セグメンテーションソリューションを購入する前に尋ねるべき5つの質問

今日の多くのセグメンテーション ツールは、高速、柔軟性があり、操作が簡単であると主張しています。それは良いことだ。セキュリティは不必要に複雑になってはなりません。  

しかし、意図的で安全なシンプルさと、表面下に妥協を隠しているシンプルさには違いがあります。  

ますます複雑化するゼロ トラスト アーキテクチャに移行する組織が増えるにつれて、表面的な容易さを超えて、セグメンテーション ソリューションの内部で実際に何が起こっているかを評価することが重要になります。  

この記事では、セグメンテーション ソリューションを評価する際にすべての購入者が尋ねるべき 5 つの重要な質問と、妥協することなくシンプルさを実現するために Illumio がどのようにセグメンテーションに取り組んでいるかについて説明します。

1. あなたのネットワークを実際に制御しているのは誰ですか?

一部のセグメンテーション ツールは、ポリシー サーバー、制御ゲートウェイ、適用アプライアンスなどの集中型コンポーネントに依存して、環境全体にポリシーを適用します。  

多くの場合、これらのシステムではワークロードへの完全な管理アクセス権が必要であり、次のようなプロトコルを使用して変更を適用します。

• リモート プロシージャ コール (RPC)
• Windows リモート管理 (WinRM)
• セキュアシェル（SSH）

この種の設計は重大なリスクを生み出します。中央コントローラが侵害された場合、攻撃者は接続されているすべてのシステムへのシェル アクセスを取得できます。ポリシーを変更または無効化したり、保護を削除したり、ネットワーク内を横方向に移動したりする可能性があります。  

攻撃を阻止することを目的としたものが、攻撃者にとって最も強力なツールになります。

これらの高権限アーキテクチャでは、過度の信頼が 1 か所に集中します。単一のシステムがこれほど多くの制御権を持つ場合、それはセキュリティ上のボトルネックになるだけでなく、重要度の高いターゲットにもなります。

Illumio はこのリスクを完全に回避します。当社のポリシー コンピューティング エンジン (PCE) は、ワークロードとの通信を開始することはありません。ログインする必要がなく、管理者の資格情報も必要ありません。

代わりに、 Illumio の軽量エージェントである Virtual Enforcement Node (VEN) が PCE にアクセスしてポリシーを取得します。これらはローカルで強制実行され、トラフィック データが報告されますが、着信アクセスや集中管理は必要ありません。

システムの一部が侵害された場合でも、Illumio は被害を最小限に抑えるように設計されています。ポリシーは改ざんできず、攻撃者はプラットフォームを使用してより深いアクセス権を取得することはできません。

Illumio を使用すると、分散型で回復力があり、ゼロ トラストの原則に違反するのではなくそれに従うように構築された侵害封じ込めを実現できます。

2. 実際に何をセグメント化しているのか確認できますか?

可視性のないセグメンテーションは単なる推測に過ぎません。  

一部のプラットフォームでは、観測されたトラフィック パターンに基づいてルールが自動的に生成されます。しかし、ワークロード間でリアルタイムに何が起こっているかについては、ほとんどわかりません。  

可視性がなければ、そのトラフィックが正常か、必要なものか、あるいは悪意のあるものかをどうやって知ることができるでしょうか?

これらの自動ルールが正当な動作ではなく攻撃者の動きに基づいている場合、知らないうちに横方向の移動の経路を開いてしまう可能性があります。プラットフォームは脅威を阻止するのではなく、脅威の拡大を助長します。

リアルタイムのフロー ログ、トラフィック マップ、アプリケーション依存関係データがなければ、チームはポリシーの機能を理解せずに承認することになります。  

その結果、3 つの誤った選択が生じます。  

• リスクを盲目的に受け入れる
• 各ルールを手動で検証するのに何時間もかかる
• 何かを壊してしまうかもしれないという恐怖から変更を避ける

これらのパスはどれも安全ではなく、どれも拡張可能ではありません。

Illumio は、データ センター、エンドポイント、パブリック クラウド、ハイブリッド インフラストラクチャなど、環境全体のあらゆる接続をリアルタイムで可視化します。どのワークロードが通信しているかを確認し、その理由を理解し、不要なトラフィックや危険なトラフィックを識別できます。

Illumio は、フロー ログとアプリケーション依存関係マッピングを組み込んでおり、よりスマートなポリシーの設計、より迅速な対応、そして自信を持ってセグメンテーションを実施できるよう支援します。  

3. 解決策は本当に単純なものか、それとも重要なステップを省略しているだけか?

セキュリティのシンプルさは、隠れたトレードオフがない場合にのみ機能します。

一部のプラットフォームでは、エージェントの展開を省略したり、統合手順を削減したりすることで高速化を実現していると主張しています。しかし、内部的には、コンテキスト認識型のラベル付け、スケーラブルなポリシー設計、重要なアプリケーションを隔離する機能などの主要な機能が削除されています。  

これらは、強力で一貫性があり、スケーラブルなセグメンテーションを構築するために不可欠です。

一見速くて簡単に見えるものも、長期的なセキュリティと制御を犠牲にしなければならないことがよくあります。時間の経過とともに、ポリシーを適応、拡張、または検証する能力が失われます。

Illumio はシンプルですが、決して不完全ではありません。脆弱な IP ベースのルールの代わりに、明確で直感的なラベルを使用してポリシーを構築できます。これらのポリシーは、環境全体に自動的に適用され、完全なバージョン管理と監査可能性を備えて安全に更新できます。

また、複数のサイロ化されたツールを使用する複雑さがなく、従来のワークロード、コンテナ、クラウドネイティブ アプリケーション、運用テクノロジー (OT)、ハイブリッド環境をサポートする単一のプラットフォームを通じてこれらすべてを管理することもできます。

Illumio では、シンプルさを重視し、どこでも機能し、簡単に適応し、完全な制御を可能にする侵害封じ込めを実現します。

4. アーキテクチャはゼロ トラストに準拠していますか?

