ブログ
/
ゼロトラストセグメンテーション

パブリッククラウド環境にマイクロセグメンテーションを導入するための 5 つのユースケース

イルミオエディトリアル
October 20, 2020
23 最小読取り

パブリッククラウドは、変化するビジネスニーズに合わせて簡単に拡張できる、オンデマンドで伸縮性のある環境を構築しました。アプリケーションは、静的なモノリシックなコードブロックから、さまざまなパブリッククラウドプロバイダー、さまざまな地域、さまざまなオペレーティングシステムでデプロイできるマイクロサービスへと移行しました。こうしたマイクロサービスは、大規模な自動化に依存しているため、リスクにさらされるリスクを軽減し、悪意のある攻撃者の横方向の移動を防止するための既存のセキュリティ慣行に課題が生じています。

の規模と範囲として サイバー攻撃 絶えず進化しており、多層防御戦略の重要な部分としてマイクロセグメンテーションを導入する組織が増えています。300 人を超える IT プロフェッショナルを対象とした最近の調査によると、45% が現在セグメンテーションプロジェクトを実施しているか、計画中です。

主要なパブリッククラウドプロバイダーはすべて独自のクラウドセキュリティソリューションを備えているため、基本的なレベルのポリシー適用も可能です。クラウドコンピューティングの規模が拡大するにつれて、パブリッククラウドプロバイダーにセキュリティグループの増員を依頼することがあるかもしれません。これにより、運用が複雑になり、ルールの肥大化によるリスクが高まります。さらに、これらのクラウド・セキュリティ・ツールはアーキテクチャ全体でサイロ化されています。各セキュリティソリューションは、サンドボックス内では他のセキュリティソリューションとうまく機能せず、すべてのセキュリティ侵害を関連付けるのは面倒な作業であり、解決に大きな遅延をもたらします。この課題の詳細については、 この投稿をチェック 同僚のクリスターから

セキュリティ管理には 進化した また、クラウドコンピューティングインスタンスをアプリケーションとビジネスプロセスのコンテキストで確認できるようになりました。これにより、ユーザーはネイティブの組み込み機能を活用してリスクをよりよく理解し、ポリシーを構築できます ステートフルファイアウォール 各コンピュートインスタンスで使用できます。

パケットが生まれたときの最初のステップは ポリシーの添付。パケットがネットワーク転送プレーンに到達するまでに、セキュリティはすでに適用されています。このアプローチにより、クラウドのセキュリティは、アクションやコントロールができる場所に非常に近いものになります。 ネットワークから独立。ネットワークとセキュリティは 切り離された 両方の長所を活かすために。

この投稿では、5つのパブリックに答えます クラウドセキュリティ 組織がマイクロセグメンテーションを検討しているときによく生じる質問。

1。クラウドセキュリティはワークロードのライフサイクル全体にわたって実施できるか?

絶対に。クラウドセキュリティ制御は、作成から終了までのライフサイクル全体にわたってワークロードに自動的に適用されます。

オーケストレーションツール (Ansible、Chef、Puppet など) を Illumio のアプリケーションプログラムインターフェイス (API) と統合することで、ワークロードは次のような組み合わせになります。 イルミオのポリシーコンピューティングエンジン(PCE)。 ペアリング中、ワークロードに関連するタグがPCEのラベルにマップされ、ワークロードはPCEのラベルを使用して作成されたセキュリティポリシーの適切なセットを継承します。ワークロードのラベルが間違っていると、ラベルを変更すると自動的に適切なポリシーが変更されます。ワークロードの IP アドレスが変更されると、PCE は新しい IP アドレスを自動的に取得します。セキュリティポリシーはネットワークから切り離されているため、これ以上変更する必要はありません。ワークロードが終了すると、PCE は適切なポリシー変更を自動的にトリガーします。

ネットワークをセグメンテーションから切り離すことで、ポリシー変更が自動的にトリガーされ、ライフサイクル全体にわたってワークロードに適切なセキュリティ制御が適用されます。セキュリティは常に重要ですが、組織がビジネスを推進するためにソフトウェアへの依存度が高まるにつれ、ビジネスリスクを最小限に抑えるためにセキュリティを適切に導入することがますます重要になっています。

2。パブリッククラウドでアプリケーションをリアルタイムで可視化することは可能ですか?

そのとおりだ。アプリケーションは孤島にあるのではありません。それらは互いに話し合い、それがビジネスプロセスの仕組みです。

アプリケーションの依存関係をリアルタイムで可視化することで、正確なセグメンテーションポリシーを推進するアプリケーションの動作を理解できます。マイクロサービスはさまざまなパブリッククラウドプロバイダーやさまざまな地域にデプロイされているため、アプリケーション中心の可視性は優れたセキュリティにとって不可欠な基盤です。

イルミオコア (以前はイルミオASPとして知られていました)はリアルタイムを提供します アプリケーション依存関係マップ イルミネーションと呼ばれ、ワークロードとアプリケーション間の通信を視覚化します。マップ上の線は、クラウドでもオンプレミスでも、ワークロード間で検出されたトラフィックフローを表します。Illumio では、接続が許可されているかブロックされているかを示すために、赤と緑に線の色を付けています。 マイクロセグメンテーション 政策。

以下のスクリーンショットは、のアプリケーション依存関係マップを示しています。 アセットマネジメント のアプリケーション プロダクション 環境。ここで、マップ上の線は、ワークロード間で検出されたトラフィックフローを表しています。Illumio では、接続がマイクロセグメンテーションポリシーによって許可されているかブロックされているかを示すために、赤と緑に線の色を付けています。緑の線は、接続を許可するポリシーが記述されていることを示します。赤い線はポリシーが存在しないことを示し、強制モードに移行すると接続がブロックされます。赤と緑の線により、セグメンテーションポリシーとポリシー違反を非常に簡単に視覚化できます。色覚異常にお悩みですか?イルミオASPはユーザーに以下を提供します 色覚障害 オプション。

ADMassetmanagement

イルミオのエージェントが バーチャルエンフォースメントノード (VEN)をワークロードにインストールし、PCEとペアにすると、可視性と適用が可能になります。VEN と PCE のペアリングは、Ansible や Terraform などのツールを使用して自動化されます。

VEN がワークロードにインストールされていない場合、で共有されているソリューションを使用する イルミオ・ラボ、お客様は、Microsoft Azure と Amazon AWS で実行されているワークロードのアプリケーション依存関係を PCE 上で視覚化できます。

3。マルチクラウド全体でクラウドセキュリティコントロールを検証できますか?

