ブログ
/
ゼロトラストセグメンテーション

コンテナ時代のネットワークセキュリティ

イルミオエディトリアル
April 3, 2020
23 最小読取り

この業界に長年携わっていることの良い点の1つは、その方法を観察できることです。 ネットワークセキュリティ データセンターのトレンドは変化しており、一般的なパターンと直感に基づいて、次に何が起こるかをある程度予測しています。

ネットワークとセキュリティの境界は変化しています

15 年前、データセンターのネットワークセキュリティは非常にシンプルでした。レイヤー 2 プロトコルは、その領域では絶対的な王様であり、ファイアウォールはインターネットや WAN 接続を保護するためにエッジに配置できました。特定のアプリケーションのサーバーはすべて同じラックに接続されており、インフラストラクチャのさまざまな部分間の境界は明確に定義されていました。これをセグメント化するのはかなり簡単でした。

Network_And_Security_Boundaries_Technical_Diagrams_2

数年後、これらすべてのサーバーを統合して接続を簡素化するために、シャーシサーバーとブレードサーバーが徐々に普及し、サーバーの管理者とネットワークとセキュリティの責任者の間のネットワークとセキュリティの境界が初めて変化しました。これらのシャーシの接続モジュールの責任者は誰ですか? また、セキュリティアプライアンスはどこに挿入すればよいですか?ほとんどの場合、ネットワークモジュールはシャーシ内で最も重要度の低いモジュールになり、ネットワークやセキュリティインフラストラクチャの他の部分に接続するのはいつも悪夢のような作業でした。

Network_And_Security_Boundaries_Technical_Diagrams_3

しかし、この戦いは新しいテクノロジーによって追い越されました。ヴイエムウェアの ESX ハイパーバイザー 同じハードウェアサーバーを共有して多数の仮想サーバーを実行する機能が急速に普及しました。その結果、これらの仮想サーバーを相互に接続するには、ネットワークを再び別の場所、つまりハイパーバイザー内部に移動する必要がありました。シフトはごく単純な仮想スイッチとして始まりましたが、すぐにレイヤー 3 のサービスへと拡大し、最終的にはセキュリティにまで拡大しました。

Network_And_Security_Boundaries_Technical_Diagrams_5

繰り返しになりますが、データセンターのインフラストラクチャが進化したにもかかわらず、パブリッククラウドは、完全に自動化され、非常に俊敏なさまざまなサービスをエンタープライズ市場に提供するようになりました。インフラストラクチャの管理の複雑さに煩わされることなく、スケーラブルで可用性の高いサービスを提供できる、この新しい抽象化されたインフラストラクチャの価値を開発者が理解するまでには、それほど時間はかかりませんでした。

Network_And_Security_Boundaries_Technical_Diagrams_1

数年前、軽量でポータブルで、数秒で簡単にスピンアップまたは分解できる新しいタイプのワークロードが登場しました。それがコンテナです。コンテナの普及に伴い、開発者はすぐに、外部ネットワークやセキュリティインフラストラクチャに依存せずにアプリケーションをスケールアップおよびスケールダウンできるように、これらのコンピューティングリソースをネットワークとオーケストレーションする必要があることに気付きました。コンテナクラスタは、コンピューティング、ネットワーク、セキュリティを混在させ、ネットワークセキュリティの境界に新たな変化をもたらす新しいインフラストラクチャ要素です。

Network_And_Security_Boundaries_Technical_Diagrams_4

では、15年間で私たちは何を学びましたか?これらすべての進化に共通するパターンは何でしょうか?

  1. 開発者がアプリケーションの開発とテストを行う際に、柔軟性を高めるために常に限界に挑戦しているため、ネットワークセキュリティの境界はますますコンピューティングレイヤーにシフトしています。
  2. ネットワークチームとセキュリティチームは試合に遅れをとり、せいぜい選択肢や解決策を勧めることができますが、ほとんどの場合、アプリケーションやクラウドチームが決定した内容を引き継ぎます。
  3. インフラストラクチャの保護は、セキュリティを念頭に置いて考え抜かれて設計されていないと難しくなります。また、後で追加するとさらに複雑になります。


コンテナの何が問題なの?

コンテナとコンテナクラスタは、ネットワークがますますソフトウェア層とコンピューティング層に移行する傾向の例外ではありません。先に説明したように、この傾向は長年にわたって見られてきました。ネットワークチームとセキュリティチームがこの傾向を逆転させなければ、この傾向が変わる理由はありません。

ネットワークとセキュリティの観点から見ると、コンテナは新しいものや未知のものを導入するものではなく、既知のもの (IP、サブネット、DHCP/DNS、ゾーン、セグメント、カプセル化、NAT、ファイアウォール、ロードバランサー) を組み合わせたものですが、すべてがたまたまOS自体にあり、それが根本的な問題の1つです。

ITチームは境界線、責任、所有権が大好きですが、それはコンテナクラスタの運用方法とは正反対です。自給自足で、組織化され、外部から見えないように設計されています。一方で、新しいインフラストラクチャーでは、接続して稼働させるために大規模な設計セッションを必要としないことは素晴らしいニュースです。一方で、これらのクラスター内で何が起きているかを把握していなければ、アプリケーションフローをどのように保護できるかという点で、本当のセキュリティ上の疑問が生じます。

これを変更するにはどうすればよいでしょうか。

理想的には、開発者はコードを開発して別のチームに引き渡し、コードを本番環境に導入する必要があります。そのためには、拡張性と可用性を考慮して設計されたインフラストラクチャで、スタックの各レイヤーでセキュリティを最優先事項として、徹底的にテストおよび自動化された方法を使用します。

