Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Partenaires & Intégrations

Un regard plus approfondi sur l'intégration d'Illumio avec Palo Alto Networks

Christer Swartz
Directeur du marketing des solutions
Illumio Editorial
Septembre 30, 2020
23 min. lire

La microsegmentation et les pare-feu aident les entreprises à réduire leur surface d'attaque et à limiter l'exposition aux ransomwares, aux logiciels malveillants et aux autres menaces qui se déplacent latéralement ou se propagent rapidement à travers les flux de trafic est-ouest dans les centres de données et les environnements cloud. Mais comme nous le savons, les entreprises d'aujourd'hui sont très distribuées par nature, avec des utilisateurs, des appareils et des charges de travail de plus en plus omniprésents. Pour y remédier, les entreprises doivent chercher à mettre en place une sécurité au niveau du réseau et de la charge de travail.

Les charges de travail sont éphémères et la plupart d'entre elles se voient attribuer différentes adresses IP au fur et à mesure qu'elles sont transférées d'un réseau à l'autre ou que leur adresse IP est modifiée pour diverses raisons par un contrôleur qui alloue dynamiquement les ressources informatiques. Cela est particulièrement vrai pour les architectures modernes de microservices hébergées dans des clouds publics, où les charges de travail sont constamment en train de mourir, de ressusciter et de se déplacer dynamiquement sur le réseau. L'utilisation d'une adresse IP pour identifier de manière statique une charge de travail, sous quelque forme que ce soit, est une relique du passé. Il est donc important de cartographier le contexte en temps réel afin d'assurer une sécurité efficace de la charge de travail tout au long de son cycle de vie.

En raison de leur nature dynamique, il est souvent difficile pour les entreprises de définir et d'appliquer des politiques de microsegmentation aux charges de travail, où qu'elles se trouvent. Alors que les charges de travail des applications communiquent entre elles principalement par le biais de flux de trafic est-ouest, le trafic entrant et sortant du centre de données ou des environnements en nuage est sécurisé par le biais du trafic nord-sud au niveau du périmètre. Pour réaliser une microsegmentation efficace, vous devez mettre en œuvre des mises à jour de politiques en temps réel pour les charges de travail où qu'elles se déplacent : à travers la structure du réseau vers les pare-feu de nouvelle génération (NGFW), ainsi qu'à travers l'infrastructure hôte où elles peuvent être appliquées par des solutions basées sur des agents qui opèrent au niveau de la charge de travail. Le mappage des politiques de sécurité pour les charges de travail dynamiques entre l'Est-Ouest et le Nord-Sud est complexe et difficile à gérer à grande échelle. Des incohérences peuvent survenir si les changements de politique de sécurité sont gérés en silos par le NGFW et les outils de microsegmentation basés sur des agents.

Automatiser la sécurité dynamique à l'aide de métadonnées

Illumio Core utilise des métadonnées sous forme d'étiquettes pour identifier les charges de travail, au lieu de s'appuyer sur l'adressage réseau. L'administrateur peut attribuer des étiquettes différentes aux différentes charges de travail, et ces étiquettes peuvent ensuite être utilisées pour définir une politique. À l'aide d'agents Virtual Enforcement Node (VEN) déployés sur chaque charge de travail, Illumio Core suit les changements d'adresses IP de cette charge de travail en arrière-plan. Même si une charge de travail change d'adresse IP dix fois au cours de son cycle de vie, l'étiquette reste cohérente. Il en résulte que la politique est définie indépendamment de la manière dont le réseau sous-jacent est conçu. Le transfert de paquets s'effectue toujours par le biais de la recherche d'adresses IP, mais cela se fait en coulisses. Les étiquettes deviennent la construction utilisée pour identifier les différentes charges de travail, et comme la politique est écrite en utilisant ces étiquettes, le résultat est des étiquettes qui se lisent plus comme une phrase humaine, plutôt qu'une liste d'IP et de ports.

Palo Alto Networks a une philosophie similaire concernant l'utilisation des métadonnées sous forme de balises pour identifier les charges de travail à l'intérieur des groupes d'adresses dynamiques (DAG) dans Panorama ou les NGFW de Palo Alto Networks tels que les séries PA-7000, PA-5200, PA-3200 et les pare-feu virtuels de nouvelle génération de la série VM. Le pare-feu peut créer un groupe d'adresses et le définir comme statique ou dynamique, ce qui permet de définir une politique. Il en résulte une règle de pare-feu qui se lit davantage comme une phrase humaine, définissant qui peut faire quoi à qui, en utilisant les noms des DAG plutôt que des adresses IP spécifiques. Un DAG est en quelque sorte un "seau vide" auquel aucune adresse IP n'est attribuée. S'il s'agit d'un groupe d'adresses dynamiques, cet espace vide est rempli d'adresses IP provenant d'une entité externe.

En utilisant Illumio Core pour la microsegmentation basée sur les agents, les utilisateurs peuvent obtenir un contexte en temps réel de leurs charges de travail poussées directement dans les DAG à l'intérieur de Panorama ou dans les NGFW de Palo Alto Networks. Cette solution permet aux utilisateurs de Palo Alto Networks de s'assurer que leurs politiques basées sur le DAG sont parfaitement à jour avec les derniers changements de politique de charge de travail. Comme Illumio suit les changements d'adresses IP pour toutes les charges de travail, il peut transmettre ces mappages de charges de travail étiquetées à Palo Alto Networks. Ainsi, si Illumio Core mappe dix charges de travail en tant que charges de travail " App " et que le pare-feu de Palo Alto Networks a créé un DAG également appelé " App " et utilise ce DAG dans un ensemble de politiques, ce DAG sera peuplé par Illumio dans le pare-feu. Lorsqu'une charge de travail étiquetée se voit attribuer une adresse IP, ou si elle est libérée ou modifiée, toutes ces modifications peuvent être transmises au pare-feu de Palo Alto Networks.

Le véritable avantage est que les administrateurs peuvent configurer le pare-feu une fois pour toutes, sans avoir à le modifier à chaque changement d'adresse IP. Le pare-feu reste silencieux, même si l'échelle des charges de travail augmente. Si un DAG pour les charges de travail "App" contient 10 adresses IP ou 100 adresses IP, aucun processus de contrôle des changements n'est nécessaire pour modifier le pare-feu au fur et à mesure que l'échelle de déploiement augmente. Illumio met simplement à jour le pare-feu au besoin.

Dans le cadre de l'intégration, les étiquettes et les IP des charges de travail dans Illumio Core sont dynamiquement mappées dans les DAG de Palo Alto Networks. Le résultat ? Les utilisateurs peuvent se dispenser de gérer manuellement les modifications statiques de la politique de sécurité pour les charges de travail dynamiques. Vous pouvez bénéficier de l'automatisation et éliminer l'élément humain, qui peut conduire à des configurations erronées et à des erreurs humaines lors de la mise à jour en temps réel de la sécurité de la charge de travail.

Avec Illumio et Palo Alto Networks, vous n'avez pas besoin de sacrifier la sécurité lorsque votre réseau s'étend ou évolue. Vous bénéficiez d'une mise à jour automatique des DAG dans Panorama et de vos NGFW avec un contexte de charge de travail en temps réel qui peut vous aider à économiser du temps, des efforts et des maux de tête associés à l'orchestration d'une politique de microsegmentation efficace pour vos charges de travail d'application changeantes.

Le flux de travail API entre Illumio et Palo Alto Networks

Dans Illumio Core, les charges de travail se voient attribuer les étiquettes de métadonnées Rôle, Application, Environnement et Emplacement pour fournir un contexte supplémentaire. Par exemple, les charges de travail de niveau web faisant partie d'une application de commande déployée pour le développement dans un centre de données de New York se verraient attribuer le label Role Web, Application label Ordering, Environment label Development et Location label NY_DC.

Dans Palo Alto Networks Panorama, la politique peut être créée à l'aide de groupes d'adresses dynamiques (DAG) définis par des critères de correspondance à l'aide d'étiquettes. Les changements d'adhésion à DAG sont automatiques, ce qui élimine le besoin de gestion des changements et d'approbations !

L'outil d'intégration piloté par API "Illumio-Palo Alto Networks DAG Updater" enregistre et désenregistre les charges de travail dynamiquement pendant tout le cycle de vie, y compris les changements d'adresse IP (par exemple, les migrations de VM dans un centre de données, ou les changements d'ENI sur un hôte dans le Cloud) et les changements de métadonnées (par exemple, une charge de travail réétiquetée en tant que Quarantaine). Au fur et à mesure que les charges de travail sont enregistrées et désenregistrées de manière dynamique, l'appartenance au DAG change et le bon ensemble de politiques est automatiquement appliqué aux charges de travail.

