/
ゼロトラストセグメンテーション

鳥だ、飛行機だ、スーパークラスターだ!

大規模な組織では、多くの場合、データセンターが地理的に異なる地域にあります。分散型データセンターを利用すると、これらの組織はアプリケーションを顧客や従業員の近くに配置し、データレジデンシー要件を遵守し、重要なビジネスアプリケーションのディザスタリカバリを実現できます。パブリッククラウドの採用により、あらゆる規模の組織がワークロードを複数の地域に分散することがさらに容易になっています。たとえば、AWS は現在、世界の 18 の地理的地域にまたがっています。

私たちはワクワクしています PCE スーパークラスターの紹介 完全な可視性、一元管理と統合管理、マルチリージョンのインフラストラクチャ全体にわたるマイクロセグメンテーションポリシーの一貫した適用を、非常に大規模に提供します。この投稿では、マルチリージョンのインフラストラクチャを保護するための主な要件と、フェデレーテッドアーキテクチャで PCE Supercluster を設計した理由について説明します。

マルチリージョンマイクロセグメンテーションソリューションの要件

インフラストラクチャがグローバルに分散している場合、マイクロセグメンテーションソリューションにはいくつかの重要な要件があります。最初のマイクロセグメンテーションの導入が 1 か所に限定されている場合でも、これらの要件を事前に検討することが重要です。

  • レジリエンシー: データセンターの障害や地域間のネットワークの停止が発生した場合でも、マイクロセグメンテーションソリューションは引き続き運用され、インフラストラクチャを保護する必要があります。
  • スケーラビリティ: マイクロセグメンテーションソリューションは、各データセンターのワークロードの数と世界中のワークロードの総数に合わせて拡張する必要があります。
  • 管理性: マイクロセグメンテーションソリューションは、グローバルチームと地域セキュリティチームとアプリケーションチームの両方が管理できる必要があります。
  • 帯域幅効率: リージョン間のネットワーク帯域幅は高価であるため、ソリューションは大量の帯域幅を消費してはなりません。

マルチリージョンマイクロセグメンテーションソリューションのアーキテクチャ

イルミオの ポリシーコンピュートエンジン (PCE) はソフトウェアベースのコントローラーで、インフラストラクチャ内のワークロードやその他の適用ポイント全体でマイクロセグメンテーションポリシーを調整します。PCE は、ネットワークフロー情報やワークロードで実行されているプロセスに関する情報などのテレメトリデータもインフラストラクチャから収集します。

異なる地域にあるワークロードを保護するために、PCE(またはソフトウェアベースのマイクロセグメンテーションソリューション)を設計するには、いくつかのアプローチが考えられます。

ここでは、さまざまなアーキテクチャアプローチの内訳と、それらが上記の要件にどのように対応しているかを示します。

一元化されたアーキテクチャ — コントローラは 1 つの場所にあります。

  • 耐障害性:一元化されたアーキテクチャでは、単一障害点が生じ、耐障害性が制限されます。
  • スケーラビリティ:一元化されたアーキテクチャでは、垂直方向にも水平方向にも拡張できるため、世界中のワークロードの総数に対応できます。
  • 管理性:一元化されたアーキテクチャにより、グローバルなセキュリティチームやアプリケーションチームは、インフラストラクチャ全体にマイクロセグメンテーションポリシーを簡単に設定して適用できます。ロールベースアクセス制御 (RBAC) を使用すると、地域チームが自分の地域内のアプリケーションのみを対象とするポリシーを限定的に表示および変更できるようにすることができます。
  • 帯域幅効率:集中型アーキテクチャでは、すべてのネットワークフローデータやその他のテレメトリをコントローラに送り返す必要があるため、より多くの帯域幅を使用します。帯域幅は、リージョンごとのワークロードの数と、これらのワークロード間の接続数に応じて増加します。

分散アーキテクチャ — 各データセンターにコントローラを配置し、コントローラは互いに完全に独立しています。

  • 耐障害性:分散型アーキテクチャは耐障害性に優れています。ある地域のコントローラーに障害が発生しても、他の地域には影響しません。
  • スケーラビリティ:分散型アーキテクチャは、より多くのコントローラーをデプロイすることで、各データセンターのワークロードの数と世界中のワークロードの総数に応じて拡張できます。
  • 管理性:分散型アーキテクチャでは、地域チームがローカルポリシーを作成できますが、このアーキテクチャでは、グローバルポリシーを各地域に手動で複製する必要があるため、グローバルポリシーを適用するうえで課題が生じます。さらに、すべてのアプリケーションを 1 か所で視覚化し、地域間の依存関係を確認する方法もありません。
  • 帯域幅効率:分散型アーキテクチャでは、すべてのデータが地域のローカルにとどまるため、帯域幅の効率が向上します。


フェデレーテッドアーキテクチャ — 各データセンターにコントローラーを配置し、コントローラーは互いに通信して、組織のセキュリティポリシーと保護されているワークロードに関する情報を共有します。

