コンテナのセキュリティが壊れている(ゼロトラストがそれを修正するのに役立ちます)

コンテナは、企業がアプリケーションを作成、実行、拡張する方法を変えました。開発者はそれらを愛用しています。

セキュリティチーム?それほど多くはありません。

コンテナは、物事をより速く、より柔軟に、より効率的にします。しかし、それらはまた、大きなセキュリティ上の課題ももたらします。なぜでしょうか。セキュリティを念頭に置いて設計されていませんでした。

イルミオのセキュリティ専門家であるクリスター・スワーツ氏とネイサン・トラン氏は、最近のウェビナー「ゼロトラストによるコンテナセキュリティの簡素化」でコンテナセキュリティについて話しました。

彼らは、従来のセキュリティ手法がコンテナでうまく機能しない理由と、マイクロセグメンテーションでゼロトラストアプローチを使用することで、チームが何が起こっているかを確認し、ネットワークを介して広がる前に攻撃を阻止する方法を共有しました。

コンテナはセキュリティの悪夢である必要はありません

コンテナ、特にKubernetesは急速に成長しており、ほとんどのセキュリティ戦略が追いつくことができるよりも速いです。実際、 ガートナー の専門家は、今年はほぼすべてのデジタルワークロードがクラウドベースになると予測しています。  

しかし、多くのセキュリティチームはまだ適応に苦労しています。問題を。従来のセキュリティツールは、レガシーシステム用に作られていました。ワークロードは 1 か所にとどまり、追跡が容易でした。  

ただし、コンテナはまったく異なる方法で機能します。

大きな課題の 1 つは 可視性です。セキュリティチームは、コンテナクラスタに出入りするトラフィックを確認できます。しかし、彼らは内部で何が起こっているのかを見ることができません。その可視性がなければ、脅威の発見はほぼ不可能です。  

コンテナもすばやく起動および停止します。これにより、攻撃者は忍び込み、弱点を突き、誰にも気づかれないうちに姿を消す機会が得られます。

多くの人は、容器が長持ちしないからといって安全だと思い込んでいます。しかし、短命だからといって安全というわけではありません。  

ハッカーは損害を与えるのに多くの時間を必要としません。侵入すると、コンテナを使用してシステム内を移動し、機密情報にアクセスし、ネットワークを介して拡散できます。

コンテナのセキュリティに関する一般的な誤解

コンテナのセキュリティはこれまで以上に重要になっていますが、いくつかのよくある誤解が依然として企業の防御の改善を妨げています。

最も一般的な神話のいくつかを打ち破りましょう。

• コンテナーは既定で安全です。 コンテナは隔離されているため、自動的に安全であると考える人も多いでしょう。しかし、適切なセキュリティ対策がなければ、攻撃者は侵入する方法を見つけることができます。設定ミス、脆弱なパスワード、または公開された API がある場合、ハッカーは簡単に悪用してシステムに侵入する可能性があります。‍
• 従来のセキュリティツールは正常に機能します。 古いセキュリティツールは、最新のコンテナ環境向けに設計されていませんでした。多くの場合、Kubernetes クラスター内で何が起こっているかを見ることができません。セキュリティシステムがコンテナトラフィックの明確な可視性や制御を提供しない場合、隠れた脅威を見逃している可能性があります。‍
• マイクロセグメンテーションは開発を遅らせます。 セキュリティを追加すると開発プロセスが遅くなると考える人もいます。しかし、適切な ゼロトラストアプローチ は、DevOpsワークフローでスムーズに機能します。イノベーションとスピードを妨げ ることなく 、アプリケーションを安全に保ちます。

これらの神話を理解することは、古いセキュリティ手法から脱却し、最新のコンテナ環境を本当に安全に保つ戦略を使用するために重要です。

ゼロトラスト戦略がコンテナセキュリティの答えである理由

すべてのサイバー攻撃を防ぐことはできませんが、ハッカーが侵入すると拡散するのを防ぐ ことはできます 。  

それがゼロトラストの力です。ゼロトラストは、脅威が発生してから検出するのを待つのではなく、コンテナ内であろうと他のシステム内であろうと、ワークロード間のアクセスを制限するため、攻撃者は自由に移動できません。

ゼロトラストがコンテナの保護にどのように役立つかは次のとおりです。

• 死角をなくします。コンテナ、VM、クラウドワークロードを完全に可視化することで、攻撃者が隠れることがなくなります。‍
• 防止 ラテラルムーブメントです。 厳密なセグメンテーションによりアクセスが制限されるため、攻撃者がコンテナを侵害したとしても、それ以上進むことはできません。‍
• 攻撃対象領域を縮小します。必要な接続のみが許可されるため、攻撃者が脆弱性を悪用することが困難になります。

速度低下のない一貫したマイクロセグメンテーション

ほとんどのセキュリティソリューションの課題は、コンテナ用に構築されていないことです。ワークロードが 1 か所にとどまり、予測可能な通信パターンに従うことを前提としています。コンテナはこれらの仮定を打ち破ります。  

そのため、イルミオのアプローチは異なります。

従来のセキュリティモデルをコンテナに強制する代わりに、 イルミオゼロトラストセグメンテーション(ZTS) は、セキュリティをコンテナのライフサイクルに統合します。私たちのアプローチは、次のことを保証します。

• 帯域外の可視性。コンテナクラスター内やハイブリッド環境全体を含む、すべての接続に関するリアルタイムの洞察を提供します。‍
• ゼロタッチ展開。セキュリティは、DevOpsワークフローを遅くすることなく、自動的に適用されます。‍
• エージェントレスおよびエージェントベースの柔軟性。Kubernetes、OpenShift、またはコンテナプラットフォームの組み合わせなど、環境に最適なモデルを選択します。

コンテナが起動するとすぐにセグメンテーションポリシーを適用することで、Illumio ZTSは最初からセキュリティが組み込まれていることを保証します。これは、パケットがポッドを離れるまでに、すでにゼロトラストの原則に従っていることを意味します。

コンテナセキュリティの未来

コンテナはどこにも行きませんし、脅威もどこにも行きません。組織は時代遅れのセキュリティ モデルを超えて、侵害の拡大を防ぐ戦略を採用する必要があります。  

コンテナセキュリティの未来は、脅威を追いかけることではありません。それは、彼らが始まったところで彼らを止めることです。

Illumio ZTSを使用すると、セキュリティチームはイノベーションを遅らせることなく、自信を持ってコンテナを管理できます。  

コンテナ環境での侵害の封じ込めについて詳しく知る準備はできていますか? ウェビナーの全文を見る now、または お問い合わせ 今日。