Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

マイクロセグメンテーションのポリシーモデルで重要なことは何ですか?

Illumio Editorial
Illumio Editorial
2021年3月19日
23分読む

マイクロセグメンテーションソリューションで説明するすべての機能の中で、ほとんどのベンダーはポリシーモデルから始めません。ただし、特定のソリューションが生み出す可能性のある潜在的な結果に関しては、ポリシーモデルによって何が可能かが決まります。したがって、政策モデルに何が必要かを熟考することは、高品質で後悔の少ない購入決定を下すための優れた準備となります。望ましいマイクロセグメンテーションポリシーモデルの重要な要素をそれぞれ調べてみましょう。

多次元ラベル

マイクロセグメンテーションポリシーは、ラベルを使用して、基盤となるネットワークアドレス指定とデバイスからセグメンテーションを抽象化します。理想的には、これらのラベルは「有用に多次元的」です。無制限のラベルのフラットな名前空間は役に立ちません。多くのマシンに影響を与えるポリシーステートメントをハングするための要約や構造は提供されません。フラットな名前空間内のすべてのシステムにラベルを付ける場合は、IP アドレスを使用してポリシーを指定するよりもほとんど優れていません。興味深いことに、特定のポリシーディメンション内のラベルの数に制限を設ける必要はありませんが、ポリシーディメンションを制約することは、大規模な展開で有用であることが証明されています。

私たち人間は、たとえば、3つの物理的次元と時間という4つの次元を簡単に視覚化できます。しかし、物理学者が正しければ、私たちが11次元または13次元の空間に住んでいる場合、それらの次元を捉えることができるのは数学だけです。それらは私たちの脳で視覚化することは不可能です。これは、マイクロセグメンテーションに実際的な影響を及ぼします。11 次元のポリシーを理解して計算するようにコンピューターをプログラムすることはできますが、人間はそれを理解できません。人間は、マイクロセグメンテーションポリシーを検査、監査、理解できる必要があります。

私たちの経験では、 4 つの次元は 、モデルを理解する能力を維持しながら、政策目的で地球上で最大のネットワークでも効果的にモデル化できます。そのため、フラット タグまたはラベル スペース以上のポリシー モデルを探してください。いくつかの次元の構造は、数十万のシステムの規模で機能しますが、理解と操作は簡単です。ラベルの力の詳細については、このビデオをご覧ください。


リッチオブジェクトモデル

品質ポリシー言語には、十分にリッチなオブジェクトモデルがあります。ハイパースケールエンタープライズデータセンターは複雑な場所です。モデルがサーバー、VM、コンテナ、クラウドインスタンスなど、保護する必要があるすべてのものに対応する必要があることは明らかです。しかし、これらの保護されたシステムは、すべての有用なポリシープリミティブを抽象化するのに十分ではありません。サービス/ポートマッピングと IP アドレス範囲のオブジェクトが必要です。共有サーバー (複数のデータベース インスタンスを持つサーバーなど) 内では、これらのインスタンスを個別の仮想サービスとして相互に抽象化できる必要があります。コンテナとコンテナホストは、すべてのビジュアライゼーションとポリシーステートメントの一部に表示される「一級市民」の両方である必要があります。興味深いことに、保護されていないシステムをオブジェクトモデルに追加することも重要です - 特に、保護されているものよりも保護されていないものの方が多く、これらのシステムが相互に通信するデプロイの初期段階では重要です。すべてのフローを明確に表現できるため、目的のポリシーを簡単に指定できます。最適なソリューションは、アンマネージド オブジェクトのポリシーをエクスポートして実装できるようにしたい場合に構築することもできます。

継承

ポリシーの継承は、既存のデータセンターをカバーするようにマイクロセグメンテーションポリシーを拡張する唯一の方法です。トラフィックの約 80% がデータセンター内を流れる場合、既存の境界ファイアウォール ルールはトラフィックの 20% しかカバーしていないことを意味します。つまり、データセンター内には、現在すべてのファイアウォールに存在するルールの5倍のルールが存在する可能性があります。ポリシーモデルによって提供される抽象化とその有用な次元は、純粋な許可リストポリシーモデルと組み合わせる必要があります。この方法でのみ、ポリシーを一度記述して、多くの場合に適用できます。アプリケーションリングフェンシングなどの一般的なマイクロセグメンテーションポリシーに関する継承とスマートポリシーの自動化が組み合わさって、数万のシステムを正常にセグメント化するための唯一の実証済みの方法を形成します。

宣言型と命令型

100,000 を超えるワークロードのマイクロセグメント化に成功した唯一のポリシーモデルは、宣言型メソッドを使用してセグメンテーションの要望を表現します。宣言型ポリシーモデルでは、望ましい結果を指定するだけで済みます。命令型ポリシー モデルでは、結果を作成するためにソリューションを正確に指定する必要があります。従来のファイアウォールルールセットは必須であり、すべてのステートメントが完璧な順序で、完璧な精度で存在する必要があります。これにより、際限のない困難と複雑さが生じます。ただし、理想的なマイクロセグメンテーションポリシーでは、宣言型言語のみを使用します "本番環境内で注文アプリケーションをリングフェンスしたいです。"それをどのように実現するかは、ポリシー言語の背後にある ポリシーコンピューティングエンジン のビジネスです。このようにして、ポリシーは常に指定しやすく、理解しやすく、開発しやすいものです。やるべき作業の規模を考えると、それ以外のことは失敗につながります。