まあ、多くの組織では、まだその段階に達していないようです。DevOps チームは開発中の仲間とつながっていますが、ネットワークチームやセキュリティチームは常にそうであるとは限りません。コンテナを市場における破壊的なテクノロジーと見なしたいのであれば、状況を変える必要があります。

ネットワークチームとセキュリティチームは、インフラストラクチャによって何が転送され、保護されているかを理解することにもっと時間をかけるべきです。CI/CD パイプラインとは何かを学び、アプリケーションが実現できないことを補完するようにセキュリティメカニズムを適応させることができるように、アプリケーション内でどのように構築されるかについて意見を持つ必要があります。そのためには、新しいスキルを学び、違いを受け入れ、批判的でありながらも新しい概念に対してオープンマインドであることが必要です。一見素晴らしいアイデアとは思えないかもしれませんが、実際には非常に効率的です。

コンテナは、IT部門のあらゆる分野の人々が互いに学び合うことを強制するテクノロジーの好例です。

そうでなければ、それは災害のレシピになります。ネットワークのないコンテナクラスタはありませんし、セキュリティのない本番環境のコンテナ化されたアプリケーションもなく、セグメンテーションのない共有インフラストラクチャもありません。ネットワークとセキュリティのチームはこの機会を利用して、新しいやり方を学び、ソフトウェアでどのようにできるかを理解する時間を増やし、アプリケーション層に役立つシンプルで安全で安定した設計を提案することで、ネットワーク層とセキュリティ層の主導権を握る必要があります。

どこから始めるべきか?

万能の答えになり得る特効薬や秘密兵器は明らかにありません。しかし、チームを成功に導くのに役立つアイデアをいくつかご紹介します。

友達を知ろう: 開発者とDevOpsチームは、ネットワークチームとセキュリティチームの敵ではありません。彼らはすべて同じ目的、つまりビジネスを果たしています。しかし、他のチームが何をしているのかを知らなければ、グループとしてより良くなるために何ができるかを見極めるのが難しくなります。コンテナクラスターのような複雑なインフラストラクチャーの構築を成功させるには、特にセキュリティに関しては、絡み合った意思決定が必要です。

知識を身につける: 誰もすべてを知っているわけではありませんが、誰もが何でも学ぶことができます。インフラストラクチャーのいくつかの領域では軽視しても問題ありませんが、物事がどのように行われているか、またはすべきかを学びたくないのは絶対に良くありません。コンテナ、オーケストレーションプラットフォーム、サービスメッシュへのアプローチは簡単ではありません。新しい用語や概念に慣れるには時間がかかりますが、その理解の限界を超えて、その知識を行動に移すことができれば、とてもやりがいがあります。

ネットワークはネットワークであり、セキュリティは万能です。 コンテナクラスタは、相互に通信する (コンテナに関連付けられた) IP アドレスの集まりであることに注意してください。また、アプリケーションは世界に触れずにコンテナクラスタで稼働するためのものではないため、世界への扉を開くという概念も出てくるでしょう。ネットワークエンジニアとセキュリティエンジニアは、クラスターの一方の端からもう一方の端へと流れるフローと、このクラスターに出入りするパケットの送受信に責任を負います。コンテナクラスター内で何かが侵害された場合、侵害が広がらないように監視、対応、対応するのはネットワークセキュリティチームの責任です。確かに、コンテナクラスタはネットワークとセキュリティに対するアプローチが異なりますが、やはりセグメント化して保護する必要があるネットワークです。

真実を求めて: 現状を理解し、挑戦することが重要です。物事が思ったように動かなくても大丈夫です。つまり、チーム一丸となって真実を探し求め、合意する必要があるということです。テクノロジーが十分に理解されていれば、導入、保護、トラブルシューティングが容易になります。

コンテナ、オーケストレーションプラットフォーム、サービスメッシュは、今日 IT 組織で大きな注目を集めています。ネットワークおよびセキュリティエンジニアとして、これらのテクノロジーの概念を理解することは非常に重要です。非常に馴染みのある概念もあれば、非常に奇妙に聞こえる概念もありますが、物を適切に保護するためには、実際にどのように機能するのかを知っておく必要があります。

コンテナページをご覧ください コンテナセグメンテーションにIllumioを活用する方法の詳細については、こちらをご覧ください。

関連トピック

アイテムが見つかりません。

関連記事

マイクロセグメンテーションプロジェクトを成功させる方法:適切なツールの選択
ゼロトラストセグメンテーション

マイクロセグメンテーションプロジェクトを成功させる方法:適切なツールの選択

マイクロセグメンテーションツールを評価する際に注意すべき点と、従来のアプローチでは現代の環境でマイクロセグメンテーションを実現できない理由を学びましょう。

もっと読む
イルミオは市場の勢いに乗ってRSAカンファレンスへ
ゼロトラストセグメンテーション

イルミオは市場の勢いに乗ってRSAカンファレンスへ

RSA Conference 2022が間近に迫っています。セキュリティ業界がゼロトラストセグメンテーションの不可欠な必要性を認識する中、イルミオは市場の勢いが高まる中、その取り組みを進めています。

もっと読む
Hi-Temp Insulationがイルミオのマイクロセグメンテーションをわずか30分で開始した方法
ゼロトラストセグメンテーション

Hi-Temp Insulationがイルミオのマイクロセグメンテーションをわずか30分で開始した方法

カリフォルニア州カマリロのハイテンプ・インシュレーションがイルミオのマイクロセグメンテーション・ソリューションをわずか30分で立ち上げた方法をご紹介します。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく