ナノセグメンテーション℠:大騒ぎは何ですか?

先週のRSAカンファレンスで、イルミオは、データセンターとクラウドで実行される多層アプリケーションを保護するための最新のイノベーションであるナノセグメンテーションを導入しました。Illumio Adaptive Security Platform(ASP)^TM は、アプリケーションのセグメンテーションを個々のワークロードの粒度からワークロード内で実行されるプロセスに拡張するようになりました。

Illumio シアターのプレゼンテーションを見た RSA の参加者は、ナノセグメンテーションによって企業の脅威への露出が劇的に減少し、攻撃の「爆発半径」が制限される効果を実感しました。ナノセグメンテーションにより、単純なドラッグ アンド ドロップ操作で侵害されたサーバーを隔離できる仕組みを業界で初めて紹介しました。データ センターやクラウドに分散された動的なコンピューティング環境のセキュリティを処理するには、データ センターをセグメント化してアプリケーション (開発、テスト、運用など) を分離するか、アプリケーション ( PCIコンプライアンスなど) を分離する必要があります。しかし、すべてのセグメンテーションが同じように作成されるわけではありません。説明させてください。

すべてのセグメンテーションが同じように作成されるわけではありません。

私たちのほとんどは、数年前にSDNベンダーによって導入された「マイクロセグメンテーション」という用語に精通しています。マイクロセグメンテーションは、企業が仮想環境で実行されているアプリケーションを分離する方法として推進されました。ただし、マイクロセグメンテーションの現在のソリューションには、ハイパーバイザー、ネットワーク構造(VLAN、サブネット、セキュリティゾーンなど)、またはその他のハードウェア(スイッチ、ルーターなど)に関連付けられているなど、多くの文字列が添付されています。ほとんどのソリューションは、クラウド内のアプリケーションやベアメタルサーバーを含むアプリケーションのセグメンテーションには対応していません。アプリケーションのセグメンテーションによるセキュリティの目標は善意ですが、既存のソリューションでは不十分です。

ナノセグメンテーションの登場  

データ センター アプリケーションに対して最もきめ細かいセグメンテーションを実現するための最初のステップは、攻撃対象領域をデータ センターとクラウド内の個々のコンピューティング ユニット (任意の VM またはベアメタル サーバー) まで絞り込むことです。Illumio ASP は、すべてのワークロードに対して正確なインバウンドおよびアウトバウンドのセキュリティ ルールを動的にプログラミングすることでこれを実現します。これにより、プラットフォームはあらゆるコンピューティング インスタンス (あらゆるデータ センターまたはクラウド内) の周囲に適応型の境界を作成し、実質的に 1 つのセグメントを作成できるようになります。Illumio ASP の動的なホワイトリスト ポリシー モデルと組み合わせると、管理者はネットワークに依存せずに、アプリケーションの許可されたワークロード インタラクションを完全に指定できるようになります。最新の製品リリースでは、Illumio はこれをさらに一歩進め、複数のアプリケーションを単一のホスト上のプロセスに分割できるようにしました。たとえば、単一のワークロード上の Apache プロセスの 2 つのインスタンスを、2 つの異なるアプリケーションに分割できます。

名前はどうですか?

私たちは、ナノセグメンテーションのような名前で、ちょっとしたマーケティングのワンアップマンシップにふけったのでしょうか?それどころか、それは意図的であり、証拠によって裏付けられています。ナノセグメンテーションは、その名前が示すように、企業はアプリケーションを可能な限り細かくセグメント化することができます。私たちは、セキュリティを損なわずにデータセンターとクラウドにまたがるアプリケーションをセグメント化できる「ケーキを持って食べる」方法があることを企業に知ってもらいたかったのです。さらに重要なことは、この機能により、アプリケーションのセグメンテーションがどのコンピューティング環境でも同等に効果的になることです。

そしてもう1つ、「ナノ」という用語は、ネットワークに依存しないセキュリティというイルミオの信条に信憑性を与えています。これは「Never Again Network-Oriented」の頭字語です。