Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
IL L U M IO P R O D U C T S

セキュリティと運用の回復力のバランス:安全で安定したソフトウェアリリースのためのイルミオの戦略

Christer Swartz
ソリューションマーケティングディレクター
Illumio Editorial
2024年7月26日
23分読む

サイバーセキュリティとは、リスクを軽減することです。そのため、セキュリティソリューションが価値を提供するだけでなく、システムに障害が発生した場合に安全を確保する方法を考慮することが非常に重要です。  

イルミオでは、お客様にとって安定性と信頼性を維持することを最優先事項としています。これは、何かが失敗した場合でも回復力を維持するゼロトラストセグメンテーションアーキテクチャを構築するのに役立ちます。

このブログ投稿では、最悪のシナリオの影響を軽減しながらセキュリティを維持するのに役立つ、Illumioプラットフォームで行った設計上の選択の概要を説明します。

イルミオが新しいソフトウェアをリリースする方法

セキュリティベンダーが新しいソフトウェアを顧客にリリースする場合、通常、次の2つの方法のいずれかで発生します。

データプレーンのインライン: これは、ベンダーのソフトウェアがネットワークトラフィックの経路にあるネットワークインフラストラクチャに直接配置されることを意味します。インラインソリューションは、悪意のあるトラフィックをブロックできます。ただし、これは、障害が発生した場合にすべてのトラフィックをブロックすることもできることを意味します。これらのソリューションは通常、オペレーティングシステム、多くの場合カーネル空間への深いアクセスも必要です。深くなればなるほど、何か問題が発生した場合のリスクは高くなります。

管理プレーンのアウトオブバンド: これは、ベンダーのソフトウェアがネットワークインフラストラクチャの残りの部分から分離されていることを意味します。既存のオペレーティング システムの機能を使用し、冗長なソリューションの追加を回避します。カーネル空間にアクセスする必要はほとんどなく、ユーザー空間にとどまります。障害は管理プレーンに一時的に影響する可能性がありますが、データ プレーンには影響しません。つまり、障害が発生しても顧客は保護され、運用が妨げられることはありません。

Illumioは、管理プレーンにソフトウェアを帯域外で展開します。

冗長またはインライン パケット フィルターの代わりに、主要なオペレーティング システムにすでに組み込まれているパケット フィルタリング ツールを使用します。このアプローチにより、これらの既存のツールが自動化され、ワークロードが直接セグメント化されます。パケットフィルタリングはオペレーティングシステムの一部であるため、イルミオソフトウェアを頻繁に更新する必要はありません。  

イルミオは、世界 最大かつ最も複雑な企業や政府機関と協力しています。私たちは、重要なシステムにとって継続的なアップグレードが困難になる可能性があることを理解しています。当社の帯域外展開モデルは、これらの課題を大幅に軽減するのに役立ちます。

イルミオアーキテクチャのカラフルな図

イルミオがSaaSプラットフォームをアップグレードする方法

SaaS クラスターをアップグレードするときは、時差デプロイ ワークフローを使用します。つまり、段階的なプロセスを使用して、一度に 1 つのクラスター グループをアップグレードします。

まず、いくつかの内部の非運用環境で新しい更新プログラムをテストします。これらのテストに合格して初めて、SaaS クラスターのアップグレードを開始し、段階的で時差アップグレードのワークフローを使用してアップグレードを行います。つまり、アップグレードは一度に行うのではなく、段階的に行われ、一度に少数のテナントに対してのみ行われます。

アップグレード中に問題が発生した場合は、すぐにプロセスを停止します。これにより、この問題は、初期のフェーズでアップグレードされた顧客にのみ影響します。(そして、最後の安定したイルミオインスタンスをすばやくロールバックできます。SaaSクラスタをすべてのお客様に同時にアップグレードすることはありません。

