コンテナの謎を解き明かす:サービスメッシュとは何か、そしてそれをどのように保護するか?

、

July 17, 2024

23 最小読取り

‍ガートナー® は次のように予測しています。「2029年までに、世界の組織の 95% 以上がコンテナ化されたアプリケーションを本番環境で実行するようになり、これは2023年の 50% 未満から大幅に増加しています。」*

コンテナは今日の環境における主要なテクノロジーであり、その使用量は指数関数的に増加しています。しかし、このテクノロジーには名前空間、ポッド、CNI プラグイン、サービスメッシュなど独自の用語もあり、慣れていない組織にとっては気が遠くなることがあります。

このように広く使われている組織にとって、テクノロジーを理解することは重要です。このブログ記事では、周囲のテクノロジーについてわかりやすく説明します。具体的には、サービスメッシュとは何か、なぜサービスメッシュがコンテナのデプロイにとって価値があるのかを詳しく説明します。

Black and white clouds above an interstate interchange

サービスメッシュとは

まずは基本から始めましょう。サービスメッシュとはどういう意味ですか?

サービスメッシュは重要なインフラストラクチャ層です。複数のシステム上で同時に実行される分散アプリケーション内のサービス間の通信を管理します。サービスメッシュは既存のものの上に重ねて表示されます。コンテナサービスまたはマイクロサービス間の通信を管理するデプロイメント。

アプリケーションが拡大し、マイクロサービスの数が増えるにつれて、そのパフォーマンスを監視することは困難になります。サービスメッシュはこの課題の解決に役立ちます。

サービスメッシュを探す場合、市場には多くの選択肢があります。ここでは、最も一般的なものをいくつかご紹介します。

イスティオ

リンカード

コンサル・コネクト

サービスメッシュはどのように機能しますか?

サービスメッシュは、サイドカー (同じポッド内のメインアプリケーションコンテナと一緒に動作するセカンダリコンテナ) を挿入することで機能します。これはサポートするランタイムとは無関係に存在します。これらのサイドカーはすべてメッシュで接続されています。デプロイすると、すべてのポッドをリンクさせるのに役立ち、下の画像のようになります。

A green and blue diagram of how a service mesh works

サービスメッシュを使用する理由

サービスメッシュは、コンテナのデプロイメントを管理するのに役立つ主要な機能を提供します。主な利点の 1 つは、アプリケーションの通信に役立つことです。

サービスメッシュは、通信を管理することで、サポートしているアプリケーションが正しく機能することを保証します。これは以下の機能によって実現されます。

‍サービスディスカバリー: 他のサービスを検出し、それに応じてメッシュを介してリクエストをルーティングします。
‍負荷分散: トラフィックをサービスのインスタンス全体に均等に分散します。
‍セキュリティ: アクセスを認証して承認し、データを暗号化します。 ‍
オブザーバビリティ: モニタリング用のメトリクス、ログ、トレースを収集します。 ‍
交通管制: サイドカーを使用すると、ルーティングとリトライをきめ細かく制御できます。

サービスメッシュのサイバーセキュリティリスクとは

サービスメッシュは以下を支援するために重要ですクラウドデプロイスムーズに走れしかし、それらはサイバーセキュリティの脆弱性になる可能性があります。その理由は次のとおりです。

‍複雑さ: セキュリティメッシュの主な利点の 1 つは、通信と制御のレイヤーが増えることです。この複雑さは、セキュリティチームの混乱を招き、セキュリティギャップの拡大にもつながります。これにより、攻撃者は弱点を見つけて悪用しやすくなります。 ‍
設定ミス: サービスメッシュを正しく設定するのは難しい場合があります。正しく行わないと、サイバー攻撃を受けやすくなります。‍
限定範囲: サービスメッシュはコンテナ専用で、ハイブリッドマルチクラウドシステムの残りの部分は除外されます。このシステムのどこかが保護されていないと、攻撃者がネットワーク全体に侵入する侵入口になる可能性があります。 ‍
新技術: サービスメッシュは比較的新しいため、まだ発見されていない未知の脆弱性がある可能性があります。たとえ発見されても、ベンダーが修正プログラムを構築し、チームがそれを実装するには時間がかかることがあります。

イルミオゼロトラストセグメンテーションでサービスメッシュを保護

サービスメッシュとは何か、なぜそれが重要なのかを理解したところで、それを保護する方法について説明しましょう。

オプションを検討する際には、コンテナのデプロイとその基盤となるテクノロジーだけでなく、それがハイブリッド環境にどのように拡張されるかについても考えることが重要です。

ハイブリッドマルチクラウド全体をサイロ化せずにサイバー攻撃から保護するにはどうすればよいでしょうか。どのようにコントロールしていますか？横方向の動き?

とイルミオのゼロトラストセグメンテーションプラットフォーム次のことができます。

‍セキュリティポリシーを一貫して管理: メッシュをデプロイして、コンテナクラスター内のポッド間のトラフィックを暗号化します。次に、Illumio を使用してクラスターに出入りするすべてのトラフィックを強制します。
‍クラスター間の横方向の動きを防ぐ:Illumioは基盤となるホストとより広範なハイブリッド環境を保護します。これにより、データセンターからクラウド、コンテナに至るまで、一貫したセキュリティポリシーが保証されます。 ‍
攻撃者からのプロアクティブな保護:攻撃者はサイドカープロキシをバイパスして、サービスメッシュの外にトラフィックを送信できます。Illumio では、攻撃者が他のワークロードにアクセスするのを防ぐことで、これを阻止できます。

お問い合わせその方法を学ぶにはイルミオゼロトラストセグメンテーションプラットフォーム次の潜在的なクラウド攻撃からの保護に役立ちます。

*ガートナー、A. チャンドラセカラン、W. 桂島（西暦24年、1月22日）。コンテナーと Kubernetes に関する CTO 向けガイド:よくある質問トップ 10Gartner.com。https://www.gartner.com/en/documents/5128231。GARTNERは、米国および海外におけるGartner, Inc. および/またはその関連会社の登録商標およびサービスマークであり、ここでは許可を得て使用しています。すべての権利は留保されています。