次のレベルのビジュアライゼーションとポリシー作成 — イルミネーション 2.0

2014年、Illumioはマイクロセグメンテーションのためのリアルタイムのアプリケーション依存関係マッピングと可視化を開拓しました。 イルミネーション。Illumio Adaptive Security Platform (ASP) を立ち上げたとき、私たちは、アプリケーション依存関係マップがなければ、組織がブラウンフィールドアプリケーションのセグメンテーションポリシーを構築することはできないと考えていました (Illumio CTO の PJ Kirner は、なぜセキュリティ用のマップが必要なのかを説明します)。 最近のブログ投稿で)。

最初のバージョンから現在に至るまで、イルミネーションは組織がトラフィックフローの可視性を利用してマイクロセグメンテーションポリシーを構築し、テストし、アプリケーションごとに実施に移す方法を提供してきました。

可視性の進化

Illuminationの最初のバージョンでは、中央セキュリティチームがアプリケーションフローを分析し、ホワイトリストラベルベースのルールを手動で追加して許可することができました。唯一の目標は、顧客がマイクロセグメンテーションポリシーを構築できるようにすることでした。イルミネーションのすべてのワークフローは、その単一の目標に焦点を当てていました。私たちが最初にイルミネーションを思いついたとき、私たちはお客様が限られた数のワークロードをペアリングしてポリシーを構築し、それらのワークロードをエンフォースメントに移行するだろうと考えていました。

多くのお客様がイルミネーションを使用してデータセンターとクラウドインフラストラクチャをセグメント化しているため、最初に出荷してからわかったことは次のとおりです。

1. ポリシーの作成は本当に、本当に難しい場合があります。 イルミネーションにより、セキュリティチームはトラフィック接続を1つずつ分析し、有効なフローを使用して、Illumioのホワイトリストラベルベースのポリシーモデルにルールを追加することができました。アプリケーションは非常に相互接続されており、数千のワークロードから成る数百のアプリケーションだけでも、分析が必要な固有の接続は数百万件に上ることがわかりました。そのための最善の方法は、それらの接続を許可するポリシーを自動的に生成することです。この方法には、許可すべきでない接続が許可されてしまうリスクがあります (後述しますが、これに役立つツールがあります)。ただし、この時点以降、お客様は横方向の移動を制限できます。 そして ポリシー違反を即座に検出します。
   
2. 一元的なポリシー作成が常に機能するとは限りません。 Illuminationのワークフローは、中央セキュリティチームがインフラストラクチャ全体のマイクロセグメンテーションポリシーを構築するのに役立つように設計されました。しかし、マイクロセグメンテーションポリシーの構築は、そのアプリケーションを理解しているアプリケーションチームに任せない限り困難で時間がかかることを学びました。(近日公開予定:当社の元製品担当副社長である Matthew Glenn が、セグメンテーションを組織と連携させることについてのブログ記事を掲載しています。今後もご期待ください。よく読み進められます)。
   
3. 可視化はコンプライアンスやセキュリティ業務に使用できます。 私たちが最初に出荷したとき、イルミネーションの可視性がマイクロセグメンテーションポリシーの作成を後押ししました。しかし、ラベルとポリシーのコンテキストをトラフィックに追加すると、この可視性はコンプライアンス/監査チームとセキュリティ運用チームにとって非常に有益になりました。コンプライアンスチームは可視性を利用してレポートを生成し、監査人がより迅速かつ効率的に仕事を終えることができるようにします。セキュリティ運用チームは可視性を利用してポリシー違反を迅速に発見し、脅威を検出し、それらの脅威により効果的に対応します。
   
   実際、Illumioの顧客の中には、Illumioの可視性によってWannaCryの影響を受けたホストを検出できた人もいました。ポリシーに違反してSMBポートに接続しようとしたホストは、すぐに追跡され、修正されました。また、データセンターのサーバーの一部がSpotifyの音楽を聴いていて、Facebookに最新情報を投稿していることに気付いたお客様もいました。そうしたつながりを発見したときには、彼らの表情を見ればよかったはずです。

私たちは常にお客様の声に耳を傾け、お客様から学んでいます。昨年、アプリケーションチームが Illumio を使用し、自分たちにとって重要なアプリケーションとワークロードのみに集中できるようにするために、App Group Maps を追加しました。本日、イルミネーション 2.0 の傘下にある以下の新機能を発表できることを嬉しく思います。

新機能、高度な可視性

ポリシージェネレーターの紹介

何年にもわたる顧客からのフィードバックと教訓は、ポリシーに関する重要な洞察に取って代わられました。

• 大規模な環境でポリシーをフローごとに記述することは、実際にはスケーラブルではありません。（競合他社がフローバイフローでそれをどのように行っているかを証明したい場合は、 このビデオを見る)。
• 一元化されたセキュリティチームは、アプリケーションの仕組みの詳細を常に把握しているわけではありません。セキュリティポリシーを作成するときに、フローが正しいか間違っているかを検証できませんでした。そのため、ポリシーの作成をアプリケーションの詳細を把握しているアプリケーションチームにまで広げたいという要望が高まっています。
• アプリケーションチームは、アプリケーションをどのように保護すべきかについて意見を持っているかもしれませんが、セキュリティポリシー (ファイアウォールルールなど) の作成経験がありません。アプリケーションチームにセグメンテーションポリシースクールを実施させることは実際には選択肢ではありません。

