#102 Micro-segmentazione basata sull'identità con Elisity
Subscribe to get the latest
on 2022-08-25 00:00:00 +0000
with Darren W Pulsipher, Dana Yanch, Dan Demers,
Nella parte 2 della sicurezza con Elisity, Darren discute le soluzioni di micro-segmentazione basate sull'identità con Dana Yanch, Direttore del Marketing Tecnico, e Dan Demers, Architetto Tecnico.
Keywords
#networksecurity #microsegmentation #cloudnative #cloudsecurity #virtuallocalareanetwork #operationaltechnology #datasecurity #zerotrust #cybersecurity #technology #policy
Nella seconda parte di Security with Elisity, Darren discute delle soluzioni di micro-segmentazione basate sull’identità con Dana Yanch, Direttore del Marketing Tecnico, e Dan Demers, Architetto Tecnico.
L’approccio di Elisity alla sicurezza di rete si differenzia dalle architetture tradizionali per il modo in cui viene fornito, distribuito su tutta la rete e svolto in modo efficiente, offrendo un valore di tempo rapido. Si sono concentrati nel renderlo il più semplice, intuitivo ed efficace possibile, in modo che qualsiasi settore industriale possa sfruttare la tecnologia.
La chiave della tecnologia di Elisity è la micro-segmentazione, che significa la capacità di isolare completamente qualsiasi utente, dispositivo o applicazione, indipendentemente dal tipo di rete su cui si trova, dalla sua posizione nella rete o se è gestito o non gestito. In altre parole, è flessibile nell’isolare un elemento da un altro senza restrizioni imposte dall’architettura di rete o da costrutti come VLAN o VRF.
I sistemi tradizionali di micro-segmentazione che richiedono la sostituzione dell’hardware o l’istantanea di un’apparecchiatura in loco possono richiedere mesi o anni per essere impostati e attivi. Tuttavia, Elisity fornisce la funzionalità completa entro una settimana passando a una piattaforma di micro-segmentazione nativa del cloud e consegnata tramite cloud. L’intero controllo della gestione e delle politiche viene erogato interamente tramite cloud, e il componente che si connette alla vostra rete in loco è al 100 percento software. Non è necessario modificare nulla in loco, in quanto si basa sulla vostra infrastruttura esistente. È facilmente scalabile, gestibile e distribuito in modo dinamico.
Elisity offre anche una soluzione on-premise per lo spazio OT, dove le organizzazioni possono mantenerlo dietro la propria DMZ e interrompere tutti gli accessi.
La piattaforma di Elisity è un microservizio nel senso di scalabilità orizzontale. Puoi iniziare in modo piccolo e aggiungere 10.000 elementi alla rete e scalare con te, sia che tu sia in locale o nel cloud. È completamente automatizzata su tutta la rete. C’è poca frizione ed è facile da gestire nel lungo termine.
Una differenza significativa tra la piattaforma di Elisity e altre reti overlay è che Elisity si occupa del piano di controllo e delle politiche anziché del piano dati. Può applicare lo stesso livello di granularità della sicurezza di rete senza toccare alcun pacchetto. Indica dinamicamente alla rete chi può comunicare con chi in base agli attributi e alle identità trovate nella rete.
Un triangolo di utenti, applicazioni e dispositivi è un ottimo modo per visualizzare questo concetto. All’interno di quel triangolo ci sono tutte le linee di comunicazione tra le varie entità. Elisity può proteggere ogni singola linea, o canale, tra utenti, applicazioni e dispositivi in modo granulare. Questo avviene a livello di controllo di rete. Nel momento in cui il traffico raggiunge il primo punto di accesso, viene protetto.
La sicurezza è indispensabile a livello di rete e non a livello di applicazione perché potrebbero esserci decine di migliaia di dispositivi nella tua rete su cui non è possibile installare un agente o modificarli, poiché dispongono di sistemi operativi incorporati, telecamere, lettori di badge e persone. Questo è particolarmente importante nel settore OT.
Con OT, l’attenzione è rivolta all’affidabilità e all’integrità. Le cose devono continuare a funzionare in modo sicuro perché il processo potrebbe rappresentare un’infrastruttura critica. Questo è diverso dall’IT, dove è possibile mettere in quarantena e avviare una nuova istanza se c’è un’intrusione. OT è una mentalità diversa. Dove qualcosa potrebbe esistere nell’IT per sei mesi o un anno, qualcosa in OT potrebbe esistere per 20 anni. Spesso, queste infrastrutture vengono mantenute o aggiornate ogni pochi anni o vengono lasciate inattive fino a un evento di errore. La sicurezza equivale a limitare la connettività. Ad esempio, se sei in una VLAN, ciò non significa che tu debba parlare con un RTU, un sensore, un HMI o un DCS che si trovano a un solo switch di distanza. Nel design legacy, se queste cose sono nella stessa VLAN, non c’è un modo efficiente e flessibile per impedire loro di connettersi.
Con il sistema di Elisity, si impostano le politiche in base alle cose che si raggruppano o agli attributi assegnati agli asset, anziché esaminare ogni singolo elemento. Ciò può essere semplice come raggruppare tutti i processi in modo che possano comunicare solo nord/sud, non est/ovest, oppure, ad esempio, consentire ai responsabili di linea di condividere con sei o sette tipi di cose. Due o tre politiche possono rapidamente ridurre la tua superficie di attacco da 65.000 porte potenziali a due o tre.
Un caso d’uso comune nelle reti OT è quando un fornitore effettua un aggiornamento su un dispositivo, è necessario consentirgli l’accesso e hanno accesso all’intera rete. Con Elisity, puoi facilmente concedere loro l’accesso per un tempo limitato e consentire loro di toccare gli asset fissi.
Supponiamo che tu desideri conoscere di più sulla tecnologia di Elisity. In tal caso, molte risorse, tra cui video, white paper e documenti, spiegano come funziona la soluzione e come può essere applicata entro una settimana nella tua rete su Elisity.com.
Controlla l’episodio precedente di questa serie qui.