セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
Segmentation
Illumio Editorial
Illumio Editorial
2021年3月19日
23分読む

マイクロセグメンテーションのポリシーモデルで重要なことは何ですか?

マイクロセグメンテーションソリューションで説明するすべての機能の中で、ほとんどのベンダーはポリシーモデルから始めません。ただし、特定のソリューションが生み出す可能性のある潜在的な結果に関しては、ポリシーモデルによって何が可能かが決まります。したがって、政策モデルに何が必要かを熟考することは、高品質で後悔の少ない購入決定を下すための優れた準備となります。望ましいマイクロセグメンテーションポリシーモデルの重要な要素をそれぞれ調べてみましょう。

多次元ラベル

マイクロセグメンテーションポリシーは、ラベルを使用して、基盤となるネットワークアドレス指定とデバイスからセグメンテーションを抽象化します。理想的には、これらのラベルは「有用に多次元的」です。無制限のラベルのフラットな名前空間は役に立ちません。多くのマシンに影響を与えるポリシーステートメントをハングするための要約や構造は提供されません。フラットな名前空間内のすべてのシステムにラベルを付ける場合は、IP アドレスを使用してポリシーを指定するよりもほとんど優れていません。興味深いことに、特定のポリシーディメンション内のラベルの数に制限を設ける必要はありませんが、ポリシーディメンションを制約することは、大規模な展開で有用であることが証明されています。

私たち人間は、たとえば、3つの物理的次元と時間という4つの次元を簡単に視覚化できます。しかし、物理学者が正しければ、私たちが11次元または13次元の空間に住んでいる場合、それらの次元を捉えることができるのは数学だけです。それらは私たちの脳で視覚化することは不可能です。これは、マイクロセグメンテーションに実際的な影響を及ぼします。11 次元のポリシーを理解して計算するようにコンピューターをプログラムすることはできますが、人間はそれを理解できません。人間は、マイクロセグメンテーションポリシーを検査、監査、理解できる必要があります。

私たちの経験では、 4 つの次元は 、モデルを理解する能力を維持しながら、政策目的で地球上で最大のネットワークでも効果的にモデル化できます。そのため、フラット タグまたはラベル スペース以上のポリシー モデルを探してください。いくつかの次元の構造は、数十万のシステムの規模で機能しますが、理解と操作は簡単です。ラベルの力の詳細については、このビデオをご覧ください。


リッチオブジェクトモデル

品質ポリシー言語には、十分に豊富なオブジェクト モデルが備わっています。ハイパースケールのエンタープライズ データ センターは複雑な場所です。モデルは、サーバー、VM、コンテナ、クラウド インスタンスなど、保護する必要があるすべてのものに対応する必要があることは明らかです。しかし、これらの保護されたシステムだけでは、すべての有用なポリシー プリミティブを抽象化するには不十分です。サービス/ポート マッピングと IP アドレス範囲のオブジェクトが必要です。共有サーバー (複数のデータベース インスタンスを持つサーバーなど) 内では、これらのインスタンスを個別の仮想サービスとして相互に抽象化できる必要があります。コンテナーとコンテナー ホストは、すべての視覚化に表示される「ファーストクラスのオブジェクト」である同時に、ポリシー ステートメントの一部である必要があります。興味深いことに、保護されていないシステムをオブジェクト モデルに追加することも重要です。特に、保護されているものよりも保護されていないもののほうが多く、これらのシステムが相互に通信する展開の初期段階では重要です。すべてのフローをきれいに表現できるようになると、必要なポリシーを指定するのがはるかに簡単になります。最適なソリューションでは、エクスポートや実装が可能になるように、管理されていないオブジェクトのポリシーを構築することもできます。

継承

ポリシー継承は、マイクロセグメンテーション ポリシーを拡張して既存のデータセンターをカバーする唯一の方法です。トラフィックの約 80 パーセントがデータセンター内を流れる場合は、既存の境界ファイアウォール ルールではトラフィックの 20 パーセントしかカバーされないことになります。つまり、データ センター内には、現在すべてのファイアウォールに存在するルールの 5 倍のルールが存在する可能性があるということです。ポリシー モデルによって提供される抽象化とその有用な次元は、純粋な許可リスト ポリシー モデルと組み合わせる必要があります。この方法でのみ、ポリシーを一度記述して多くのインスタンスに適用することができます。アプリケーション リングフェンシングなどの一般的なマイクロセグメンテーション ポリシーに関する継承とスマート ポリシー自動化を組み合わせることで、数万のシステムを正常にセグメント化できる唯一の実証済みの方法が形成されます。

宣言型と命令型

100,000 を超えるワークロードのマイクロセグメント化に成功した唯一のポリシーモデルは、宣言型メソッドを使用してセグメンテーションの要望を表現します。宣言型ポリシーモデルでは、望ましい結果を指定するだけで済みます。命令型ポリシー モデルでは、結果を作成するためにソリューションを正確に指定する必要があります。従来のファイアウォールルールセットは必須であり、すべてのステートメントが完璧な順序で、完璧な精度で存在する必要があります。これにより、際限のない困難と複雑さが生じます。ただし、理想的なマイクロセグメンテーションポリシーでは、宣言型言語のみを使用します "本番環境内で注文アプリケーションをリングフェンスしたいです。"それをどのように実現するかは、ポリシー言語の背後にある ポリシーコンピューティングエンジン のビジネスです。このようにして、ポリシーは常に指定しやすく、理解しやすく、開発しやすいものです。やるべき作業の規模を考えると、それ以外のことは失敗につながります。

一貫したアプリケーション

必要なプリミティブがすべて存在する場合、最適なマイクロセグメンテーション ソリューションでは、製品のあらゆる領域でそれらを一貫して使用します。ラベルはポリシー作成のためだけのものではなく、可視性、ポリシーの配布、ポリシーの適用にも役立つ必要があります。ロールベースのアクセス制御 (RBAC) は、ラベル構造に正確に従う必要があります。そうすることで、アプリケーション所有者、DevOps、その他のユーザーは必要なものすべてにアクセスできるようになりますが、それ以上のアクセスはできなくなります。特に自動展開のセキュリティを確保するには、この正確な委任機能が必要です。便利で明確かつシンプルなラベル構造を一貫して適用すると、メンタルモデルが作成されます。管理者は、ソリューションの仕組みをほぼ即座に直感的に理解し、結果を予測できるようになります。この直感はすぐにスピードに変わり、スピードは習熟に変わり、習熟は完成したプロジェクトに変わります。シンプルさ、明確さ、一貫性は、複雑なデータ センター環境に対するソリューションです。

完全な抽象化

私は、自動化が朝食にメタデータを食べるとよく言います。自動化は、抽象化できるよりも速く進むことはできません。成功するポリシー モデルは、ネットワーク アドレッシングと適用メカニズム自体の痕跡を抽象化する必要があります。政策は望ましいものだけを扱わなければなりません。このようにして、自動化は「Web はアプリと通信する必要がある」という結果を簡単に述べることができます。これを実現するために必要なルールは、動的なクラウド環境や自動化された環境では常に変化しており、拡張する場合、その複雑さを自動化フレームワークにさらすことはできません。IP アドレスに依存するポリシーは、どんなに善意であっても、拡張できません。同様に、適用メカニズムを非表示にする必要があります。要望が述べられたら、マイクロセグメンテーションポリシーエンジンは、知っているリソースに基づいて、そのポリシーを実装するための最良の方法を見つける必要があります。このように、システムが行き来するにつれて、適用ポイントの数は柔軟になり、ポリシーとルールベースも柔軟になります。完全に抽象化されたポリシーのみが、DevOpsとクラウドアーキテクトにマイクロセグメンテーションソリューションとシームレスにインターフェースするために必要な機能を提供します。

大規模な政策

何年も前、巨大動物が地球を支配していました。巨大なバージョンの植物や動物はすべての大陸に存在し、それらは今日私たちが持っている種の上にそびえ立っていました。最適なポリシー モデルには、個々のアプリケーションの単純な説明よりも高いスケール ファクターが含まれます。任意のポリシーディメンションにわたってラベルをグループ化できるため、1つのポリシーで複数のデータセンター、環境、またはアプリケーションのシステムに影響を与えることができます。ハイパースケール企業向けのポリシーを作成する場合、これらの「メガポリシー」は驚くべき範囲、速度、効率で移動し、マイクロセグメンテーションポリシーで企業をカバーします。

政策モデルは抽象的で重要でない概念のように思えるかもしれません。しかし、マイクロセグメンテーションの導入を成功させるには、真実からかけ離れたものはありません。政策モデルは、何が表現可能で何が不可能なか、そして表現することがどれほど簡単か難しいかを決定します。企業は UI の色をすばやく変更できますが、壊れたポリシー モデルや不適切に設計されたポリシー モデルを修正するのは困難です。世界で最も実績のあるマイクロセグメンテーションポリシーモデルは、「有用な次元」ラベルモデルを通じて、ネットワークのアドレス指定ポイントと適用ポイントから完全に抽象化します。このモデルは、製品のあらゆる機能に一貫して貫かれています。フルオブジェクトモデルを継承モデルや宣言モデルと組み合わせると、望ましい結果を簡単かつ迅速に述べ、それを世界で真実にすることができます。マイクロセグメンテーションは、成熟した完全かつ適切に設計されたポリシーモデルによってのみ、 数十万のワークロードの規模 で成功します。

このシリーズでは、マイクロセグメンテーションに関する質問について、マイクロセグメンテーションポリシーを自動化するために何が必要かについて説明します。

関連トピック

アイテムが見つかりませんでした。

関連記事

主流のゼロトラスト導入があなたにとって何を意味するか
Segmentation

主流のゼロトラスト導入があなたにとって何を意味するか

ゼロトラストセキュリティ戦略の主流の採用について、Forresterの調査で何が言われているか、そしてそれが組織にとって何を意味するかをご覧ください。

詳細はこちら
ウエスタンユニオンがIllumioセグメンテーションでスケーラブルなゼロトラストを構築した方法
Segmentation

ウエスタンユニオンがIllumioセグメンテーションでスケーラブルなゼロトラストを構築した方法

Western Union が Illumio を使用して、PCI コンプライアンス、M&A セキュリティ、リアルタイムの可視性を実現するゼロ トラストとスケーラブルなマイクロセグメンテーションを実装した方法をご覧ください。

詳細はこちら
マイクロセグメンテーション プロジェクトを確実に成功させる方法: 適切なツールの選択
Segmentation

マイクロセグメンテーション プロジェクトを確実に成功させる方法: 適切なツールの選択

マイクロセグメンテーションツールを評価する際に何に注意すべきか、そして従来のアプローチが最新の環境でマイクロセグメンテーションを実現できない理由を学びます。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る