Illumioがコンテナ向けのまとまりのあるセキュリティを構築する方法

Kubernetes や OpenShift などのコンテナを使用してマイクロサービスをデプロイすると、スケーラビリティに関する貴重なメリットが得られます。しかし、これらのソリューションは多くの場合、クラスター外のセキュリティ機能が十分ではなく、マルチクラウド環境やハイブリッド環境への可視性がまったくありません。そのため、デプロイメント全体でまとまりのあるセキュリティ体制を維持することは、多くのセキュリティチームにとって困難な作業となっています。

イルミオゼロトラストセグメンテーション セキュリティポリシーを適用することでこの課題を解決します そして これらすべてのタイプの環境におけるネットワークトラフィックの完全な可視性を、すべて1つのプラットフォームで提供します。

課題:ハイブリッドおよびマルチクラウド環境における統合型セキュリティ

クラウドとマイクロサービス主導のアーキテクチャの採用が増えているため、業務におけるスケーラビリティと俊敏性の向上を求める組織に新たな視野が開かれました。コンテナはこのニーズに応えます。本来、コンテナは軽量で俊敏で、時には一時的なワークロードであり、インフラストラクチャーのどこにでも簡単にスピンアップできます。これにより、次のようなソリューションの導入が増加しています。 Kubernetes と OpenShift。

この種のワークロードを追加すると、攻撃者が悪用できる新たな領域が導入され、ハイブリッドクラウド環境やマルチクラウド環境の管理が複雑になります。これらの環境全体のセキュリティ管理が難しい理由は次の 3 つです。

1. 複数のクラウド (Azure、AWS)、複数のOSタイプ (Linux、Windows、Unix)、およびさまざまなフレーバーのコンテナオーケストレーション (Docker、Kubernetes、Openshift) でのドメイン経験が必要です。

2. Kubernetes にはクラスタ内に貴重なネットワークセキュリティ機能が組み込まれていますが、この保護機能は多くの場合、クラスタの境界を越えるものではありません。この制限は、特にマルチクラウドやハイブリッドデプロイメントにおいて、マイクロサービス間の通信を保護する場合に大きな課題となります。

3. Kubernetes クラスター内で発生するポッド間トラフィックと、クラスターから環境への入力トラフィックと出力トラフィックの両方を可視化する必要があります。

既存のサービスは、クラウド環境内のセキュリティのみを解決するか、オンプレミス環境とエンドポイント環境内のセキュリティのみを解決します。しかし、このような複雑な環境全体で総合的なセキュリティ体制を確保するには、すべてを実行できるソリューションが必要です。

解決策:イルミオゼロトラストセグメンテーション

イルミオは基礎となる環境にとらわれません。これにより、ネットワークトラフィックを完全に可視化し、ゼロトラストセグメンテーションポリシーをすべての環境にわたって大規模に適用できます。デプロイされるコンテナ環境が増えるほど、その環境が 100,000 を超えるワークロードを処理し、環境の変化にリアルタイムで適応できることが重要になります。

エンドツーエンドの可視性:アプリケーション依存関係マッピング

使用する イルミオの地図、セキュリティチームは、組織のインフラストラクチャのさまざまなセグメントにわたってデータがどのように流れているかを明確かつ詳細に把握できます。これにより、クラスター内のポッドにまたがる環境トラフィック、およびこれらのポッドへのインフラストラクチャーへのインバウンドまたはアウトバウンドのトラフィック (オンプレミス、クラウド、エンドポイントのいずれのデプロイメントであっても) に関する包括的な洞察が得られます。

Illumioは、ポッド間のトラフィックとクラスターからワークロードへのトラフィックの両方を視覚化できるため、これまで知られていなかった通信を発見し、環境内のベースライントラフィックを理解して、より多くの情報に基づいたセキュリティポリシーを作成できるようになります。

クラウド環境全体のゼロトラストセグメンテーション

イルミオの ゼロトラストセグメンテーション これにより、セキュリティチームはさまざまな導入環境にわたってセキュリティを確保できます。ユーザー定義のラベルを活用することで、組織は環境全体に及ぶきめ細かなセキュリティポリシーを実装できます。このアプローチにより、インフラストラクチャの複雑さに関係なく、セキュリティ対策を一貫して適用できます。また、攻撃者が複数のアプリケーションを実行するホストを制御して、インフラストラクチャ全体に連鎖攻撃を仕掛けるような脅威を防ぐこともできます。

Kubernetes と OpenShift にはトラフィックを保護する機能が組み込まれていますが、これらはクラスター内のトラフィックのみを保護します。複数のクラウド環境やハイブリッド環境は言うまでもなく、複数のクラスターにまたがるアプリケーションを扱う場合、Kubernetes に組み込まれているセキュリティ機能のみを活用することは現実的ではなくなります。

Illumioでは、ポッドとサービスは関連するポリシーを動的に継承し、完全に安全にオンラインになります。Illumio のユーザー定義ラベルは、Kubernetes と OpenShift クラスター内だけでなく、環境全体で一貫したセグメンテーションポリシーを保証し、セキュリティへのサイロ化されたアプローチに伴うリスクを排除します。

Illumioでコンテナをすばやく簡単に保護しましょう

Illumioを使用してコンテナを保護することで、組織は次のことが可能になります。

• 完全な可視性: コンテナクラスタをインベントリし、ポッド間、そのホスト間、およびインフラストラクチャ全体のトラフィックをリアルタイムに視覚化します。
• 環境全体で統一されたポリシー: ハードウェアなしで、すべてのワークロードに単一のポリシーを適用することで、侵害の拡大を防ぎます。
• DevOps のベストプラクティスに従い、既存のワークフローに統合してください。 Helm Chart を使用して簡単に導入でき、既存の CICD プロセスをサポートできます。
• シームレスなセグメンテーション: Kubernetes ホストの Linux カーネルの iptables を使用してポリシーを適用することで、コンテナのセキュリティを簡素化します。

Illumioでコンテナを保護する方法について詳しく知る準備はできましたか？ 今すぐお問い合わせ。