ブログ
/
ゼロトラストセグメンテーション

アダプティブセグメンテーションの進化

P・J・カーナー
共同創設者兼顧問
January 30, 2017
23 最小読取り

イノベーションは、世界を改善したいという止められない意欲を持ち、限られた資源の環境に置かれている人々から生まれると私は信じています。だからこそ、トップスポーツ選手は、最も挑戦的な相手と対戦するときに最高の試合をするのです。そして、針の目がそれほど小さくなければ、「針に糸を通す」ことはあまり意味がありません。まさにこのような困難で制約のある環境こそが、それを体現するイノベーターが求めるものであり、イノベーションが生まれる大釜でもあります。

イルミオの旅は、(多くの成功したスタートアップがそうであるように)このような環境から始まりました。

私たちにとって、それはチョークポイントファイアウォールが追いつけず、今日のモダンデータセンターと分散アプリケーションのニーズに対応できるほど動的なセキュリティセグメンテーションを提供できなかった世界で始まりました。開発運用、マイクロサービスアーキテクチャ、パブリッククラウド、コンテナはすべて、動的で分散型のデータセンターの進化を促進した部分ですが、従来のセキュリティセグメンテーションソリューションには負担と緊張をもたらしていました。

ill_blog_hero_img_from_CTO_desk_v4.jpg

イルミオの最初のイノベーション 適応型セキュリティプラットフォーム (ASP) それらの課題に直接取り組むようになりました。ソリューションを構築するための重要な基本要素がいくつか特定されました。

  1. まず、エンドユーザーの意思決定やデータの視覚化に役立つ十分なコンテキストをポリシーエンジンに提供するには、エンドポイントサーバーからの豊富なテレメトリが不可欠でした。

  2. 2つ目は、メタデータ主導型のポリシーモデルです。これにより、人々はポリシーを豊かで抽象的な方法で記述でき、アプリケーションをどのようにセグメント化して保護すべきかについてのシンプルなモデルを構築できます。

  3. 3つ目は、ワークロードにバインドできる完全に分散されたポリシー適用ポイントファブリックです。これにより、ベアメタル環境、仮想化環境、クラウド環境など、複数のインフラストラクチャタイプでシームレスに動作できます。

こうした重要な知見やコンポーネントをもとにASPを構築し、お客様に提供しました。

その道のりの次の段階は、アダプティブセグメンテーション自体が動的で柔軟であるだけでなく、アプリケーションのさまざまなデプロイ方法に適応できるだけではないことを理解することでした。アダプティブセグメンテーションには多くのツールがあることを理解し、それぞれのツールがそれぞれ異なる種類の仕事に適していることを確認する必要がありました。お客様が必要としていたもの:

  1. 大まかなセグメンテーション: 大規模でフラットなネットワークに混在する環境またはゾーンを論理的に分離する機能。

  2. マイクロセグメンテーション: アプリケーションレベルのセグメンテーションの従来の定義から、さらにきめ細かなアプリケーション層のセグメンテーション、または個別のセグメンテーションまで多岐にわたります。 ワークロードセグメンテーション

  3. サブワークロードセグメンテーション (別名ナノセグメンテーション): これにより、OS 内の実際のプロセスを制御してセグメント化できます。また、Kubernetes ポッドや Docker コンテナのセグメント化にも応用できます。

  4. ユーザーセグメンテーション: これは昨年導入したもので、ユーザーをすべての使用資格のあるアプリケーションで論理的にセグメント化すると同時に、他の (無許可の) アプリケーションをクローキングし、企業へのリスクを最小限に抑えることができます。

イルミオによるアダプティブセグメンテーションの範囲

range of adaptive segmentation.jpg

明らかになったのは、メタデータ主導型のポリシーモデルの柔軟性とシンプルさが、分散型で動的なアーキテクチャと相まって、 ポリシーコンピュートエンジン (PCE)Illumioプラットフォームの「頭脳」は強力です。PCE の宣言型ポリシーモデルと変化に適応するためのインテリジェンス (追加の作業なしでアプリケーションを拡張したり、新しいインスタンスをデプロイしたりできるようにする) により、人々は私たちに次のようなことを求めています。 旅の次の段階: 複数のポリシー施行ポイントにわたる統制の調整

プラットフォームの将来は、ネットワークとクラウドベースの執行統制を採用することです。PCE がホストベースの統制にもたらしたシンプルさとインテリジェンスを、シスコとアリスタ、Amazon と Microsoft Azure のセキュリティグループによるネットワークインフラストラクチャに、協調的かつ統一的な方法でもたらすことです。

これは 優れた抽象化の力

Illumioがどのように適応型セキュリティプラットフォームを拡張しているかの詳細をご覧ください。 RSA カンファレンス 2017 のブース N2900 をご覧ください

関連トピック

コア

関連記事

マイクロセグメンテーションについて尋ねてはいけない質問:アプリケーションチームを参加させるには何が必要ですか?
ゼロトラストセグメンテーション

マイクロセグメンテーションについて尋ねてはいけない質問:アプリケーションチームを参加させるには何が必要ですか?

マイクロセグメンテーションを導入しながら、アプリケーションオーナー、DevOps、クラウドチームとの永続的で信頼に基づく関係を築く方法

もっと読む
元連邦最高情報責任者(CIO)のゲイリー・バーレットがゼロトラストから学んだ5つのポイント
ゼロトラストセグメンテーション

元連邦最高情報責任者(CIO)のゲイリー・バーレットがゼロトラストから学んだ5つのポイント

IllumioのFederal Field CTOであるGary Barletが、ゼロトラストが単なる古いセキュリティ問題を管理する新しい方法ではなく、サイバーセキュリティにまったく新しいアプローチをとる方法だと考えている理由をご覧ください。

もっと読む
お金にワクワクする理由トップ3 20/20 USA
ゼロトラストセグメンテーション

お金にワクワクする理由トップ3 20/20 USA

10月22日から25日まで開催される今年のマネー20/20USAで、ラスベガスで開催されるイルミオに会いましょう。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく