DevOpsがマイクロセグメンテーションを気に入る5つの理由

インフラストラクチャとセキュリティチームがマイクロセグメンテーションを導入したい場合、アプリケーションコミュニティは提案された変更のスピードと安全性に敏感であるため、セキュリティの強化にはそれほど反対しません。安全性に関する懸念は、適切なテストによって満たされます。しかし、多くの組織では、ファイアウォールやセグメンテーションポリシーの調整に数日または数週間かかる予想時間があります。DevOps チームにとって、このようなタイムラインはほとんど理解できません。サーバーの構築は数秒で完了します。ポッド全体が数分でデプロイされます。API の一括操作は、複雑なデータを毎日手作業で入力するよりも簡単です。

幸いなことに、マイクロセグメンテーションにはDevOpsチームにとって5つの大きなメリットがあります。

1。マイクロセグメンテーションは共有メタデータから実行されます。

従来のファイアウォールルールではIPアドレスが使用されますが、DevOpsの自動化ではメタデータと抽象化が優先されます。マイクロセグメンテーションはセグメンテーションポリシーを以下のように抽象化します。 ラベルまたはタグ。これらのラベルはマイクロセグメンテーション・ポリシー・エンジンで作成されるのではなく、CMDB、ホスト名規則、IP 管理システム、その他のプログラム・ソースといった標準的な企業情報源から導き出されます。

セグメンテーションがアプリケーション自動化と同じメタデータソースで実行される場合、セグメンテーションを自動化されたワークフローに簡単に組み込むことができます。

2。マイクロセグメンテーションは動的なポリシー自動化を実現します。

セグメンテーションポリシーが共有メタデータに抽出されると、マイクロセグメンテーションが行われます ポリシーエンジン 結果のルールを計算、配布、収束させるという面倒な作業をすべて行います。これにより、マイクロセグメンテーションは、他のアプリケーションサービスと同じように呼び出せる自動化可能なアプリケーション機能に効果的に変わります。

さらに良いことに、質の高いマイクロセグメンテーションポリシーエンジンは、基盤となるIPアドレスまたはラベルへの変更を追跡し、必要なポリシーを自動的に維持します。こうすることで、マイクロセグメンテーションは宣言型になり、個別のルールを指定するという必須要件に縛られなくなります。自動化によってポリシーの希望が特定され、ポリシー・エンジンが必要なルールを作成して常時かつ継続的に最新の状態に保ちます。

3。マイクロセグメンテーションは既存のランブックに簡単に挿入できます

主要なマイクロセグメンテーションベンダーは、40～12万の範囲で完全に自動化された導入事例を挙げることができます。これらの完全に自動化されたデータセンター内では、インフラストラクチャ全体が数週間ごとに、多くの場合数分で再インスタンス化されるのが一般的です。マイクロセグメンテーションをアプリケーションとポッドの自動化に組み込むことで、必要なすべてのネットワーク接続を必要なときに利用できるようにすることができます。

大規模なデータセンターの再構成中でも、マイクロセグメンテーションポリシーエンジンは、すべてのワークロードとすべてのコンテナを指定されたポリシーに合わせて維持します。セグメンテーションが迅速にインスタンス化され、ポリシーの配布がリアルタイムで行われると、厳密なマイクロセグメンテーションポリシーによって各アプリケーションサービスが保護されている場合でも、DevOps の運用手順はスムーズかつシームレスに流れます。
 

4。マイクロセグメンテーションは場所に依存しません

優れた自動化コードは十分な抽象化が可能なため、複雑なタスクを高速化できます。自動化が十分に抽象化されていれば、アプリケーションをクラウドで実行するかデータセンターで実行するかは、ほとんど重要ではありません。

マイクロセグメンテーションでは IP アドレスが抽象化されるため、セグメンテーションでも場所が重要ではなくなります。アプリケーションの半分をクラウドに配置できます。ある VPC から別の VPC に移動できます。物理的な場所や住所は問題ではなくなります。このように、マイクロセグメンテーションによって、DevOps チームが望むのと同じ場所やインフラストラクチャへの独立性が実現します。
 

5。マイクロセグメンテーションはアプリケーションアーキテクチャに依存しません

ベアメタルサーバーで実行されるアプリケーションもあれば、仮想マシンで実行されるアプリケーションもあれば、コンテナーで実行されるアプリケーションもあります。アプリケーションの中には、間もなく一方から他方に移行するものもあります。マイクロセグメンテーションは、アプリケーションのアーキテクチャやデプロイ方法に関係なく同じように機能します。

高品質のマイクロセグメンテーションソリューションがサポートします コンテナとクベルネット 物理データベースサーバーをサポートするのと同じくらい効果的です。アプリの半分がコンテナ化され、残りの半分がベアメタルのままであっても、同じポリシーが機能します。ロケーションの場合と同様に、ポリシーが十分に抽象化され、適用ポイントが利用可能になったら、マイクロセグメンテーションはレガシー、現行、次世代のアプリケーションアーキテクチャ全体で機能します。

DevOpsチームのメンバーにとって、マイクロセグメンテーションは待ち望んでいたセキュリティ戦略です。マイクロセグメンテーションは迅速に機能します。規模が大きく、しかも間違いなくスピードとスケールで機能します！マイクロセグメンテーションでは、アプリケーションの自動化にすでに使用されているものと同じメタデータと抽象化が使用されます。

強力なポリシーエンジンと組み合わせることで、セグメンテーションをアプリケーションに自動化する標準的な「サービス」となる動的なポリシー自動化レイヤーが作成されます。マイクロセグメンテーションをランブックに組み込むことで、インスタンス化から削除まで確実にセグメンテーションを行えるようになります。

マイクロセグメンテーションのため デカップルセグメンテーション IP アドレスなどのインフラストラクチャ概念から、幅広い適用に必要な場所やアプリケーションアーキテクチャの独立性を実現しています。セキュリティを DevOps チームと同じくらい迅速に進める必要がある場合、マイクロセグメンテーションは必要な機能を提供します。

詳細については、ビショップ・フォックスの調査レポートをダウンロードしてください。 マイクロセグメンテーションの有効性：評価報告書。