ブログ
/
ゼロトラストセグメンテーション

ワークロードセグメンテーションのベストプラクティス:無駄のない合理化なのか、それとも重くて複雑なのか?

クリスター・スワーツ
ソリューションマーケティングディレクター
September 4, 2020
23 最小読取り

「サイバーセキュリティ」は幅広いトピックを網羅しており、その中にはネットワークの優先順位、ホストの優先順位、認証、ID、自動化、コンプライアンスなどが含まれます。 マイクロセグメンテーション はこの大まかな原則の一部ですが、それでも多くの人が、これを大規模に実装するのは難しいと考えています。

最近のワークロードにはすべて、Linuxのiptablesのように、ファイアウォールとポートフィルターが統合されています。これを個々のワークロードに設定するのは比較的簡単ですが、大規模に設定するのは難しいことが多いです。モノリシックなワークロードからマイクロサービスへの移行が進む中でそうすると、その課題を運用するのがさらに難しくなります。その結果、アーキテクチャのワークロード層でのセグメンテーションは行われず、その代わりに基盤となるネットワークファブリックに実装を任せていることがよくあります。ネットワークセグメンテーションは、ワークロードのセグメンテーションに必要な理由とは異なる理由で実装されることが多いため、このアプローチでは優先順位の対立が生じます。

ハイブリッドクラウドとマイクロサービスアーキテクチャの両方におけるワークロード層でのセグメンテーションの2つの重要な要件は、自動化と大規模アーキテクチャのサポートです。自動化とは、人的要素を可能な限り排除することを意味します。運用プロセスに人間が関与すればするほど、構成ミスやエラーが発生する可能性が高くなるからです。また、大規模なアーキテクチャをサポートするということは、ある程度の規模に達した後でアーキテクチャ全体に障害が発生するのを防ぐような方法でセグメンテーションの自動化を可能にすることを意味します。

これらの要件は、「重い」アプローチと「軽量」アプローチの 2 つの方法のいずれかで実装できます。これらの 2 つのアプローチを比較して、どちらがあなたとあなたの組織にとって最も理にかなっているかを見てみましょう。

マイクロセグメンテーションへの2つのアプローチの物語

最初に、私たちが「重い」アプローチと考えるものについて説明しましょう。たとえば Cisco Tetration のようなより重いアプローチは、すべてのワークロードからすべてのパケットをキャプチャし、ネットワークファブリック全体でネットワーク分析を実行することに重点を置いており、セグメンテーションポリシーを大規模に実装するには多大な人的介入が必要になります。このようなツールの運用化は非常に複雑なので、マイクロセグメンテーションを実装するには「重い」アプローチと言えます。

対照的に、イルミオのような「軽量」アプローチは マイクロセグメンテーション専用設計。それらは1つの製品として生まれ、後に別の製品に変更されたわけではありません。これらはワークロード層でのセグメンテーションのみに焦点を当てており、基盤となるネットワークの実装方法には意図的に依存せず、ネットワーク分析のタスクはネットワークツールに任せています。このアプローチでは、自動化に重点を置いてセグメンテーションポリシーの実装が合理化され、人間の介入はほとんど必要ありません。

セグメンテーションによってアーキテクチャが崩れるのはいつですか?

これは自明の理ですが、繰り返しになりますが、ソリューションが複雑になればなるほど、運用上の上限に達するまでの時間が短くなります。ある時点で、複雑なソリューションが、ワークロードセグメンテーションアーキテクチャ全体をどこまで拡張できるかについて、最終的に障害となることがあります。

マイクロセグメンテーションのためのより重く複雑なソリューションは、小規模なユースケースでは機能しますが、それらのユースケースが大きくなるにつれて、最終的には運用上のオーバーヘッドが圧迫され、厳しい制限に達します。その時点で、追加のワークロードが保護されないままになることが多く、自動化は機能しなくなります。ソリューションが実行するタスクが増えるにつれて、その複雑さが最終的に運用上の負担になります。

マイクロセグメンテーションベンダーは、管理対象ワークロードの上限を反映した数値を頻繁に公開していますが、これらの数値は予想される成長に対応できるほど大きいようです。しかし、ハイブリッドクラウドアーキテクチャを採用する組織が増えるにつれ、仮想化によって生じるワークロードは、従来のベアメタルホストの場合よりもはるかに多くなります。また、マイクロサービスアーキテクチャでは、ホスト内に IP アドレス可能なエンティティがかなり多く作成されるため、ワークロードの総数は急速に増加します。管理対象ワークロードの数は、セグメンテーションの運用に使用されるツールによって決まるべきではありません。ワークロードの増大サイクルが中断されないようにするには、これより少ない数で十分だとは決して考えないでください。

進化を続けるハイブリッドクラウドアーキテクチャでマイクロセグメンテーションを自動化するには、ある程度上限に達してもソリューションが故障しないようにする必要があります。

オートメーション ≠ 人間

自動化には、無駄のない合理化されたアーキテクチャが必要です。あらゆるクラウド環境におけるセキュリティ侵害の大部分は、管理者の正直なミスが原因です。ワークロードのライフサイクルがよりダイナミックになり、ネットワークセグメント上のどこに配置されるかがますます短くなるにつれて、セキュリティプロセスを自動化し、運用プロセスへの人間の介入によってもたらされる重大なリスクを取り除くことがますます重要になっています。

