コンテナと Kubernetes 環境の保護に関する上位 3 つの課題を解決する方法

あなたの組織では、DevOpsと「シフトレフト」アプローチを同時に採用すると同時に、開発および本番インフラストラクチャについての考え方を変えていますか？あなただけではありません。

限られたハードウェアサーバーと標準化された開発スイートを備えたオンプレミスデータセンターの時代は、今や後戻りしています。開発者は、自分のアプリケーションに最適なクラウド、クラウドサービスインスタンス、またはツールを自由に活用できる必要があります。

この新たな柔軟性は、迅速なイノベーションを促進する一方で、絶え間なく変化する環境において一貫性がありながら柔軟なセキュリティを導入するにあたっては、多くの課題ももたらします。 コンテナ そして クベルネテス環境。

コンテナと Kubernetes 環境の保護に関する 3 つの課題

コンテナと Kubernetes 環境には、ネットワークの他の部分と同じ種類のセキュリティは必要ないという誤解がまだよく見られます。これはまったく真実ではありません。セキュリティチームがコンテナと Kubernetes 環境を保護しようとすると、大きな困難に直面します。主な課題は 3 つです。

1。動的コンテナと Kubernetes 環境へのセキュリティポリシーの適応

マイクロサービスアーキテクチャを採用し、コンテナ化されたKubernetesサービスを選択すると、サービスの可用性の向上、シームレスなアップグレード、自動スケーリング、プラットフォームの移植性など、さまざまなメリットが得られます。しかし、コンテナのライフサイクルは Kubernetes によって調整され、多くのタスクが自動化されており、コンテナ自体はほんの数秒しか存在しないのに、ほんの数分しか続かないこともあります。

このような動的な性質は、セキュリティ管理者にとって課題となるため、主に入口と出口でポリシーを適用することに重点を置く必要があります。マルチクラスターサービスメッシュとクラウド間のサービスメッシュフェデレーションの出現により、コンテナーをどこにでもデプロイし、サービスメッシュ全体で接続できるようになりました。

境界防御のみに頼ることは、サービスメッシュが拡大するにつれて効果が低下します。

2。スタック全体にわたる強制の確保

AWS Elastic Kubernetes Service (AWS EKS) など、パブリッククラウドのマネージド型Kubernetesサービスを詳しく見てみると、ネットワークファイアウォール、セキュリティグループ、アプリケーションロードバランサー、Kubernetesネットワークポリシーなど、それぞれがセキュリティのさまざまな側面に貢献している複数の適用ポイントが明らかになります。サービスメッシュの導入により、認証ポリシーのレイヤーがさらに追加されます。

多くの場合、これらの強制ポイントは、クラウドチームやプラットフォームチーム、DevOpsチーム、アプリケーション開発者など、さまざまなチームの所有下にあります。クラウドネイティブ・セキュリティは、さまざまなチーム間の責任分担として広く認識されています。パブリッククラウド内の Kubernetes スタックでは、このような所有権の断片化が特に難しい場合があります。ここで疑問が生じるのは、ネットワークとアプリケーションのセグメンテーションをギャップなく実現するにはどうすればよいか、ということです。

3。ハイブリッド環境とマルチクラウド環境全体で統一されたポリシーを確立する

ここで多くの企業が重大な障害に直面しています。

通常、ほとんどのポリシーコントロールは特定の環境に限定され、その制限内でのみセグメンテーションが行われます。しかし、今日の複雑で相互接続された環境では、これらの分離されたポリシーでは不十分であり、マルウェアがそれらの環境内を横方向に移動する可能性のある脆弱性が生じることがよくあります。事態をさらに複雑にしているのは、環境によってワークロードが異なると、メタデータと属性のセットも異なることです。

これらすべての課題は、セキュリティチームがアタックサーフェス全体をエンドツーエンドで可視化するソリューションを考案しなければならないことを意味します。

Kubernetes 向け Illumio Core がこれらの課題をどのように解決するか

Illumio Core for Kubernetesを使用すると、セキュリティチームは、動的な環境の保護、スタック全体にわたるポリシーの適用、ハイブリッドクラウドとマルチクラウドの導入における一貫したセキュリティポリシーの維持に関連する課題を克服できます。

Kubernetes コントロールプレーンとの統合: IllumioはKubernetesコントロールプレーンとシームレスに統合され、ノード、名前空間、サービス、ワークロード、ポッドの作成と削除に関する情報を受け取ります。これにより、Illumio は対応するポリシーを動的に適用できます。

ヘルムチャートのインストール: Illumioは、Illumioのセキュリティソリューションに必要なすべてのKubernetesリソースと構成をカプセル化したHelm Chartsを提供することで、導入プロセスを簡素化します。これらのチャートは Helm 値を使用して特定の要件に合わせてカスタマイズできます。Helm を使用することで、Illumio は DevOps ワークフローにシームレスに統合されます。

ラベルベースのポリシー: Illumioのラベルベースのポリシーは、マルチクラウド環境における混合ワークロードの管理に特に適しています。管理者はメタデータと属性を共通のラベルセットにマッピングできるため、セキュリティ評価への一貫したアプローチが可能になります。

クラウドメタデータとKubernetesラベルからラベルへのマッピング: Illumioでは、DevOpsユーザーがKubernetesノードラベルからIllumioラベルへのラベルマッピングを指定できます。これにより、デフォルトの環境情報をラベルセットにマッピングするプロセスが簡単になり、ノードがクラスタに追加されたときにポリシーを容易に適用できるようになります。

スケーラビリティとパフォーマンス: 企業がクラウドとアプリケーションの取り組みを拡大し続ける中、イルミオのソリューションは徹底的にテストされ、将来の成長需要を満たすように拡張できるようになっています。

今すぐお問い合わせ イルミオコアがKubernetesデプロイメントをどのように保護できるかについて詳しく学んでください。