一貫したアプリケーション

必要なプリミティブがすべて存在する場合、最適なマイクロセグメンテーションソリューションは、製品のあらゆる領域でそれらを一貫して使用します。ラベルはポリシーの作成だけでなく、可視性、ポリシーの配布、ポリシーの適用を通知する必要があります。ロールベースのアクセス制御 (RBAC) は 、アプリケーション所有者、DevOps などが必要なものすべてにアクセスできるように、ラベル構造に正確に従う必要がありますが、それ以上はアクセスできません。特に、自動展開を保護するには、この正確な委任機能が必要です。有用で明確でシンプルなラベル構造は、一貫して適用されるとメンタルモデルを作成します。管理者はほぼ即座に、ソリューションがどのように機能するかを直感的に理解し、結果を予測できます。この直感はすぐにスピードに変わり、スピードは習得に変わり、習得は完成したプロジェクトに変わります。シンプルさ、明確さ、一貫性は、複雑なデータセンター環境向けのソリューションです。

完全な抽象化

私は、自動化が朝食にメタデータを食べるとよく言います。自動化は、抽象化できるよりも速く進むことはできません。成功するポリシー モデルは、ネットワーク アドレッシングと適用メカニズム自体の痕跡を抽象化する必要があります。政策は望ましいものだけを扱わなければなりません。このようにして、自動化は「Web はアプリと通信する必要がある」という結果を簡単に述べることができます。これを実現するために必要なルールは、動的なクラウド環境や自動化された環境では常に変化しており、拡張する場合、その複雑さを自動化フレームワークにさらすことはできません。IP アドレスに依存するポリシーは、どんなに善意であっても、拡張できません。同様に、適用メカニズムを非表示にする必要があります。要望が述べられたら、マイクロセグメンテーションポリシーエンジンは、知っているリソースに基づいて、そのポリシーを実装するための最良の方法を見つける必要があります。このように、システムが行き来するにつれて、適用ポイントの数は柔軟になり、ポリシーとルールベースも柔軟になります。完全に抽象化されたポリシーのみが、DevOpsとクラウドアーキテクトにマイクロセグメンテーションソリューションとシームレスにインターフェースするために必要な機能を提供します。

大規模な政策

何年も前、巨大動物が地球を支配していました。巨大なバージョンの植物や動物はすべての大陸に存在し、それらは今日私たちが持っている種の上にそびえ立っていました。最適なポリシー モデルには、個々のアプリケーションの単純な説明よりも高いスケール ファクターが含まれます。任意のポリシーディメンションにわたってラベルをグループ化できるため、1つのポリシーで複数のデータセンター、環境、またはアプリケーションのシステムに影響を与えることができます。ハイパースケール企業向けのポリシーを作成する場合、これらの「メガポリシー」は驚くべき範囲、速度、効率で移動し、マイクロセグメンテーションポリシーで企業をカバーします。

政策モデルは抽象的で重要でない概念のように思えるかもしれません。しかし、マイクロセグメンテーションの導入を成功させるには、真実からかけ離れたものはありません。政策モデルは、何が表現可能で何が不可能なか、そして表現することがどれほど簡単か難しいかを決定します。企業は UI の色をすばやく変更できますが、壊れたポリシー モデルや不適切に設計されたポリシー モデルを修正するのは困難です。世界で最も実績のあるマイクロセグメンテーションポリシーモデルは、「有用な次元」ラベルモデルを通じて、ネットワークのアドレス指定ポイントと適用ポイントから完全に抽象化します。このモデルは、製品のあらゆる機能に一貫して貫かれています。フルオブジェクトモデルを継承モデルや宣言モデルと組み合わせると、望ましい結果を簡単かつ迅速に述べ、それを世界で真実にすることができます。マイクロセグメンテーションは、成熟した完全かつ適切に設計されたポリシーモデルによってのみ、 数十万のワークロードの規模 で成功します。

このシリーズでは、マイクロセグメンテーションに関する質問について、マイクロセグメンテーションポリシーを自動化するために何が必要かについて説明します。

関連トピック

No items found.

関連記事

ウェストベンド・ミューチュアル・インシュアランスがイルミオでクラウド移行の課題を克服した方法
ゼロトラストセグメンテーション

ウェストベンド・ミューチュアル・インシュアランスがイルミオでクラウド移行の課題を克服した方法

SaaS ホスト型で、複数のオペレーティング システムをサポートし、同様のソリューションよりも複雑ではないため、イルミオがウェスト ベンドのサイバーセキュリティの希望の光である理由は次のとおりです。

Read more
QBEがイルミオでグローバルに複雑さとリスクを軽減する方法
ゼロトラストセグメンテーション

QBEがイルミオでグローバルに複雑さとリスクを軽減する方法

QBEがゼロトラストへの道のりでセグメンテーションをどのように実装したかをご覧ください。

Read more
クラウドDevOpsにおけるスピードとセキュリティのジレンマを解決する5つの方法
ゼロトラストセグメンテーション

クラウドDevOpsにおけるスピードとセキュリティのジレンマを解決する5つの方法

迅速なクラウド開発とクラウド環境をセキュリティで保護する必要性との間のバランスを見つける方法に関する 5 つの推奨事項を学びましょう。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more