イルミオがコンテナのまとまりのあるセキュリティを構築する方法

Kubernetes や OpenShift などのコンテナを使用してマイクロサービスをデプロイすると、スケーラビリティに貴重なメリットがもたらされます。しかし、これらのソリューションには、クラスターの外部に十分なセキュリティ機能がなく、マルチクラウド環境やハイブリッド環境に対する可視性がゼロであることがよくあります。このため、デプロイメント間で一貫したセキュリティ体制を維持することは、多くのセキュリティチームにとって困難な作業となっています。

イルミオゼロトラストセグメンテーション は、セキュリティポリシーを適用 し、 これらすべてのタイプの環境内のネットワークトラフィックを完全に可視化することで、この課題を解決します。

課題:ハイブリッドおよびマルチクラウド環境におけるまとまりのあるセキュリティ

クラウドおよびマイクロサービス主導のアーキテクチャの採用の増加により、運用のスケーラビリティと俊敏性の向上を求める組織に新たな地平が開かれました。コンテナは、このニーズに対する答えを提供します。本質的に、これらは軽量で俊敏で、時には一時的なワークロードであり、インフラストラクチャのどこにでも簡単にスピンアップできます。これにより、 KubernetesやOpenShiftなどのソリューションの導入が増加しています。  

このタイプのワークロードを追加すると、攻撃者が悪用できる新しい領域が導入され、ハイブリッド環境やマルチクラウド環境の管理が複雑になります。これらの環境全体でセキュリティを管理することは、次の 3 つの理由から困難です。

1. 複数のクラウド (Azure、AWS)、複数の OS タイプ (Linux、Windows、Unix)、およびさまざまな種類のコンテナー オーケストレーション (Docker、Kubernetes、Openshift) でのドメイン経験が必要です。  

2. Kubernetes はクラスター内に貴重な組み込みネットワーク セキュリティ機能を提供しますが、この保護は多くの場合、クラスターの境界を超えて拡張されません。この制限は、マイクロサービス間の通信を保護する場合、特にマルチクラウドやハイブリッド展開において重大な課題を引き起こします。

3. Kubernetes クラスター内で発生するポッド間トラフィックと、クラスターから環境へのイングレスおよびエグレストラフィックの両方を可視化する必要があります。  

既存のオファリングは、クラウド環境内、またはオンプレミス環境とエンドポイント環境内のセキュリティのみを解決します。しかし、これらの複雑な環境全体で総合的なセキュリティ体制を確保するには、すべてを実行できるソリューションが必要です。

ソリューション:イルミオゼロトラストセグメンテーション

イルミオは、根底にある環境にとらわれません。これにより、ネットワークトラフィックを完全に可視化し、すべての環境にわたって大規模にゼロトラストセグメンテーションポリシーを適用できます。デプロイされるコンテナー環境が増えるほど、環境が 100,000 を超えるワークロードを処理し、環境の変化にリアルタイムで適応できることがより重要になります。

エンドツーエンドの可視性: アプリケーションの依存関係マッピング

イルミオのマップを使用すると、セキュリティチームは、組織のインフラストラクチャのさまざまなセグメント間でデータがどのように流れるかを明確かつ詳細に把握できます。これにより、クラスター内のポッド間にまたがる環境トラフィックと、これらのポッドへのインバウンドまたはアウトバウンドトラフィック(オンプレミス、クラウド、エンドポイントの展開のいずれであっても)をインフラストラクチャに及ぼす包括的な洞察が得られます。  

ポッド間およびクラスターからワークロードへのトラフィックの両方を視覚化できるため、イルミオはこれまで知られていなかった通信を検出し、環境内のベースライントラフィックを理解して、より多くの情報に基づいたセキュリティポリシーを作成できるようにします。  

クラウド環境全体のゼロトラストセグメンテーション

イルミオの ゼロトラストセグメンテーション により、セキュリティチームは多様な展開にわたって保護することができます。ユーザー定義のラベルを活用することで、組織は環境全体にまたがるきめ細かなセキュリティポリシーを実装できます。このアプローチにより、インフラストラクチャの複雑さに関係なく、セキュリティ対策が一貫して適用されることが保証されます。また、攻撃者が複数のアプリケーションを実行するホストを制御し、インフラストラクチャ全体に連鎖攻撃を引き起こす可能性がある脅威を防ぐこともできます。

Kubernetes と OpenShift はトラフィックを保護するための組み込み機能を提供しますが、これらはクラスター自体内のトラフィックを保護するだけです。複数のクラウド環境やハイブリッド環境はおろか、複数のクラスターにまたがるアプリケーションを扱う場合、Kubernetes 内に組み込まれたセキュリティ機能のみを活用することは不可能になります。  

Illumioを使用すると、ポッドとサービスは関連するポリシーを動的に継承し、完全に安全にオンラインになります。イルミオのユーザー定義ラベルは、KubernetesおよびOpenShiftクラスター内、および環境全体で一貫したセグメンテーションポリシーを確保し、セキュリティに対するサイロ化されたアプローチに伴うリスクを排除します。  

イルミオでコンテナを迅速かつ簡単に保護

イルミオを使用してコンテナを保護することは、組織に役立ちます。

• 完全な可視性: コンテナクラスタのインベントリを作成し、ポッド間、そのホスト間、およびインフラストラクチャ全体のリアルタイムのトラフィックを視覚化します。
• 環境間で統一されたポリシー: ハードウェアを使用せずに、すべてのワークロードにわたる単一のポリシーで侵害の拡大を防ぎます。
• DevOps のベスト プラクティスに従い、既存のワークフローに統合します。 Helm Chart を使用して簡単にデプロイし、既存の CICD プロセスをサポートします。
• シームレスなセグメンテーション: Kubernetes ホストの Linux カーネルで iptables を使用してポリシーを適用することで、コンテナーのセキュリティーを簡素化します。

イルミオでコンテナを保護する方法について詳しく知る準備はできていますか?今すぐお問い合わせください。