.png)
イルミオのエージェントがインラインエージェントよりも信頼できる理由
シークレットは 、データを保護したいときに使用するのに適した言葉のように思えます。そして、あなたの好みがミッション:インポッシブルかオースティン・パワーズかにかかわらず、優れたシークレットエージェント映画が嫌いな人はいないでしょうか?
しかし、セグメンテーションに関して言えば、秘密諜報員は最も望ましくありません。
サイバーセキュリティエージェントの仕事は決して終わらないものであり、不可欠です
イルミオのエージェントについて話すとき、通常、ジェイソン・ボーンのことは話しません。代わりに、あらゆるセグメンテーション展開の主力であるエンドポイントエージェントについて話しています。イルミオのエージェントソフトウェアは 仮想エンフォースメントノード またはVENと呼ばれ、私たちが保護するすべてのワークロードで実行されます。
イルミオVENの詳細については、この概要をご覧ください。
エージェントには、次の 3 つの主要なジョブがあります。
- イルミオの中心脳であるポリシーコンピューティングエンジン(PCE)との常時通信を維持します。いつも靴の電話に向かって話しているマクスウェル・スマートを思い浮かべてください。
- これは、着信または発信するすべての接続の送信元と宛先など、ワークロードで何が起こっているかを監視します。
- 組織に定義したセキュリティ ポリシーが適用され、必要な接続を許可し、不要な接続をブロックします。
データ侵害のリスクを軽減するには、執行部分が重要です。しかし、秘密諜報員が多くのトラブルに巻き込まれる可能性がある場所でもあります。
イルミオの軽量で信頼性の高いVENの詳細については 、こちらをご覧ください。
シークレットエージェントはネットワークトラフィックのインラインに配置されます
セグメンテーションエージェントには、ワークロードに適用されるセキュリティポリシーを理解し、すべてのインバウンドおよびアウトバウンド接続がそのポリシーに準拠しているかどうかをチェックする必要があるという複雑なジョブがあります。
誤ってブロックされた接続は、ビジネス運営に影響を与える可能性がありますが、危険な接続を許可することは、攻撃者に扉を開くようなものです。エージェントは毎回正しい決定を下す必要があります。また、100% の信頼性が必要であり、アプリケーションのパフォーマンスや可用性に影響を与えないようにする必要があります。
技術レベルでは、執行に関しては主に 2 つのアプローチがあります。
- エージェントはすべての接続の真ん中に座って、何を許可またはブロックするかをその場で決定できます。
- あるいは、個人的な手下であるオペレーティングシステムの助けを借りて、汚い仕事をすることもできます。
前者を インライン エージェントと呼びます。このエージェントは、オペレーティングシステムのコアであるカーネルに深くフックするソフトウェアです。ワークロードに出入りするネットワークトラフィックのすべてのパケットは、カーネルからエージェントに引き継がれます。エージェントは、そのパケットを検査し、許可する必要があるかどうかを決定してから、カーネルに返す必要があります。
すべてのパケットにフルアクセスできるエージェントは、パケットを許可する必要があるかどうかを評価するために使用できる情報が多数あるため、非常に強力です。ただし、これらの薬剤は非常に危険な場合もあります。そのたびに疑問に思わなければなりません:あなたのパケットは、Qの見事な発明に裏打ちされたジェームズ・ボンドによって保護されるのでしょうか?それともガジェット警部に失敗するのでしょうか?
インラインエージェントが信頼できない2つの理由
多くの組織にとって残念なことに、この例えには何も面白いことは何もありません。インラインエージェントはあまり良い実績を持っていません。
通常、最初の懸念事項は パフォーマンスです:インラインエージェントは、ワークロードに顕著な影響を与え始める前に、単純なルールと基本的な検査のみを適用できます。エージェントが過負荷になった場合の影響には、CPU 負荷が高くなり、ネットワーク スループットが低下する可能性があります。アプリケーションのパフォーマンスの低下を犠牲にしてセキュリティを確保することは、あまり良いトレードオフではありません。
ただし、パフォーマンス以外にも、 信頼性に関する疑問もしばしばあります。エージェントが任務に失敗した場合はどうなりますか?手首のコミュニケーターがダウンしたり、エージェントが予期しない入力を受け取ったりする可能性があります。あるいは、エージェントが単にその任務に就いておらず、より単純な環境でトレーニングとテストを受け、現実世界の状況に対する準備ができていないのかもしれません。エージェントが開かずに不必要なリスクにさらされるべきですか、それともエージェントが閉鎖されてビジネスが中断されるべきですか?
これらのリスクはすべて、影で活動し、独自の実証されていない方法を使用する秘密諜報員の仕事に固有のものです。エージェントが各パケットと接触する回数が多いほど、エージェントが停止やパフォーマンスの低下を引き起こすリスクが高くなります。
イルミオのそれほど秘密ではないエージェント:イルミオVEN
エージェントに関しては、イルミオは異なるアプローチをとっています。セグメンテーションの作業を 2 つの主要な部分に分けたいと考えています。
- セキュリティポリシーについて話してください。リスクと保護する必要がある資産の種類について考え、サービスとデータを保護する人間に優しいセキュリティ ポリシーを考えてみましょう。
- セキュリティポリシーを適用します。ここでVENの出番であり、理想的には、パズルの中で最も透明性が高く、最も面白くないピースです。
あなたのビジネスはあなたに考えるのに十分なものを与えてくれます。不必要なドラマをもたらすエージェントは最も必要ありません。
ドラマのないエージェントエクスペリエンスを確保するために、イルミオはVEN運用に階層的なアプローチを採用しています。
- VEN は、PCE からセキュリティポリシーの更新を定期的に取得します。PCE に到達できない場合 (短時間または長時間)、VEN にはワークロードを保護するために必要なものがすべて揃っています。VENとPCEの間にリアルタイムの依存関係はありません。
- VEN は PCE から命令を受け取ると、オペレーティング システムに強制を引き継ぎます。この「雇用のための強制」サービスは、Linux 上の iptables または Windows 上の WFP によって提供されます (WFP は Windows フィルタリング プラットフォームであり、Windows ファイアウォールが構築されている低レベルの執行者です)。複雑な分散システムに関しては、OS レベルの強制は多くの頭脳をもたらしませんが、十分な力が必要です。
- VENから指示を受けたOSは、完全に独自に施行を行います。万が一、VEN に何か問題が発生した場合でも、OS は追加の支援なしで最新のポリシーを適用し続けることができます。他の優れたマネージャーと同様に、VENは必要に応じて休憩を取ることができ、すべてがスムーズに進みます。
Illumio VENが軽量性能を維持するためにどのように開発されたかについて詳しくお読みください。
イルミオのVENの利点
このアプローチの主な利点は、OS によって提供される適用が非常に安定していて高性能であることです。Linux では、iptables は 1998 年に初めてリリースされました。WFPの開発は2007年頃から始まりました。これらのサービスは成熟して堅牢であり、世界中の何億台ものサーバーで使用されています。ワークロードに影響を与える可能性のある潜在的な問題のほとんどは、ずっと前に発見され、修正されました。
また、インラインエージェントとは異なり、イルミオのVENは軽量で信頼性が高いことで高い評価を得ています。当社のVENには、遅延やサービスの中断によってビジネスに影響を与えることなく、不要な接続をブロックしてきた実績があります。
リスク軽減の目標に焦点を当て、パケットに対して「ハンズオフ」アプローチを取ることで、Illumioは、エージェントが効果的に仕事をしているかどうかを心配することなく、セキュリティについて考えることを可能にします。
イルミオゼロトラストセグメンテーションプラットフォームについて詳しく知る準備はできていますか?ご相談とデモについては、今すぐお問い合わせください。
.webp)