イルミオがセグメンテーションポリシーをアップグレードする方法

ワークロードの ゼロトラストセグメンテーション ポリシーを更新する場合、それを必要とするお客様の環境の一部にのみ送信します。

Illumioプラットフォームでは、顧客はラベルを使用して独自のインテントベースのセグメンテーションポリシーを作成します。ロールベースのアクセス制御 (RBAC) は、寛容すぎるポリシーの作成を防ぎます。イルミオは、IPが変更されたり、ワークロードが追加または削除されたりすると、バックグラウンドでこれらのポリシーを更新します。特定の顧客の変更の影響を受けるワークロードのみが、イルミオから更新されたポリシーを取得します。

データセンターとエンドポイントのワークロードの場合、イルミオはネイティブオペレーティングシステムのファイアウォール内でポリシーを受信して適用します。お客様はこのプロセスを完全に制御し、いつ、新しいソフトウェア バージョンにアップグレードするかどうかを決定できます。  

イルミオに新しいソフトウェアバージョンがある場合でも、SaaSプラットフォームには下位互換性があります。これは、古いバージョンのイルミオで引き続き動作することを意味します。このため、顧客は頻繁にアップグレードする必要はありません。独自のスケジュールと独自の変更プラクティスに基づいて、アップグレードをテストしてロールアウトできます。

アーキテクチャがシンプルであれば、リスクも軽減されます

セキュリティスタックから リスク を完全に排除することはできません。しかし、アーキテクチャがシンプルになるほど、障害点が少なくなります。

イルミオプラットフォームの設計により、最悪のシナリオで失敗する可能性のあるものの数が減ります。完全にリスクのないシステムはありませんが、セットアップがシンプルでサイズが小さいため、何か問題が発生した場合に大きな問題が発生する可能性ははるかに低くなります。

Illumioが組織の安全と回復力を維持するのにどのように役立つかについては、今すぐお問い合わせください

関連トピック

No items found.

関連記事

Illumio Coreのあまり知られていない機能:メッシュによるネットワークフローの分析
IL L U M IO P R O D U C T S

Illumio Coreのあまり知られていない機能:メッシュによるネットワークフローの分析

Mesh が複数のデータ ディメンションを一度に表示して、各データ ポイントが環境とどのように相互作用するかをより明確に把握する方法について説明します。

Read more
イルミオがCRN英国の新興ベンダーに選出
IL L U M IO P R O D U C T S

イルミオがCRN英国の新興ベンダーに選出

CRN UK Channel Awardsの新興ベンダーに選ばれたイルミオのゼロトラストソリューションの価値は、リモートワーカーを保護する能力が高く評価されています。

Read more
イルミオでゼロトラストセグメンテーションを簡素化する3つの新しい方法
IL L U M IO P R O D U C T S

イルミオでゼロトラストセグメンテーションを簡素化する3つの新しい方法

ゼロトラストセグメンテーションの導入をこれまで以上に簡単にするのに役立つイルミオの新しいイノベーションについて学びましょう。

Read more
セグメンテーションにイルミオを選ぶ10の理由
ゼロトラストセグメンテーション

セグメンテーションにイルミオを選ぶ10の理由

イルミオがゼロトラストセキュリティ戦略の一環として、セグメンテーションをよりスマート、シンプル、強力にする方法をご覧ください。

Read more
ゼロトラストセグメンテーションプラットフォームに求められる3つの資質
ゼロトラストセグメンテーション

ゼロトラストセグメンテーションプラットフォームに求められる3つの資質

ネットワーク全体に広がるサイバー攻撃から保護する最善の方法は、ゼロトラストセグメンテーションを導入し、ランサムウェアなどの侵害が依存する経路をブロックするアクセス制御を実施することです。

Read more
イルミオが2024年第2四半期にフォレスターのマイクロセグメンテーション環境で注目すべきベンダーに選出
ゼロトラストセグメンテーション

イルミオが2024年第2四半期にフォレスターのマイクロセグメンテーション環境で注目すべきベンダーに選出

イルミオゼロトラストセグメンテーションプラットフォームが、Forresterの概要のコアおよび拡張ユースケースのすべてとどのように一致しているかをご覧ください。

Read more

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more