アプリケーションを壊すことなく、確かにできます。マルチクラウド環境における最大の課題の 1 つは、一貫したセキュリティがないことです。各プロバイダーは、概念的には似ていても実装が大きく異なる一連のコントロールを提供しているためです。Illumio は、セキュリティポリシーを策定する際にインフラストラクチャの知識や制御に頼ることなく、基盤となるクラウドをアプリケーションから抽象化します。

Illumioは、セキュリティ管理を検証するための2つのソリューションを提供しています。

  • イルミネーションをドラフトビューに切り替えてドラフトポリシーを視覚化し、変更をプロビジョニングしたときに何が起こるかを確認します。
  • ワークロードのポリシー状態をに切り替える テスト ルールセット内のすべてのルールを適用し、ワークロードをポリシー適用状態にしたときにブロックされるすべてのトラフィックを視覚化します。トラフィックはブロックされません。 テスト 状態。

4。サービスとしてのプラットフォーム (PaaS) でマイクロセグメンテーションは可能ですか?

はい。Illumio Labs では、Microsoft Azure SQL データベースと Amazon AWS RDS の可視化と強化を実現するソリューションを共有しています。

イルミオラボは、可視化と実施のための3つのステップを概説しています。 ここ、Azure SQL データベースサーバーを保護するサーバーレベルのファイアウォールは、PCE で定義されているセキュリティポリシーを使用してプログラムされます。

イルミオ・ラボ アウトラインも 可視化と実施のための 6 つのステップS3 バケットは、PCE で定義されたセキュリティポリシーに基づいて VPC セキュリティグループを再プログラムする Lambda 関数をトリガーするフローログの保存に使用されます。

5。Illumioは大規模なクラウドセキュリティ侵害に対応できますか?

間違いなく。セキュリティを間違えるとデータが失われる可能性があり、 データ侵害、機密データの漏えい、収益への影響、ブランドへの持続的な影響、さらにはコンプライアンスに関連する罰則まで。セキュリティは、インフラストラクチャやアプリケーション全体で見られたような進化に追いついていません。新しい方法でセキュリティに取り組み、アプリケーション環境とその保護方法についてこれまでとは違う考え方をする必要があります。

セキュリティ侵害の最大の課題の1つは、ラテラルムーブメントです。Illumioは横方向の動きを止め、爆発半径を小さくするように設計されています。設計上、イルミオは次のような設計になっています。許可リスト」モデル。つまり、あるワークロードが侵害されると、他のすべてのワークロードのセキュリティポリシーが自動的に更新され、侵害されたワークロードからのトラフィックがブロックされます。

インターネットセキュリティセンター(CIS)のセキュリティ管理イニシアチブは広く採用されており、10年以上前から存在しています。統制は最も一般的なものから導き出されています。 攻撃パターン 主要な脅威レポートで取り上げられ、政府や業界関係者の非常に幅広いコミュニティで精査されています。これらのレポートには、民間企業と政府機関のフォレンジックおよびインシデントレスポンスの専門家が集約した知識が反映されています。イルミオの機能はお客様を直接支援します。 CISベーシックに会うかサポートするか、基本および組織統制。

簡単なまとめ

マイクロセグメンテーションは、予防するための非常に効果的なアプローチです 無許可の横方向の動き あなたの組織の中で、それが重要な信条になったのは偶然ではありません ゼロトラストフレームワーク

組織がビジネスニーズに合わせて規模を拡大するにつれて、リスクにさらされるリスクを軽減し、複雑さを軽減するためには、パブリッククラウドプロバイダー全体で機能する一貫したセキュリティコントロールを構築することが重要になります。マイクロセグメンテーションの第一歩を踏み出す準備はできていますか? 30 日間の無料試用版にサインアップ

関連トピック

クラウドセキュリティ

関連記事

州および地方自治体がイルミオのゼロトラストセグメンテーションを選ぶべき10の理由
ゼロトラストセグメンテーション

州および地方自治体がイルミオのゼロトラストセグメンテーションを選ぶべき10の理由

Learn how state and local governments can leverage microsegmentation to secure their critical data, assets, and systems.

もっと読む
インフォシスのCISO、ヴィシャル・サルヴィが教えるゼロトラストのヒントベスト5選
ゼロトラストセグメンテーション

インフォシスのCISO、ヴィシャル・サルヴィが教えるゼロトラストのヒントベスト5選

インフォシスの情報セキュリティ責任者であるヴィシャル・サルヴィが、過去25年間にわたるCISOの進化とゼロトラストのヒントについて語ります。

もっと読む
ゼロトラストセグメンテーションはクラウドレジリエンスに不可欠
ゼロトラストセグメンテーション

ゼロトラストセグメンテーションはクラウドレジリエンスに不可欠

ゼロトラストセグメンテーションがクラウドにおけるゼロトラストイニシアチブの重要な部分である理由をご覧ください。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく