio n'a pas besoin d'être modifiée. Illumio recalculera dynamiquement les règles sur la charge de travail mise à jour, comme la nouvelle adresse IP de l'hôte vers lequel l'application a migré, afin de permettre à ce service virtuel d'apporter sa politique centrée sur l'application avec lui pendant la migration.  

Cela permet aux applications de migrer dynamiquement entre différentes machines virtuelles, par exemple. La politique en matière d'applications restera stable et ne nécessitera pas de processus de contrôle des changements de sécurité pour suivre les migrations d'applications, quel que soit le degré de dynamisme de la migration des applications entre les hôtes.  

Services virtuels sur des charges de travail gérées et non gérées

Les services virtuels sont généralement utilisés pour les charges de travail gérées, mais ils peuvent également être utilisés pour les charges de travail non gérées. Si une charge de travail non gérée comporte plusieurs processus ou applications déployés, Illumio peut associer chacun d'entre eux à un service virtuel différent et étiqueter et appliquer chacun d'entre eux de manière distincte.  

Cela permet aux équipes de sécurité de définir une politique très granulaire spécifique aux processus et aux applications dans différents types de charges de travail. Par conséquent, la visualisation et la politique ne se limitent pas à un modèle de charge de travail OS/hôte.  

C'est ici que l'échelle élevée des charges de travail prises en charge par Illumio devient importante - suivre ce modèle à l'échelle peut créer une explosion d'entités à visualiser et à appliquer qu'Illumio peut facilement gérer.

‍Sécuritécontre les menaces ciblant les hôtes et les applications

Illumio permet l'application des dépendances des réseaux d'applications et d'hôtes, offrant une visibilité claire de qui parle à quoi et la capacité de verrouiller le mouvement latéral entre les ressources sans complexité. Illumio sécurise vos hôtes et leurs applications et processus avec ou sans agent. Cela permet d'obtenir une architecture de confiance zéro de bout en bout, sans angles morts.

Pour en savoir plus sur Illumio ZTS, contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.

Sujets connexes

Noyau

Articles connexes

Pourquoi les pirates aiment les points de terminaison - et comment arrêter leur propagation avec Illumio Endpoint
P R O D U I T S I L L U M I O

Pourquoi les pirates aiment les points de terminaison - et comment arrêter leur propagation avec Illumio Endpoint

La sécurité traditionnelle laisse les points de terminaison largement ouverts aux pirates. Apprenez à vous préparer de manière proactive aux brèches avec Illumio Endpoint.

Read more
Illumio pour Macs : Isolez et stoppez la propagation des ransomwares sur macOS
P R O D U I T S I L L U M I O

Illumio pour Macs : Isolez et stoppez la propagation des ransomwares sur macOS

La segmentation zéro confiance d'Illumio comprend la capacité de défendre les points d'extrémité sujets aux incursions de ransomware Mac et d'appliquer pleinement les politiques de segmentation.

Read more
Découvrez les nouveautés d'Illumio : Plus de sécurité, de visibilité et d'efficacité
P R O D U I T S I L L U M I O

Découvrez les nouveautés d'Illumio : Plus de sécurité, de visibilité et d'efficacité

Découvrez les dernières mises à jour de la plateforme Illumio conçues pour simplifier la sécurité, améliorer la visibilité et aider les équipes à stopper les brèches plus rapidement dans les environnements hybrides et multi-cloud.

Read more
Fonctionnalités peu connues d'Illumio Core : Intégration des plateformes SOAR
P R O D U I T S I L L U M I O

Fonctionnalités peu connues d'Illumio Core : Intégration des plateformes SOAR

Découvrez comment les intégrations d'Illumio Core avec des plateformes SOAR tierces garantissent que les logiciels malveillants nouveaux et inconnus ne peuvent pas se propager dans votre réseau.

Read more
Fonctionnalités peu connues d'Illumio Core : Analyser les flux de réseaux avec le maillage
P R O D U I T S I L L U M I O

Fonctionnalités peu connues d'Illumio Core : Analyser les flux de réseaux avec le maillage

Apprenez comment Mesh affiche plusieurs dimensions de données à la fois pour fournir une image plus claire de la façon dont chaque point de données interagit avec son environnement.

Read more
10 raisons de choisir Illumio pour la segmentation
Segmentation sans confiance

10 raisons de choisir Illumio pour la segmentation

Découvrez comment Illumio rend la segmentation plus intelligente, plus simple et plus solide dans le cadre de votre stratégie de sécurité Zero Trust.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more