キャセイパシフィックセキュリティがイルミオに乗り出す
主なメリット
導入のしやすさ
キャセイは、保護が必要なアプリケーションと、トラフィックフローを簡単に遮断または許可する方法が必要であることを新たに理解したおかげで、年末のセキュリティ期限を乗り越えました。
自信とコラボレーションの向上
最初にテストモードでポリシーを実行することで、セキュリティチームとアプリケーション所有者は、ポリシーを適用しても重要なアプリケーションが壊れることはないと確信できます。
何百万もの節約
キャセイは、PCIコンプライアンスとセグメンテーションの取り組みにIllumioを利用することで、データセンターのファイアウォールのコストを推定500万ドル削減しました。
概要と課題
彼らの名前は、航空機の安全からチケット販売まで、ほぼすべての「航空会社の誰」リストに載っており、トップ10にランクされています。
世界クラスの航空会社運営に注力してきたキャセイパシフィック航空にとって、このような称賛は避けられないものでした。しかし、今日のサイバーセキュリティ環境において新たに避けられない攻撃の標的にされたとき、香港に拠点を置くこの航空会社は、短期間でセキュリティプログラムへの注力を倍増させました。
キャセイのインフラストラクチャー・エンジニアリング責任者であるYC Chan氏は、「ゼロトラストと最低限の特権がすぐに議論に加わりました」と説明しました。「実装しなければならないことはわかっていました。 マイクロセグメンテーション 最も重要なアプリケーションを適切なレベルで保護してくれます。」
マイクロセグメンテーションの最終目標が横方向の動きを防ぎ、「クラウンジュエル」アプリケーションを保護することだとしたら、Chanと彼のチームは、最初から誰よりもネットワークをよく知っている必要があります。
チームは、ネットワーク全体のアプリケーショントラフィックを可視化する必要がありました。しかしそれ以上に、Chan は可視性とセグメンテーションの目標を可能な限り効率的な方法で達成するのに役立つソリューションを求めていました。
「ある程度の可視性と洞察を提供するディスカバリーツールはありましたが、最終的には視覚化とポリシーワークフローを統合できませんでした」とChan氏は言います。「年末までに目標を達成するには、アプリケーションとワークフロートラフィックを表示し、フローをブロックまたは許可するように迅速かつ効率的に行動できるインターフェースが必要でした。」
イルミオがどのように役立ったか
Chanと彼のチームはIllumio Coreに目を向け、すぐに「マイクロセグメンテーションを行う最も簡単な方法」であることに気づきました。
1つは、リアルタイムのアプリケーション依存関係マップにより、サーバー間のすべての接続と、アプリケーションが通信している内容を確認できることです。この機能があれば、何を保護する必要があるかがわかり、フローをただちにブロックまたは承認するためのアクションを実行できるようになります。
そして、600件の応募があったため、チームは期待を上回りました。
施行前にポリシーをテストモードで実行できることが、キャセイ航空の導入を成功させる上で重要な役割を果たしました。これにより、インフラストラクチャ、セキュリティチーム、およびアプリケーション所有者間の継続的なコラボレーションが可能になりました。
アプリケーション所有者と連携してフローを確認し、ポリシーの定義を支援します。ファイアウォールのルールを読むように依頼することはできませんでしたが、Illumio の App Owner View マップとわかりやすい言葉のラベルを使用すると、フローを理解してポリシーを適用するのがはるかに簡単になります。 ワイシー・チャン インフラストラクチャー・エンジニアリング責任者 キャセイパシフィック
結果は?最も差し迫った期限に間に合わせるのに役立った、信頼性が高く徹底した執行プロセス。
「私たちはアプリケーションオーナーと協力してフローを見直し、ポリシーの定義を支援しています」とChan氏は言います。「ファイアウォールのルールを読むように頼むことはできませんでしたが、Illumio の App Owner View マップとわかりやすい言葉のラベルを使うと、フローを理解してポリシーを適用するのがずっと簡単になります。当社のアプリケーションは適切なレベルのセグメンテーションで保護されており、施行中も中断されることはないと確信しています。」
キャセイは引き続きイルミオを使用して内部防御を強化しているだけでなく、別の課題の解決にも役立ちます。 PCI DSS コンプライアンス。
カード会員データを保護することは、キャセイにとって最も重要です。Illumio Core のマッピングおよびポリシー作成機能により、企業は多くの PCI コンプライアンス要件を満たすことができます。
チームはまた、1,000台を超えるワークステーションでSecureConnectを活用して、移動中のデータをワークロード間で瞬時に暗号化しています。
このコンプライアンスイニシアチブの代替手段は、キャセイのコールセンターオフィスを強化するために数十のデータセンターファイアウォールを設置することでした。これは推定500万ドルの費用でした。はるかに少ない労力と支出で、キャセイは PCI の安心への道を順調に進めています。
結果とメリット
- 価値創出までの時間を短縮
チームは予定より早く、予想よりも早く、キャセイの最も重要で脆弱なアプリケーションをセグメント化しました。 - リスクの軽減、稼働時間の増加
ネットワークを変更せずに新しいポリシーの影響をテストできることで、適用によってアプリケーションが中断されることは決してないという確信がチームにもたらされます。 - 部門横断的な可視性の向上
リアルタイムマップを使用してアプリケーション所有者をセグメンテーションプロセスに参加させると、ポリシーの精度が向上し、最終的にはキャセイのセキュリティ体制が強化されます。 - コンプライアンスへの明確な道筋
このチームは、PCI コンプライアンスに関する潜在的なファイアウォールのコストを数百万ドル削減できるだけでなく、Illumio Core の暗号化、可視性、およびセグメンテーション機能を自由に利用して、コンプライアンス要件を満たすのに役立てています。
新しいサーバーやアプリケーションを導入するときはいつでも、Illumioは試運転プロセスの一部です。導入と実装が簡単であることが証明され、アプリケーション中心主義になるのに役立ちました。 ワイシー・チャン インフラストラクチャー・エンジニアリング責任者 キャセイパシフィック
Assume Breach.
影響を最小限に抑えます。
レジリエンスを高めます。
ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?