ゼロ トラストの本質は、暗黙の信頼を排除し、すべてのアクセス試行を継続的に検証することです。

しかし、ゼロ トラストをサポートすると主張するすべてのソリューションがそれらの原則に従っているわけではありません。  

一部のツールは、ワークロードへの無制限のインバウンド アクセスに依存します。他のシステムでは、集中化された特権サーバーを使用して、環境全体にポリシーをプッシュします。多くは監査ログや適用を確認する方法を提供していません。

それはゼロトラストではありません。

Illumio は、 ゼロ トラスト マイクロセグメンテーションを適切に実施できるように構築されています。  

ワークロードは予期しない着信トラフィックを受け入れることはありません。コントロール プレーンにはインフラストラクチャへの特権アクセスがありません。各ポリシーはワークロード上でローカルに適用され、すべてのアクションが検証され、ログに記録されます。

Illumio はネイティブ オペレーティング システム (OS) ファイアウォールを使用するため、適用は軽量かつスケーラブルです。余分な複雑さ、カスタム ハードウェア、ボトルネックはありません。

ゼロ トラストは、ソリューションが製品を販売するために使用するマーケティング用語ではありません。それはアーキテクチャのすべてのレイヤーに反映される必要があります。Illumio はそれを実現するために特別に構築されました。

5. 低コストは高いリスクを生み出しますか?

一部のセグメンテーション ツールでは価格が優先されます。しかし、こうした初期費用の節約は、多くの場合、重要な機能、長期的な拡張性、専門家のサポートを犠牲にして実現されます。

ソリューションがハイブリッドのマルチクラウド環境全体に拡張できず、きめ細かな可視性を提供できず、基本的なセグメンテーション以上のものをサポートできない場合は、ギャップを埋めるために他のツールを追加する必要がある可能性があります。  

時間が経つにつれて、複雑さとコストが増加します。

Illumio は最も低コストのオプションではありませんが、それは意図的なものです。お客様が当社を選ぶ理由は、ニーズに合わせて拡張できる強力で柔軟なセキュリティ基盤の構築を当社がサポートしているからです。

Illumio は、初日から専門家による実装ガイダンス、ワークロード通信の完全な可視性、そして迅速な価値実現を実現します。

一貫性のあるスケーラブルな施行に必要な制御、コンテキスト、封じ込めが得られます。

Illumioが他のセグメンテーションソリューションと異なる理由

Illumio は、環境に新たなリスクを加えることなく、現実世界のセキュリティ課題を解決するように設計されています。

一部のプラットフォームは集中管理された施行に依存していたり、ワークロードへの特権アクセスを必要としたりしますが、Illumio はより安全なアプローチを採用しています。  

当社では、コントロール プレーンにアクセスする軽量エージェントを使用してポリシー適用を配布しており、その逆は行いません。これにより、権限の昇格を防ぎ、単一障害点を排除することができます。

Illumio を使用すると、ネットワーク レベルだけでなく、アプリケーションやサービス全体にわたって完全な可視性と制御が得られます。ワークロードがリアルタイムで通信する方法に基づいて、セグメンテーション ポリシーを構築できます。これらのポリシーは有効にする前にシミュレートできるため、ビジネスを中断することなく自信を持って変更を加えることができます。

Illumio は、ユーザーに合わせて拡張できるように構築されています。クラウド ワークロード、 従来のデータセンター サーバー、 運用テクノロジー (OT)システム、Kubernetes 内のコンテナーをセグメント化する場合でも、1 つのポリシー エンジンを使用してすべてを単一のプラットフォームから管理できます。

Illumio のすべての部分は、安全でスケーラブルなゼロ トラスト侵害封じ込めのために構築されています。これは、速度、可視性、カバレッジを犠牲にすることなくチームが使用できるソリューションです。

今日の安全なセグメンテーションの選択が明日の成功を決定づける

より高速、よりシンプル、より手頃な価格を謳うセグメンテーション ツールは数多くあります。

しかし、セキュリティ チームがソリューションが実際にどのように機能するかを理解せずにそのソリューションを選択した場合、隠れたリスクを負う可能性があります。最初は簡単そうに見えても、可視性、制御、または強制に大きなギャップが生じる可能性があります。

これは単なる技術的な問題ではありません。それはビジネス上の問題です。  

1 回の違反で、プレッシャーの下で下した決定の長期的なコストが明らかになることがあります。組織はこれまで以上に、セキュリティ戦略が現実世界の脅威に耐えられることを証明する必要があります。

幸いなことに、今正しい質問をすることで、後で間違った結果を避けることができます。今日適切なセグメンテーション ソリューションを選択すると、今後何年にもわたってセキュリティ体制を強化できます。

お問い合わせください Illumio による建物侵入封じ込めについてさらに詳しく知るには、今すぐお問い合わせください。