イルミオは、軽量化アプローチの一例として、次のようなコンセプトを採用しています。 4 次元ラベル また、アプリケーションリングフェンシングにより、ワークロードの開始時にセグメンテーションを適用するプロセスを簡素化および自動化できます。セグメンテーション境界を自動的に提案したり、管理者がこれらの境界を定義したりすることができます。これにより、人間の介入によって誤ってエラーが発生するリスクが大幅に軽減されます。

Tetration などのほとんどの重いソリューションには、ワークロードにタグを適用して IP アドレスとは無関係にワークロードを追跡するオプションが含まれています。とはいえ、このプロセスは「重く」、複雑であり、運用するには最初の人間とのやり取りと専門知識がかなり必要になります。また、ご想像のとおり、プロセスに人間の介入と専門知識が必要になればなるほど、意図しないエラーが発生するリスクも大きくなります。

ワークロードセグメンテーションの自動化を計画するときは、次のルールに留意してください。プロセスが複雑になるほど、リスクも高くなります。

マイクロサービスを導入し、より多くのワークロードを期待

アプリケーション開発をモノリシックワークロードからマイクロサービスに移行すると、管理が必要なワークロードの数が大幅に増加するという影響が生じます。仮想化の登場により、1 台のベアメタルホストで、それぞれ独自の IP アドレスを持つ多数の VM を管理できるようになりました。そして今では、マイクロサービスの登場により、これらの VM はそれぞれ多数のコンテナ化された構成をホストできるようになり、IP アドレスがさらに増えました。

IP アドレスを持つネットワーク上のすべてのエンティティがワークロードとして定義されている場合、マイクロサービス環境ではワークロードの数が爆発的に増加する可能性があります。監視が必要なワークロードの数が非常に多いため、次のようなソリューションが必要です。 非常に大きな数にスケーリングできます。

視覚化が最重要

ワークロードの監視には、ポリシーの適用と視覚化という 2 つの基本事項があります。しかし、多数のワークロードにわたって、アプリケーションが相互にどのような影響を与えているかを視覚化するにはどうすればよいのでしょうか。ワークロードのコミュニケーションを視覚化することは頼りになりません。 ネットワークセグメンテーション。マイクロサービスの場合、可視化の必要性は仮想マシン間のトラフィックにとどまらず、Kubernetes や OpenShift を使用してコンテナライフサイクルを調整する場合、ポッド、ノード、サービス間の通信も含める必要があります。

Tetration のような重いソリューションでは、コンテナ化された環境内でポリシーを適用できますが、これらの構造内でのアプリケーショントラフィックの視覚化には限界があります。これらのソリューションでは多くの場合、ホスト間のトラフィックの視覚的なマップを作成できますが、それだけでは表示が止まり、ホスト内のコンテナ化された構成間のトラフィックが失われます。一方、軽量なソリューションでは、ベアメタル・ホストから任意のホスト内の仮想マシンやすべてのコンテナ化されたコンストラクトまで、可視性が拡張されます。モノリシックかコンテナかにかかわらず、たとえばIllumioがワークロードを構築すると、すべてのワークロードが完全に可視化されます。 アプリケーション依存関係マップ。

オンプレミスのデータセンターとパブリッククラウドファブリックの両方で、ハイブリッドクラウドやさまざまなコンピューティングリソースにわたってワークロードが進化するにつれて、ホスト方法に関係なく、すべてのアプリケーショントラフィックと動作を視覚化することが不可欠です。こうした詳細が複雑かつ動的になるにつれて、作成して適用するためには、視覚化がより重要になります。 人間が読める宣言型のポリシー

ボトムライン

ワークロードセグメンテーションを大規模かつ自動化された方法で実装する方法を決定する場合、実行可能な唯一の選択肢は、無駄のない合理化されたアプローチです。水上でのスピードとアジリティが目標であれば、スピードボートを配備するほうが戦艦を配備するよりも良い場合があるのと同様に、現代のハイブリッドクラウドやコンピューティングファブリック全体にマイクロセグメンテーションを導入する方法にも同じことが当てはまります。複雑さを軽減し、ソリューションを「重い」のではなく「軽量」に保ちましょう。

関連トピック

アイテムが見つかりません。

関連記事

ServiceNowがイルミオを活用してAzureとAWSをセグメント化する方法
ゼロトラストセグメンテーション

ServiceNowがイルミオを活用してAzureとAWSをセグメント化する方法

ServiceNowがマイクロセグメンテーションを導入した経緯について詳しくは、こちらのブログ記事をご覧ください。

もっと読む
クラウドホッパー:ゼロトラストの視点
ゼロトラストセグメンテーション

クラウドホッパー:ゼロトラストの視点

クラウドホッパー:政府が支援する中国の工作員によって組織された疑いのあるハッキングキャンペーン。ゼロトラストは阻止できたのでしょうか?

もっと読む
コンテナと Kubernetes 環境の保護に関する上位 3 つの課題を解決する方法
ゼロトラストセグメンテーション

コンテナと Kubernetes 環境の保護に関する上位 3 つの課題を解決する方法

絶え間なく変化するコンテナと Kubernetes 環境に、一貫性がありながら柔軟なセキュリティを導入する方法を学びましょう。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく