In vielen Unternehmen wird die Segmentierung größerer Netze in Form von VLANs vorgenommen wird; bei dieser Technik entscheiden die Switches anhand von Mac-Adressen, wer mit wem kommunizieren darf. Wenn man das nun per Software ohne Mitwirkung von 802.1q erledigen will, dann muss man auf den Clients ein Stück Software installieren und das klinkt sich ins Software-basierte Segmentnetz ein. Illumio erstellt Netzwerkregeln auf den Open Systems Interconnection (OSI)-Layers 3 und 4. Wir installieren einen Agenten auf jedem Gerät, der diese Firewall-Regeln orchestrieren wird. Zur Durchsetzung nutzen wir die integrierte Betriebssystem-Firewall, einen skalierbaren und leistungsfähigen zustandsbasierten Paketfilter.
Für welche Plattformen gibt es diese Software?
- Amazon Linux AMI
- CentOS
- Debian
- Oracle Linux with Red Hat kernel
- Oracle Linux with UEK kernel
- Red Hat Enterprise Linux (RHEL)
- SUSE Linux Enterprise Server
- Ubuntu
- Windows
Was passiert, wenn ein Benutzer die Software (z.B. unter Windows mit dem Taskmanager) „abschießt“? Hat er dann freien Netzzugang ohne Berechtigungsbeschränkungen? Illumios Software wird die Änderungen des Angreifers sofort rückgängig machen. Zu beachten ist, dass diese auch die empfangende Seite der Verbindung überwacht. Sollte ein Agent manipuliert oder nicht voll funktionsfähig sein, kann die Illumio ZTS-Plattform diesen Agenten automatisch aus den Kommunikationsprozessen entfernen oder ihn in Quarantäne versetzen.
Gerade in schon lange durchorganisierten Netzen muss eine sich unterscheidende Verwaltungsart ins vorhandene Management eingepasst werden können, dazu wäre es natürlich sinnvoll, wenn die Software-Lösung in irgendeiner Form mit managebaren Switches kooperieren würde. Illumio Software kann Richtlinien für ToR (Top of Rack)-Switches in verschiedenen Formaten erstellen. Diese Funktion nutzt der Hersteller für Geräte, die nicht durch seine Software-Agenten unterstützt werden können. Es wird keine VLAN-Konfiguration verändert; es handelt sich ausschließlich um L3/L4-Richtlinien, wodurch die Lösung unabhängig von der Netztopologie ist.