Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

鳥だ、飛行機だ、...超銀河団!

Illumio Editorial
Illumio Editorial
November 4, 2018
23分読む

大規模な組織では、多くの場合、さまざまな地理的地域にデータセンターがあります。分散データセンターにより、これらの組織はアプリケーションを顧客や従業員の近くに配置し、データ所在地の要件に準拠し、重要なビジネス アプリケーションの災害復旧を提供できます。パブリッククラウドの導入により、あらゆる規模の組織がワークロードを複数のリージョンに分散することがさらに容易になりました。たとえば、AWS は現在、世界中の 18 の地理的リージョンにまたがっています。   

PCE Supercluster を導入して、完全な可視性、一元化されたフェデレーション管理、マルチリージョン インフラストラクチャ全体にわたるマイクロセグメンテーション ポリシーの一貫した適用を非常に大規模に提供できることを嬉しく思います。この投稿では、マルチリージョン インフラストラクチャを保護するための主要な要件と、フェデレーション アーキテクチャを使用して PCE スーパークラスターを設計した理由について説明します。

マルチリージョンマイクロセグメンテーションソリューションの要件

グローバルに分散されたインフラストラクチャがある場合、マイクロセグメンテーションソリューションにはいくつかの重要な要件があります。最初のマイクロセグメンテーションのデプロイが 1 つの場所に限定されている場合でも、これらの要件を事前に検討することが重要です。

  • 回復力: マイクロセグメンテーション ソリューションは、データセンターに障害が発生したり、リージョン間でネットワークが停止したりしても、引き続き運用し、インフラストラクチャを保護する必要があります。
  • スケーラビリティ: マイクロセグメンテーションソリューションは、各データセンターのワークロード数と世界中のワークロードの総数に応じて拡張する必要があります。
  • 管理性: マイクロセグメンテーションソリューションは、グローバルおよび地域のセキュリティおよびアプリケーションチームの両方で管理可能である必要があります。
  • 帯域幅効率: リージョン間のネットワーク帯域幅は高価であるため、ソリューションは大量の帯域幅を消費してはなりません。

マルチリージョンマイクロセグメンテーションソリューションのアーキテクチャ

イルミオの ポリシーコンピューティングエンジン(PCE) は、インフラストラクチャ内のワークロードやその他の適用ポイント全体でマイクロセグメンテーションポリシーを調整する役割を担うソフトウェアベースのコントローラーです。PCE は、ネットワークフロー情報やワークロードで実行されているプロセスに関する情報など、インフラストラクチャからテレメトリデータも収集します。

PCE (またはソフトウェアベースのマイクロセグメンテーションソリューション) を設計して、さまざまな地理的地域にあるワークロードを保護するには、いくつかのアプローチが考えられます。

ここでは、さまざまなアーキテクチャアプローチの内訳と、それらが上記の要件にどのように対応しているかを示します。

集中型アーキテクチャ – コントローラは 1 か所に常駐します。

  • 回復性: 一元化されたアーキテクチャでは、単一障害点が作成され、回復性が制限されます。
  • スケーラビリティ: 一元化されたアーキテクチャは、垂直方向と水平方向の両方に拡張して、世界中のワークロードの総数をサポートできます。
  • 管理性:一元化されたアーキテクチャにより、グローバルなセキュリティチームとアプリケーションチームは、インフラストラクチャ全体にわたってマイクロセグメンテーションポリシーを簡単に構成して適用できます。ロールベースのアクセス制御 (RBAC) を使用すると、地域チームに、地域内のアプリケーションのみのポリシーを表示および変更するための制限付きアクセス権を提供できます。 
  • 帯域幅効率: 一元化されたアーキテクチャでは、すべてのネットワーク フロー データとその他のテレメトリをコントローラに送り返す必要があるため、より多くの帯域幅が使用されます。帯域幅は、リージョンごとのワークロードの数と、これらのワークロード間の接続数に応じて増加します。
     

分散アーキテクチャ – 各データセンターにコントローラーを配置し、コントローラーは互いに完全に独立しています。

  • 回復性: 分散アーキテクチャは回復性に優れています。1 つの領域のコントローラーに障害が発生しても、他の領域には影響しません。
  • スケーラビリティ:分散アーキテクチャは、より多くのコントローラを導入することで、各データセンターのワークロード数と世界中のワークロードの総数に応じて拡張できます。
  • 管理性: 分散アーキテクチャでは、地域チームはローカル ポリシーを作成できますが、このアーキテクチャでは、グローバル ポリシーを各地域に手動でレプリケートする必要があるため、グローバル ポリシーを適用する際に課題が生じます。さらに、すべてのアプリケーションを 1 か所で視覚化し、リージョン間の依存関係を確認する方法はありません。
  • 帯域幅効率: 分散アーキテクチャは、すべてのデータがリージョンに対してローカルにとどまるため、帯域幅効率が高くなります。


フェデレーテッドアーキテクチャ – 各データセンターにコントローラを配置し、コントローラが相互に通信して、組織のセキュリティポリシーと保護されているワークロードに関する情報を共有します。

  • 回復性: フェデレーション アーキテクチャは回復性に優れています。1 つの領域のコントローラーに障害が発生しても、他の領域には影響しません。
  • スケーラビリティ: フェデレーテッドアーキテクチャは、より多くのコントローラを導入することで、各データセンターのワークロード数と世界中のワークロードの総数に応じて拡張できます。
  • 管理性:フェデレーションアーキテクチャにより、グローバルなセキュリティチームとアプリケーションチームは、インフラストラクチャ全体にマイクロセグメンテーションポリシーを簡単に構成して適用できます。RBAC を使用すると、地域チームに、地域内のアプリケーションのみのポリシーを表示および変更するための制限付きアクセスを提供できます。
  • 帯域幅効率: フェデレーテッド アーキテクチャは、システムが機能するためにコントローラー間で最小限の情報のみが共有される場合、帯域幅効率が高くなります。

次の表は、マルチリージョンインフラストラクチャをマイクロセグメント化するための3つのアーキテクチャをまとめたものです。

集中型分散型フェデレーテッド レジリエンス -++ スケーラビリティ +++ 管理性 +-+ 帯域幅効率 -++

PCE スーパークラスターの紹介: マルチリージョン マイクロセグメンテーションが正しく実行されました

明らかな利点を考慮して、PCE Supercluster はフェデレーテッド アーキテクチャで設計されています。スーパークラスターでは、グローバルセキュリティポリシーは、指定されたリーダーPCEから管理されます。イルミオの堅牢なRBAC機能はスーパークラスターでサポートされており、グローバルおよび地域チームは最小限の権限でリーダーPCEにアクセスできます。その後、ポリシーは他の PCE に自動的にレプリケートされ、ラベルベースのポリシーは、ワークロードおよびインフラストラクチャ内のその他の適用ポイントでホスト ファイアウォールをプログラムするために使用される命令に変換されます。この設計により、リージョンがスーパークラスターの他の部分から分離された場合でも、グローバルポリシーが継続的に適用されます。

イルミオは、目に見えないものを保護することができないため、可視性がマイクロセグメンテーションの鍵であることを早くから認識していました。Supercluster は、リーダーの完全なライブ アプリケーション依存関係マップ (イルミネーション) を提供して、リージョン内およびリージョン間のアプリケーション依存関係とポリシー カバレッジを視覚化します。価値の高いシステムと、これらのアプリケーション間で許可された接続とフローをリアルタイムで可視化することは、組織のマイクロ境界を設計し、アプリケーションを壊さないマイクロセグメンテーションポリシーを作成するための重要な最初のステップです。

Superclusterは、世界最大の組織をサポートするためのレベルのスケールを追加します。

1 つの PCE をマルチノード クラスターとしてデプロイして、数万のワークロードをサポートできます。Superclusterは、複数のPCEを結合できるようにすることで、世界最大の組織をサポートするための別のレベルのスケールを追加します。

PCE間の帯域幅消費を最小限に抑えるために、スーパークラスターの設計に多大なエネルギーを費やしました。ポリシーの計算に必要な最小限のワークロードデータのみがリージョン間でレプリケートされます。さらに、ネットワーク フロー データは各 PCE によってリージョンで前処理され、ライブ アプリケーション依存関係マップの描画に必要な最小限の情報のみがネットワーク全体に複製されます。

PCE スーパークラスターを使用すると、組織は次のことが可能になります。

  • グローバルに分散したデータセンター環境をリアルタイムで可視化します。
  • マイクロ境界を自信を持って設計し、アプリケーションを壊すことなく、地域間トラフィックをサポートし、マイクロセグメンテーションを大幅に大規模に実施するマイクロセグメンテーションポリシーを作成します。
  • マイクロセグメンテーションの目標を達成すると同時に、ネットワーク帯域幅の効率化を実現し、災害復旧と高可用性をサポートします。

関連トピック

マイクロセグメンテーション

関連記事

イルミオをCISトップ20にマッピングする
ゼロトラストセグメンテーション

イルミオをCISトップ20にマッピングする

イルミオがCISセキュリティコントロールイニシアチブの実現にどのように役立つかをよりよく理解したいですか?詳細については、以下をお読みください。

Read more
イルミオが2024年第2四半期にフォレスターのマイクロセグメンテーション環境で注目すべきベンダーに選出
ゼロトラストセグメンテーション

イルミオが2024年第2四半期にフォレスターのマイクロセグメンテーション環境で注目すべきベンダーに選出

イルミオゼロトラストセグメンテーションプラットフォームが、Forresterの概要のコアおよび拡張ユースケースのすべてとどのように一致しているかをご覧ください。

Read more
マイクロセグメンテーションの有効性を測定できますか?
ゼロトラストセグメンテーション

マイクロセグメンテーションの有効性を測定できますか?

イルミオとビショップ・フォックスは、マイクロセグメンテーションの有効性を測定する方法について、業界初の青写真を実施し、文書化しました。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more