  • 耐障害性:フェデレーテッドアーキテクチャは耐障害性に優れています。あるリージョンのコントローラーに障害が発生しても、他のリージョンには影響しません。
  • スケーラビリティ:フェデレーテッドアーキテクチャは、より多くのコントローラーをデプロイすることで、各データセンターのワークロードの数と世界中のワークロードの総数に応じて拡張できます。
  • 管理性:フェデレーテッドアーキテクチャにより、グローバルなセキュリティチームとアプリケーションチームは、インフラストラクチャ全体にマイクロセグメンテーションポリシーを簡単に設定して適用できます。RBACを使用すると、地域チームが自分の地域内のアプリケーションのみを対象とするポリシーを限定的に表示および変更できるようになります。
  • 帯域幅効率:フェデレーテッドアーキテクチャは、システムが機能するためにコントローラ間で共有される情報量が最小限である限り、帯域幅効率が高くなります。

次の表は、マルチリージョンインフラストラクチャをマイクロセグメンテーションするための 3 つのアーキテクチャをまとめたものです。

集中型分散型フェデレーテッド レジリエンシー -++ スケーラビリティ +++ 管理性 +-+ 帯域幅効率 -++

PCE スーパークラスターの紹介:マルチリージョンのマイクロセグメンテーションが正しく行われた

PCE スーパークラスタは明らかな利点を考慮して、フェデレーテッドアーキテクチャで設計されています。スーパークラスターでは、グローバルセキュリティポリシーは、指定されたリーダー PCE によって管理されます。Illumioの強固なRBAC機能はスーパークラスターでサポートされており、グローバルチームや地域チームが最低限の権限でリーダーPCEにアクセスできるようになっています。その後、ポリシーは他のPCEに自動的に複製され、ラベルベースのポリシーが、インフラストラクチャ内のワークロードやその他のエンフォースメントポイントにホストファイアウォールをプログラムするための指示に変換されます。この設計により、ある地域がスーパークラスターの他の地域から隔離されても、グローバルポリシーが継続的に適用されます。

イルミオは、可視性がマイクロセグメンテーションの鍵であることを早くから認識していました。なぜなら、見えないものを保護することはできないからです。Supercluster は完全なライブアプリケーション依存関係マップを提供します (イルミネーション)をリーダーに紹介し、地域内および地域間のアプリケーション依存関係とポリシー適用範囲を視覚化します。組織のマイクロ境界を設計し、アプリケーションを壊さないマイクロセグメンテーションポリシーを作成するには、価値の高いシステムと、これらのアプリケーション間の承認された接続とフローをリアルタイムで可視化することが重要な第一歩です。

スーパークラスターは、世界最大規模の組織をサポートするための規模を拡大します。

1つのPCEをすでにマルチノードクラスターとして展開して、数万のワークロードをサポートできます。複数の PCE を結合できるようにすることで、スーパークラスターは規模を拡大し、世界最大規模の組織をサポートできるようになります。

PCE 間の帯域幅消費を最小限に抑えるために、スーパークラスターの設計には多大な労力を費やしました。ポリシーの計算に必要な最小限のワークロードデータのみがリージョン間でレプリケートされます。さらに、ネットワーク・フロー・データは各PCEによってリージョン内で前処理され、ライブ・アプリケーション依存関係マップの作成に必要な最小限の情報のみがネットワーク全体に複製されます。

PCE スーパークラスターを使用すると、組織は次のことが可能になります。

  • グローバルに分散したデータセンター環境をリアルタイムで可視化できます。
  • アプリケーションを中断することなく、自信を持ってマイクロ境界を設計し、地域間のトラフィックをサポートし、マイクロセグメンテーションを大規模に適用するマイクロセグメンテーションポリシーを作成します。
  • マイクロセグメンテーションの目標を達成すると同時に、ネットワーク帯域幅の効率化を実現し、ディザスタリカバリと高可用性をサポートします。

関連トピック

関連記事

ゼロトラスト導入計画を適切に管理するための指標の定義
ゼロトラストセグメンテーション

ゼロトラスト導入計画を適切に管理するための指標の定義

ゼロトラストの考え方では、境界防御が破られたことが前提であり、優先順位は悪意のある攻撃者の横方向の動きを封じ込めることに重点が置かれます。イルミオは、個人がゼロトラストジャーニーの計画と運用に使用する3段階のゼロトラストプランを発表しました。

ジョン・キンダーヴォーグがゼロトラストのオリジンストーリーを語る
ゼロトラストセグメンテーション

ジョン・キンダーヴォーグがゼロトラストのオリジンストーリーを語る

John Kindervagがゼロトラストを始めた経緯、ゼロトラストのベストプラクティスに関する初期の研究、ゼロトラストへの取り組みを進める組織へのアドバイスをご覧ください。

行く前に知っておきたいこと:シドニーで開催されるガートナーセキュリティ&リスク管理サミット2024
ゼロトラストセグメンテーション

行く前に知っておきたいこと:シドニーで開催されるガートナーセキュリティ&リスク管理サミット2024

3月18日~19日にオーストラリアのシドニーで開催されるガートナー・セキュリティ&リスク・マネジメント・サミット2024で、イルミオについて知っておくべきことをすべて学びましょう。

アイテムが見つかりません。

Assume Breach.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?