コンテナとKubernetes環境を保護する際の上位3つの課題を解決する方法

あなたの組織は、DevOpsと「シフトレフト」アプローチを同時に採用しながら、開発および本番インフラストラクチャの考え方を変えていますか?あなたは一人ではありません。

限られたハードウェアサーバーと標準化された開発スイートを備えたオンプレミスのデータセンターの時代は、今やバックミラーの中にあります。開発者は、アプリケーションに最適なクラウド、クラウド サービス インスタンス、またはツールを自由に活用する必要があります。  

この新たに発見された柔軟性は急速なイノベーションを促進する一方で、絶えず変化する コンテナ や Kubernetes環境に一貫性がありながら柔軟なセキュリティを展開する際には、多くの課題も生じます。

コンテナとKubernetes環境を保護する3つの課題

コンテナとKubernetes環境は、ネットワークの他の部分と同じ種類のセキュリティを必要としないという一般的な誤解がまだあります。これはまったく真実ではありません。コンテナとKubernetes環境を保護しようとするセキュリティチームが直面する大きな困難があります。主な課題を 3 つ紹介します。

1. セキュリティポリシーを動的なコンテナとKubernetes環境に適応させる

マイクロサービスアーキテクチャを採用し、コンテナ化されたKubernetesサービスを選択すると、サービスの可用性の向上、シームレスなアップグレード、自動スケーリング、プラットフォームの移植性など、さまざまな利点がもたらされます。ただし、コンテナには Kubernetes によって調整されたライフサイクルがあり、多くのタスクが自動化され、コンテナ自体が数秒しか存在しないのに、わずか数分しか続かないこともあります。  

この動的な性質はセキュリティ管理者にとって課題であり、主にイングレスポイントとエグレスポイントでポリシーを適用することに重点を置く必要があります。マルチクラスター サービス メッシュとクラウド間のサービス メッシュ フェデレーションの出現により、コンテナをどこにでもデプロイし、サービス メッシュ全体で接続できるようになります。  

境界防御のみに依存すると、サービス メッシュが拡張されるにつれて効果が低下します。

2. スタック全体にわたる適用の確保

AWS Elastic Kubernetes Service (AWS EKS) などのパブリッククラウドのマネージド Kubernetes サービスを詳しく見てみると、ネットワークファイアウォール、セキュリティグループ、アプリケーションロードバランサー、Kubernetes ネットワークポリシーなど、それぞれがセキュリティのさまざまな側面に寄与している複数の適用ポイントが明らかになります。サービスメッシュの導入により、認可ポリシーのレイヤーがさらに追加されます。  

多くの場合、これらの適用ポイントは、クラウド チームやプラットフォーム チーム、DevOps チーム、アプリケーション開発者など、さまざまなチームの所有権の下にあります。クラウドネイティブセキュリティは、さまざまなチーム間で共有される責任として広く認識されています。パブリッククラウド内のKubernetesスタックでは、この所有権の断片化は特に困難な場合があります。問題が生じます:ネットワークとアプリケーションのセグメンテーションをギャップなく確保するにはどうすればよいでしょうか?

3. ハイブリッド環境とマルチクラウド環境全体で統一されたポリシーを確立する

これは、多くの企業が重大な障害に遭遇する場所です。  

ほとんどのポリシー制御は通常、特定の環境に限定され、それらの範囲内でのみセグメンテーションを提供します。しかし、今日の複雑で相互接続された環境では、これらの分離されたポリシーはしばしば不十分であり、マルウェアがポリシーを横方向に移動する可能性のある脆弱性を生み出します。さらに複雑なことに、環境ごとにワークロードが異なれば、メタデータと属性のセットも異なります。  

これらすべての課題は、セキュリティチームが攻撃対象領域全体にわたってエンドツーエンドの可視性を提供するソリューションを考案する必要があることを意味します。

Illumio Core for Kubernetesがこれらの課題をどのように解決するか

Illumio Core for Kubernetesを使用すると、セキュリティチームは、動的な環境の保護、スタック全体にわたるポリシーの適用、ハイブリッドおよびマルチクラウド展開全体で一貫したセキュリティポリシーの維持に関連する課題を克服できます。

Kubernetesコントロールプレーンとの統合: IllumioはKubernetesコントロールプレーンとシームレスに統合し、ノード、名前空間、サービス、ワークロード、ポッドの作成と削除に関する情報を受け取ります。これにより、イルミオは対応するポリシーを動的に適用できます。

Helm Chartのインストール: Illumioは、Illumioセキュリティソリューションに必要なすべてのKubernetesリソースと構成をカプセル化したHelmチャートを提供することで、展開プロセスを簡素化します。これらのチャートは、特定の要件を満たすために Helm 値を使用してカスタマイズできます。Helm を使用することで、Illumio は DevOps ワークフローにシームレスに統合されます。

ラベルベースのポリシー: イルミオのラベルベースのポリシーは、マルチクラウド環境での混合ワークロードの管理に特に適しています。管理者は、メタデータと属性を共通のラベル セットにマッピングして、セキュリティ評価に対する一貫したアプローチを確保できます。

クラウドメタデータとKubernetesラベルからラベルへのマッピング: Illumioを使用すると、DevOpsユーザーはKubernetesノードラベルからIllumioラベルへのラベルマッピングを指定できます。これにより、デフォルトの環境情報をラベルセットにマッピングするプロセスが簡素化され、ノードがクラスターに追加されるときにポリシーがすぐに適用されるようになります。

スケーラビリティとパフォーマンス: 企業がクラウドとアプリケーションの取り組みを拡大し続ける中、イルミオのソリューションは徹底的にテストされており、将来の成長の需要を満たすために拡張できるように装備されています。

Illumio CoreがKubernetesのデプロイをどのように保護できるかについて詳しく知りたい場合は、今すぐお問い合わせください。