連邦部門がゼロトラストセグメンテーションにイルミオを選ぶべき7つの理由

連邦部門は、国家が支援するスパイ活動から日和見主義的な悪質な行為者まで、あらゆる種類のハッカーにとって魅力的な標的です。

機密環境、重要インフラ、国防総省のネットワークでは、最も高度な脅威からも保護するために、防止と侵害封じ込めの両方を含む、特に強力なサイバーセキュリティソリューションが必要です。

サイバー攻撃者は常にネットワークの外部防御を突破し、ネットワーク管理者による既知の脆弱性や人的ミスと相まって、ネットワーク内部を自由に制御し、攻撃者はミッションをさらに阻止する可能性があります。

その場合、特にワークロード間のサイバー攻撃の横方向の移動を妨げるものは何もありません。感染したワークロードを迅速に隔離し、サイバー攻撃や マルウェア がネットワーク全体に横方向に拡散するのを防ぐソリューションが必要です。

イルミオゼロトラストセグメンテーションは、 マイクロセグメンテーションとも呼ばれ、マルウェアやサイバー攻撃の拡散を防ぐことでゼロトラストセキュリティアーキテクチャを完成させます。実際、ホストベースのマイクロセグメンテーションがない場合、ゼロトラストアーキテクチャは不完全です。

ここでは、イルミオが連邦部門の支店に優れた信頼性の高いマイクロセグメンテーションを提供する7つの方法を紹介します。

1. 敵の横方向の動きを止める

連邦部門には厳しいセキュリティ要件があり、予防が重要です。しかし、最も堅牢なサイバーセキュリティソリューションでさえ、最終的には何らかの侵害を経験します。

イルミオは、その侵害の意図を理解するために複雑で時間のかかる分析を必要とせずに、その侵害を封じ込めます。イルミオは、感染したワークロードが マルウェアペイロード を横方向に伝播するのを防ぎ、マルウェアがあるワークロードから次のワークロードに移動するために使用する開いているポートを閉じます。

2. DoD ZTRA v.2.0 と OMB M-22-09 の連邦 ZTRA の両方でゼロトラストを有効にします。

2022年9月にリリースされた国 防総省ゼロトラストリファレンスアーキテクチャは、連邦セクターのデジタル環境に必要なセキュリティアーキテクチャとしてマイクロセグメンテーションを具体的に呼びかけています。これは、ネットワーク ファブリックで使用されるようなマクロセグメンテーション ソリューションとは区別されます。

さらに、2022年1月にリリースされた連邦ゼロトラストアーキテクチャは、ホストベースのマイクロセグメンテーションについて具体的に言及しているNIST 800-207を参照しています

これらのガイドラインはゼロ トラスト を マイクロセグメンテーションと同一視しており、イルミオはこれらの要件を満たすツールセットを提供します。

3. 機密環境を保護

連邦政府は、アーキテクチャのIT側を機密のコアネットワークアーキテクチャから明確に分離し、機密環境の周囲に厳重なセキュリティを配置する必要があります。

Illumioは、 ワークロードセキュリティ を直接管理するか、スイッチやロードバランサーなどのネットワークデバイスとセキュリティコンテキストを交換することで、すべてのトラフィックの可視性と適用を可能にします。

イルミオは、脅威がITリソースを通過するのを防ぎ、機密コアをセキュリティ侵害から保護および隔離します。これは、ホストベースのマイクロセグメンテーションを通じて行われます。

4. ワークロード中心のトラフィックの可視化

ワークロードのトラフィックと依存関係の可視性は、ファイアウォールやセキュリティアプライアンスからこの情報にアクセスするのではなく、ワークロードの観点から直接有効にする必要があります。

Illumioは、ネットワークに触れることなく、マネージドワークロードとアンマネージドワークロード間のすべてのトラフィックを可視化します。これにより、ワークロードを任意のネットワークファブリックに展開し、異なるネットワークファブリック間でワークロードを移行することができ、それらのファブリックのいずれかに依存することなく、すべてのワークロード間の可視性を包括的に可視化できます。

さらに、IPアドレスはラベルにマッピングされるため、それ自体が攻撃ベクトルであるIPテーブルは必要ありません。

イルミオは、この可視性から直接ポリシーを作成することも提供し、可視性のために1つのツールセットを使用した後、別のツールセットでポリシーを定義する必要がなくなります。つまり、ワークロードポリシーはワークロードで直接作成されます。

5. 複雑さのない東西のマイクロセグメンテーション

ワークロード間の East-West トラフィック の制御には、伝播をブロックまたは防止するために複雑な操作は必要ありません。

連邦部門には多くのサイバーセキュリティツールがあり、その多くに共通するのは複雑さです。

イルミオは、単純な東西のマイクロセグメンテーションを可能にします。ラテラル プロパゲーションは、 ネットワーク セキュリティ アプライアンスに依存せずに制御され、代わりにすべてのワークロードでトラフィックを直接適用します。これにより、あらゆる規模での横方向伝播の強制が大幅に簡素化されます。

6. ZTNAセキュリティソリューションとの統合

ゼロトラストは、アクセスされるリソース、つまりワークロード自体に可能な限り信頼の境界を押し広げます。ZTNA(ゼロトラストネットワークアクセス) は、トラフィックのソースであるエンドポイントにできるだけ近づけて、信頼の境界を反対方向に押し上げます。

ZTNA ツール は、受信セッションを認証し、ネットワーク トポロジを構築します。これにより、そのエンドポイントの資格情報によって付与されたワークロードにのみ可視性が付与されます。

イルミオはZTNAソリューションと統合できるため、イルミオとコンテキストを交換し、イルミオが関連するセッションへのアクセスを確実に可能にすることができます。

イルミオは、ZTNA境界が侵害された場合にワークロードの保護も可能にします。マルウェアが何らかの形でZTNA境界を侵害した場合、イルミオは最初にハイジャックされたワークロードを他のすべてのワークロードから分離します。これにより、マルウェアが試みるように設計されたネットワーク全体の横方向の移動が防止されます。

7. メタデータ主導のポリシー

ネットワークセキュリティは従来、ポリシーを定義する際にワークロードのIPアドレスをIDとして使用してきました。しかし、最新のワークロードでは、VM がレイヤー 3 の境界を越えてライブ移行したり、コンテナ ワークロードがスピンダウンしてから別の IP アドレスでスピンアップしたりするなど、IP アドレスを動的に変更できます。

ワークロードと IP の関連付けは、最新のコンピューティング リソースでは一時的なものであるため、ポリシーはメタデータに依存してワークロードを識別する必要があります。

イルミオは、ラベルとも呼ばれる多次元メタデータをすべてのワークロードに割り当て、ライフサイクル全体にわたってそれらのワークロードに関連付けられているIPを追跡します。これにより、イルミオはこれらのラベルを使用して人間が読めるポリシーを定義し、ルールを定義できるようになり、East-Westセキュリティがユーザーがアクセスされているリソースを認識する方法により厳密に一致できるようになります。

イルミオは、IPアドレスに固有のルールを定義するという従来の課題を回避します。

イルミオによるマイクロセグメンテーションの詳細をご覧ください。

 
• イルミオが世界的な法律事務所がランサムウェアの拡散を阻止 するのにどのように役立った かをご覧ください。
• Forresterがイルミオをゼロトラストとマイクロセグメンテーションのリーダーに選出した理由をご覧ください。
• イルミオがマイクロセグメンテーションを高速、シンプル、スケーラブルにする方法については、この ガイド をお読みください。
• イルミオがサイバーセキュリティの脅威に対する防御の強化にどのように役立つかについては、お問い合わせください。