ブログ
/
ゼロトラストセグメンテーション

アダプティブセグメンテーションの進化

P・J・カーナー
共同創設者兼顧問
January 30, 2017
23 最小読取り

イノベーションは、世界を改善したいという止められない意欲を持ち、限られた資源の環境に置かれている人々から生まれると私は信じています。だからこそ、トップスポーツ選手は、最も挑戦的な相手と対戦するときに最高の試合をするのです。そして、針の目がそれほど小さくなければ、「針に糸を通す」ことはあまり意味がありません。まさにこのような困難で制約のある環境こそが、それを体現するイノベーターが求めるものであり、イノベーションが生まれる大釜でもあります。

イルミオの旅は、(多くの成功したスタートアップがそうであるように)このような環境から始まりました。

私たちにとって、それはチョークポイントファイアウォールが追いつけず、今日のモダンデータセンターと分散アプリケーションのニーズに対応できるほど動的なセキュリティセグメンテーションを提供できなかった世界で始まりました。開発運用、マイクロサービスアーキテクチャ、パブリッククラウド、コンテナはすべて、動的で分散型のデータセンターの進化を促進した部分ですが、従来のセキュリティセグメンテーションソリューションには負担と緊張をもたらしていました。

ill_blog_hero_img_from_CTO_desk_v4.jpg

イルミオの最初のイノベーション 適応型セキュリティプラットフォーム (ASP) それらの課題に直接取り組むようになりました。ソリューションを構築するための重要な基本要素がいくつか特定されました。

  1. まず、エンドユーザーの意思決定やデータの視覚化に役立つ十分なコンテキストをポリシーエンジンに提供するには、エンドポイントサーバーからの豊富なテレメトリが不可欠でした。

  2. 2つ目は、メタデータ主導型のポリシーモデルです。これにより、人々はポリシーを豊かで抽象的な方法で記述でき、アプリケーションをどのようにセグメント化して保護すべきかについてのシンプルなモデルを構築できます。

  3. 3つ目は、ワークロードにバインドできる完全に分散されたポリシー適用ポイントファブリックです。これにより、ベアメタル環境、仮想化環境、クラウド環境など、複数のインフラストラクチャタイプでシームレスに動作できます。

こうした重要な知見やコンポーネントをもとにASPを構築し、お客様に提供しました。

その道のりの次の段階は、アダプティブセグメンテーション自体が動的で柔軟であるだけでなく、アプリケーションのさまざまなデプロイ方法に適応できるだけではないことを理解することでした。アダプティブセグメンテーションには多くのツールがあることを理解し、それぞれのツールがそれぞれ異なる種類の仕事に適していることを確認する必要がありました。お客様が必要としていたもの:

  1. 大まかなセグメンテーション: 大規模でフラットなネットワークに混在する環境またはゾーンを論理的に分離する機能。

  2. マイクロセグメンテーション: アプリケーションレベルのセグメンテーションの従来の定義から、さらにきめ細かなアプリケーション層のセグメンテーション、または個別のセグメンテーションまで多岐にわたります。 ワークロードセグメンテーション

  3. サブワークロードセグメンテーション (別名ナノセグメンテーション): これにより、OS 内の実際のプロセスを制御してセグメント化できます。また、Kubernetes ポッドや Docker コンテナのセグメント化にも応用できます。

  4. ユーザーセグメンテーション: これは昨年導入したもので、ユーザーをすべての使用資格のあるアプリケーションで論理的にセグメント化すると同時に、他の (無許可の) アプリケーションをクローキングし、企業へのリスクを最小限に抑えることができます。

イルミオによるアダプティブセグメンテーションの範囲

range of adaptive segmentation.jpg

明らかになったのは、メタデータ主導型のポリシーモデルの柔軟性とシンプルさが、分散型で動的なアーキテクチャと相まって、 ポリシーコンピュートエンジン (PCE)Illumioプラットフォームの「頭脳」は強力です。PCE の宣言型ポリシーモデルと変化に適応するためのインテリジェンス (追加の作業なしでアプリケーションを拡張したり、新しいインスタンスをデプロイしたりできるようにする) により、人々は私たちに次のようなことを求めています。 旅の次の段階: 複数のポリシー施行ポイントにわたる統制の調整

プラットフォームの将来は、ネットワークとクラウドベースの執行統制を採用することです。PCE がホストベースの統制にもたらしたシンプルさとインテリジェンスを、シスコとアリスタ、Amazon と Microsoft Azure のセキュリティグループによるネットワークインフラストラクチャに、協調的かつ統一的な方法でもたらすことです。

これは 優れた抽象化の力

Illumioがどのように適応型セキュリティプラットフォームを拡張しているかの詳細をご覧ください。 RSA カンファレンス 2017 のブース N2900 をご覧ください

関連トピック

コア

関連記事

ゼロトラストセグメンテーションプラットフォームに求めるべき3つの特質
ゼロトラストセグメンテーション

ゼロトラストセグメンテーションプラットフォームに求めるべき3つの特質

ネットワーク全体に広がるサイバー攻撃を防ぐ最善の方法は、ゼロトラストセグメンテーションを導入して、ランサムウェアなどの侵害が依存する経路を遮断するアクセス制御を実施することです。

もっと読む
ゼロトラストのパイオニア、チェイス・カニンガムが知っておくべき5つの洞察
ゼロトラストセグメンテーション

ゼロトラストのパイオニア、チェイス・カニンガムが知っておくべき5つの洞察

ドクター・ゼロ・トラストとしても知られるチェイス・カニンガムが、このゼロ・トラスト・リーダーシップ・ポッドキャストのエピソードで自分の考えを語ります。

もっと読む
4 人の IT チームがゼロトラストセグメンテーションを 3 週間で実施した方法
ゼロトラストセグメンテーション

4 人の IT チームがゼロトラストセグメンテーションを 3 週間で実施した方法

イルミオの仮想執行ノード(VEN)エージェントと強制ゼロトラストセグメンテーションがどのようにしてサーバーインフラストラクチャ全体に完全なエンフォースメントを実現するのか。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく