Zero Trust – a hálózatbiztonsági megközelítés [3]

Ez az írás egy több részes sorozat 4. része, az előző és következő részek hivatkozásaival folyamatosan bővítem ezt a bevezetőt.
1. rész:  Zero Trust és ami mögötte van
2. rész: Zero Trust – a hálózatbiztonsági megközelítés [1]
3. rész: Zero Trust – a hálózatbiztonsági megközelítés [2]

A mai írásomban folytatom azon gyártók áttekintését, melyek a Zero Trust állapot elérését hálózatbiztonsági irányból közelítik meg. A hagyományosan ezen a területen dolgozó gyártók megoldásairól, valamint az Okta megoldásáról már korábban írtam, és mindegyik esetben láttuk azt, hogy nem egy termékről, hanem termékek ökoszisztémájáról van szó – a hangsúly az egyes funkciók mellett a saját termékek közötti együttműködésen van.

Az Illumio ebből a szempontból különbözik a többi gyártótól, ugyanis egy megoldása van: az Adaptive Security Platform (ASP) a nevének megfelelően alkalmazkodik a különböző helyzetekhez, környezetekhez, gyártókhoz. Az Illumio taktikája, hogy a hálózatunkban jelenlévő, de nem használt tűzfalakat, az egyes hosztokon (Windows/Linux/Unix) lévő beépített tűzfalakat kapcsolja be és használja a Zero Trust elérésére.

Illumio – világítson a hálózatunk!

Az Illumio Adaptive Security Platform kialakítását a lenti ábra szemlélteti nagy vonalakban:

Forrás: https://www.illumio.com/product-architecture-adaptive-security-platform

Az Illumio a fenti ábrának megfelelően két alapvető komponensből áll:

  • Policy Compute Engine (PCE): a PCE a központi komponense a rendszernek, ez az, ahol a szabályzatokat és a beállításokat létrehozzuk. A PCE telepítésére több lehetőség is van, virtuális gépként, egy meglévő szerverre szofverként vagy pedig Cloud-os alkalmazásként is használhatjuk. Ha publikus felhőben van az infrastruktúránk, az akár egy többszörösen elosztott, régiókón át nyúló rendszer is lehet, melyet a PCE Supercluster tud támogatni.
  • Virtual Enforcement Node (VEN): a VEN alkalmazást magukra a hoszt gépeinkre, és egyes hálózati eszközeinkre kell hogy telepítsük – ez fogja gyűjteni az adatokat a futó folyamatok által használt hálózati forgalmakról (folyamatonként a forrás- és cél IP/port).
    Az így gyűjtött adatokból a PCE-ben létrejön egy élő, “világító” (innen az Illumio név) térkép a hálózatunkban folyó forgalmakról. A PCE-ben aztán létrehozunk szabályzatokat, melyeket a VEN a telepített rendszerek saját beépített tűzfalainak programozásával implementál.
    A VEN jelenleg a következő eszközökre telepíthető: Windows (Windows Filtering Platform), Linux (iptables) és AIX/Solaris (IPFilter) operációs rendszerek, konténerek, valamint egyes switchek (Cisco, Arista), load balancerek (F5) és a publikus felhők security groupjai (AWS, Azure, GCP).

Az Illumio ASP segítségével valódi mikroszegmentációt érhetünk el, tetszőleges logikai szinten valósíthatjuk meg az erőforrások szétválasztását. Akár a hagyományos szervereket és munkaállomásokat célozzuk vele, akár a konténerizációs környezetünket, szegmentálhatjuk vele az infrastruktúránkat a különböző felhasználási célok (produkció/teszt/fejlesztés), különböző alkalmazások, vagy akár különböző felhasználók szerint. Az ASP-ben a feltérképezett hálózatunk szerint tetszőleges szabályrendszert valósíthatunk meg, de tartalmaz rengeteg beépített sablont is a legelterjedtebb alkalmazások számára – segítségével egy Microsoft környezet (Active Directory, Exchange, Sharepoint, System Center, SQL Server) pár perc alatt biztonságos elérést kaphat a teljes hálózatunkról.

További funkció az ASP-ben, hogy a hosztokon nem csak a tűzfalakat, hanem az azokban lévő IPSec képességeket is konfigurálni tudjuk, és a VEN-ek létrehozzák a beállított titkosított csatornákat. Ezzel akár hoszt-hoszt közötti IPSec kapcsolatok is kiépíthetők a forgalomnak megfelelően, de a klasszikus VPN kiszolgálók irányába is tud kapcsolatokat definiálni és létrehozni.

Végül az ASP-t akár a rendszerünkben rejlő sérülékenységek vizualizálására is használhatjuk: külső sérülékenység-szkenner alkalmazásunkból (Qualys, Nessus, Rapid7, Tenable) betölthetjük az adatokat, és a térképre rákerülnek a talált sérülékenységekhez tartozó nyitott kapcsolatok.

Forrás: https://www.illumio.com/product-feature-vulnerability-maps

Összefoglalás

Az Illumio egy nagyon érdekes megoldást adott a Zero Trust problémára. Az Adatptive Security Platform úgy ad extra hálózati biztonságot, hogy nem kell radikális hálózati átalakításokat végeznünk, mert a meglévő elemeinket konfigurálja fel. Az Illumio stratégiája az, hogy a ROI-t azaz a befektetések megtérülését használja beszerzési metrikának, ami azért jó, mert sok IT biztonsági projekt épp azért hal el a tervezési fázisban, mert túl nagy költséggel járna újabb eszközök beszerzése és a hálózatba illesztése.

Az Illumio megközelítése sem ad tökéletes és teljes biztonságot a Zero Trust világban, például az Identity management vagy az API management területén más gyártóknál is érdemes keresgélni, de egy nagyon jól használható alapot ad, ami ráadásul külső API hívások segítségével jól programozható, így illeszthető egy átfogó, teljes biztonságot célzó platform kialakításakor.

3 című bejegyzés “Zero Trust – a hálózatbiztonsági megközelítés [3]” gondolatot, hozzászólást tartalmaz

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés /  Módosítás )

Google kép

Hozzászólhat a Google felhasználói fiók használatával. Kilépés /  Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés /  Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés /  Módosítás )

Kapcsolódás: %s