そのため、ポリシージェネレーターを作成しました。

1 つのアプリケーション内でセキュリティポリシーを使用しないアプリケーションの依存関係。

マイクロセグメンテーションに関するセキュリティポリシーの推奨事項

1 つのアプリケーションでのセキュリティポリシーの適用。

Policy Generatorは、マイクロセグメンテーションポリシーの作成に必要な時間、トレーニング、リソースを大幅に削減します。

カスタムビルドのアルゴリズムとネットワークトラフィック履歴を使用して、ラベルベースのマイクロセグメンテーションポリシーを自動的に生成します。Policy Generatorを使うと、アプリケーション、アプリケーション層、あるいはポート/プロトコルのレベルまで、お客様が希望する細分化レベルを調整できます。必要なレベルのポリシーが選択されると、Policy Generatorは適合するマイクロセグメンテーションポリシーを数分で自動的に生成します。さらに、マイクロセグメンテーションポリシーは自然言語であり、どのアプリケーションチームも読んで理解できるものです。

ポリシージェネレータはロールベースのアクセス制御で使用できます (RBAC）ポリシーの作成をそれぞれのアプリケーションチームに委任します。セキュリティチームは、アプリケーションチームが作成したポリシーを実稼働環境に移行する前に最終チェックを行うことができるため、ポリシーがソフトウェア開発ライフサイクル (SDLC) に従うことができます。

Policy Generatorを使用すると、大規模な組織は、時間とリソースを大幅に削減しながら、完全にマイクロセグメント化されたデータセンターとクラウドインフラストラクチャにアクセスできます。

また、お客様はセグメンテーションポリシーを繰り返し策定できます。たとえば、組織は初期のマイクロセグメンテーションポリシーを作成できます。数週間または数か月後に、Policy Generatorを再度実行して新しいフローに対応するポリシーを生成したり、細分性を調整してポリシーをポート/プロトコルレベル（別名、ナノセグメンテーション）にまで絞り込んだりできます。

エクスプローラーの紹介

Explorer により、お客様にまったく新しい次元のビジュアライゼーションを提供できるようになりました。お客様が、なぜフローが発生しているのかを疑問視し、「これは他の場所で起こっているのか」といった質問をするようになりました。その後、他にどこで発生しているのか (もしあったら) を顧客に見せました。次の質問は、「他に何が足りないのか？」でした。

それが私たちがエクスプローラーを作った理由です。

Explorer を使用すると、セキュリティ、運用、コンプライアンスチームがトラフィッククエリを作成できます。これまで見てきた例をいくつかご紹介します。

• コンプライアンスチームは、Explorer ツールを使用して PCI 環境に流入する接続のリストをすばやくダウンロードできます。その後、そのレポートを QSA に提出して QSA に合格させることができます。 PCI 監査。
• セキュリティ運用チームは、SSHとデータベースポート上の「Dev」環境と「Prod」環境間のすべてのトラフィックフローを確認して、アプリケーションチームに接続の正当性を確認してもらうことができます。
• 運用チームは、「2 つの異なるデータセンターのサーバー間のすべてのフローについて教えてください」などの質問を投げかけることができます。これを使用して、リモートアプリケーションの依存関係を特定したり、データセンターの停止がアプリケーションの可用性全般に影響する可能性があるかどうかを判断したりできます。
  

組織はExplorerを使用して何百万ものフローから「干し草の山の中の針」を見つけ、隠れたポリシー違反やセキュリティ上の脅威を特定しています。

Explorerを使用すると、ユーザーはまったく異なる方法でトラフィックにアプローチできます。ユーザーは、平行座標マップ (下図) を使用して、任意のラベルセットに関連するトラフィックを確認できます。これにより、ユーザーは平行座標マップ上のポイントを「クリック」して目的の交通量に移動できます。その後、フローのリストを CSV にダウンロードし、ソースと宛先の両方の接続にラベルコンテキストを含めることができます。また、Explorer は各接続にポリシーのコンテキストを追加して、その接続がポリシーで許可されているかどうかをすばやく通知します。

ポリシー違反やセキュリティ上の脅威を特定します。

PCI 環境へのすべての通信を表示します。

PCI アプリケーションのトラフィックについて質問してください。

VMWorld 2017でライブ配信を観よう

3年前に、アプリケーションの依存関係をリアルタイムでマッピングし、セグメンテーションを可視化するために、この取り組みに乗り出しました。それ以来、マイクロセグメンテーション市場の他のベンダーは、可視性とアプリケーション依存関係マッピングの重要性を認識してきました。昨年、ほとんどの企業が、ソリューションを構築または購入することで製品のギャップを埋めようとしました。他の企業もその道のりの始まりにありますが、IlluminationにPolicy GeneratorとExplorerを追加することで、可視性を新たなレベルに引き上げることができることを嬉しく思います。

Illumination 2.0を使用すると、組織はこれらの可視化機能を使用して、データセンターとクラウドインフラストラクチャをより効率的にマイクロセグメント化して保護できると同時に、この可視性を運用、コンプライアンス、およびセキュリティに利用できるようになります。 セキュリティオペレーション ワークフロー。

VMworld 2017 では、これらの新機能を紹介する予定です。ショーにお越しの場合は、ブース #800 に来てライブデモをご覧ください。