La possibilité de mettre à jour automatiquement l'appartenance à un DAG tout au long du cycle de vie d'une charge de travail permet de mettre en place des politiques centrées sur l'application qui peuvent s'étendre sur plusieurs centres de données et s'adapter facilement à des architectures à plusieurs niveaux.

Voici un exemple simple de segmentation de l'environnement entre les charges de travail du développement et de la production.

Configuration

Les charges de travail sont associées à Illumio PCE et se voient attribuer des métadonnées de rôle, d' application, d' environnement et d'emplacement à l'aide d'étiquettes :

PANimage1
Charges de travail de développement et de production de l'application de commande

Le DAG est créé à l'aide de critères correspondants Développement - toutes les charges de travail de développement :

PANimage2

Un DAG est créé en utilisant les critères de correspondance Production - toutes les charges de travail de production :

PANimage3

Politique créée à l'aide du DAG pour autoriser le trafic entre les charges de travail de développement et le trafic entre les charges de travail de production:

PANimage4
Intégration API

L'outil d'intégration fait partie de l'outil Workloader d'Illumio, qui peut être téléchargé à partir du portail d'assistance d'Illumio:

Workloader pousse les étiquettes et les adresses IP associées à chaque charge de travail gérée vers le pare-feu de Palo Alto Networks, lorsque vous émettez la commande dag-sync:

Le résultat s'affiche dans l'appartenance au DAG sur le pare-feu de Palo Alto Networks, avec les adresses IP reçues d'Illumio pour les étiquettes associées :

PANimage7

Mise à jour de la composition du DAG Développement :

PANimage8

Et c'est tout ! La meilleure partie de l'intégration est qu'au fur et à mesure que l'environnement augmente et diminue, les charges de travail sont enregistrées et désenregistrées de manière dynamique, modifiant automatiquement l'appartenance au DAG, ce qui déclenche automatiquement les politiques de segmentation de l'environnement !

Incroyable, n'est-ce pas ? Visitez le portail d'assistance d'Illumio pour télécharger l'outil d'intégration.

Sujets connexes

No items found.

Articles connexes

Sécurité des réseaux hybrides : Illumio vs. les fournisseurs de CSPM et CWPP
Partenaires & Intégrations

Sécurité des réseaux hybrides : Illumio vs. les fournisseurs de CSPM et CWPP

Ne vous laissez pas limiter par les fournisseurs de CSPM et CWPP. Choisissez Illumio pour voir et sécuriser votre réseau hybride.

Read more
Bâtissez votre stratégie de confiance zéro avec IBM Security + Illumio à la conférence RSA
Partenaires & Intégrations

Bâtissez votre stratégie de confiance zéro avec IBM Security + Illumio à la conférence RSA

Rencontrez Illumio et IBM Security au RSAC 2023 pour découvrir comment ils collaborent pour aider les organisations à renforcer leur cyber-résilience.

Read more
Illumio reçoit la cote 5 étoiles du CRN Partner Program Guide
Partenaires & Intégrations

Illumio reçoit la cote 5 étoiles du CRN Partner Program Guide

CRN a décerné cinq étoiles au programme de partenariat mondial d'Illumio pour sa technologie de pointe dans la version 2022 du CRN Partner Program Guide.

Read more
Simplifiez et automatisez la sécurité des charges de travail avec Illumio et Palo Alto Networks
Partenaires & Intégrations

Simplifiez et automatisez la sécurité des charges de travail avec Illumio et Palo Alto Networks

Les pare-feu de nouvelle génération et Panorama de Palo Alto Networks fonctionnent avec Illumio Adaptive Security Platform pour l'automatisation des charges de travail dynamiques de Palo Alto.

Read more
10 raisons de choisir Illumio pour la segmentation
Segmentation sans confiance

10 raisons de choisir Illumio pour la segmentation

Découvrez comment Illumio rend la segmentation plus intelligente, plus simple et plus solide dans le cadre de votre stratégie de sécurité Zero Trust.

Read more
Pourquoi il n'y a pas de confiance zéro sans microsegmentation ?
Segmentation sans confiance

Pourquoi il n'y a pas de confiance zéro sans microsegmentation ?

Le créateur de Zero Trust, John Kindervag, vous explique pourquoi la microsegmentation est essentielle à votre projet Zero Trust.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more