一流の医療教育機関がIllumioで個人情報漏えいを防ぐ

ビジネス目標

15,000人の学生と教職員にオンライン教育を提供するトップヘルスケアキャリアスクールのIT組織になることは簡単なことではありません。すべてのユーザーが、規制の下で保護され、セキュリティコンプライアンスの対象となる個人識別情報 (PII) をクラウド規模で提供します。

同校のシニア・セキュリティ・ディレクターは、PIIの保護に関する標準規制に準拠するために、保護対象システムの境界を越えたリングフェンシングを強化し、PIIの保護に関する標準規制に準拠することを目指しました。動的なユーザー人口には、データベースへの動的なユーザーセグメンテーションが必要です。

しかし、インフラストラクチャ上のファイアウォールに縛られていると、必要な細分性を維持することができませんでした。また、ファイアウォールの使用による変更管理と運用上の負担は、ビジネスニーズに合わなかったのです。

「私たちには非常に多くの人々とシステムがあるため、ポリシールールを効率的かつ安全に実施できることが最も重要でした。ファイアウォールの場合、数か月かかることもありました」と、シニア・セキュリティ・ディレクターは説明しました。「変更管理を行う必要があります。ハードウェアがダウンすると、データセンター全体が危険にさらされます。これにより、障害点が発生して複雑になり、ネットワークスタッフに負担がかかります。新しいデータベースはどれも調整が必要です。」

内部ファイアウォールによるネットワーク上のセキュリティは、クラウドベースの需要に追いつくことができませんでした。

イルミオがどのように役立ったか

チームが運用できる適切なセグメンテーションソリューションを見つけるという難題は、最終的にそれを運用することになるアドバイザリーシステムエンジニアの手に委ねられました。

Illumio Coreは両方の実装ですべての項目をチェックしてくれました。これが私の最初で最後の選択でした。これにより、本番環境の通信フローをすべて確認し、障害に直面することなくファイアウォールのルールをテストできます。 アドバイザリー・システム・エンジニア医療教育機関

彼はIllumioを使ったソフトウェアベースのアプローチを選びました。

同校のアドバイザリー・システム・エンジニアは、「マイクロセグメンテーションには興味があったが、ACLをネットワーク・インフラストラクチャーで使用したくなかった。テスト環境とシステム停止期間が必要だった」と話した。「それと同時に、セキュリティチームは Windows サーバのネイティブなセキュリティ機能を使い始めたいと考えていました。Illumio Core はどちらの実装でもすべての項目をチェックしてくれました。これが私の最初で最後の選択でした。これにより、本番環境の通信フローをすべて確認し、システム停止に陥ることなくファイアウォールのルールをテストできます。」

Illumio CoreのWindowsフィルタリングプラットフォームのオーケストレーションをサーバーレベルで使用することで、ネットワークの中断を防ぐことができます。これは、プロダクションファイアウォールの使用によって導入されたルール違反によるアプリケーションの停止リスクとは対照的です。

Illumio のリアルタイムアプリケーション依存関係マップを導入したその日のうちに、チームはデータ資産全体のトラフィックフローを視覚化できました。イルミオのおかげで、論理的なポリシーを作成し、実施前にテストし、ネットワークを再構築することなく、クラウド規模でシステムを侵害から保護できるようになりました。

結果とメリット

• 再設計は不要
  Illumioのホストベースのソリューションにより、チームはネットワークに影響を与えたりダウンタイムしたりすることなく、ポリシーをテストして適用できます。
• 総合的な可視性
  アプリケーション依存関係マップを使用してデータ資産全体に流れるトラフィックを視覚化したところ、チームはデプロイの初日に「未知の未知数」を発見しました。
• 実証済みのセグメンテーション
  コンプライアンスグレードのきめ細かなセグメンテーションにより、PIIを保護するために必要な動的な可視性と制御を実現しました。
• フレキシブルな粒度
  ‍開発チームは、ユーザーセグメンテーションの枠を超えて、開発者が本番環境で作業することを防ぐための環境分離に取り組んでいます。これは、ウェブ規模のビジネスでは絶対に負うことのできないリスクです。