.png)
デジタル大手からの教訓:eBayがサイバーレジリエンスをどのように達成したか — 3,000台のサーバーをセグメント化し、アプリを壊さない
ハイブリッドクラウドインフラストラクチャ全体で、ラテラルムーブメントを停止し、最小限の権限アクセスを強制します
ランサムウェアの封じ込め、重要資産の保護、資産のマッピングと可視性
グローバル
250以上のアプリケーションにまたがる3,000台以上のサーバーをセグメント化しています。ロールアウト中のアプリケーションのダウンタイムはゼロ、動的ラベル付けによる自動的でスケーラブルな導入、可視性の向上、ノイズの軽減、インシデント対応の迅速化
主な利点
サポートデスクからセキュリティ責任者まで
190以上の市場で1億3,400万人のアクティブな eBay バイヤーがおり、この規模の背後には、数千のワークロードにまたがる複雑なインフラストラクチャがあります。レジリエントを維持するために、eBayには従来の境界防御以上のものが必要でした。同社は、ハイブリッド環境、動的なワークロード、絶え間ない変化に対応できるように構築された新しいセキュリティモデルを必要としていました。
そのモデルはゼロトラストでした。そこで、現在オンライン小売業者のシニアシステム管理者であるブライアン・ハンセンの出番です。
「私はカスタマーサービスで電話に出ることから始めました」とブライアンは振り返ります。「23年後、私は3,000台以上のサーバーを保護する大規模なイルミオ展開を主導しています。私がセキュリティの専門家としてスタートしたからではなく、「はい」と言ったからです。」彼の直属の上司がゼロトラストの重要な柱であるeBayのマイクロセグメンテーションへの取り組みを先導したとき、ブライアンはセキュリティの正式な経歴を持っていなかったにもかかわらず、ステップアップしました。「私はセキュリティの経験が全くありませんでした。ファイアウォールが何であるかは知っていましたが、それだけでした」と彼は言います。「しかし、私たちにはそれを正しく行うための権限とツールがありました。」
課題:クラウド速度での複雑さ
3,000台以上のWindowsおよびLinuxサーバーが約250の固有のアプリケーションをサポートし、開発とQAを含めると合計で約350の環境をサポートしているため、従来の境界ファイアウォールではもはや十分ではありませんでした。チームには次のものが必要でした。
- アプリケーションが実際にどのように通信するかを可視化
- 脅威を封じ込める制御-侵害後も
- 何も壊さないロールアウト
- 複雑さを増すことなくスピードと拡張性を実現
「私たちはあらゆる脅威をブロックしようとしてモグラたたきをしていました」とブライアンは言います。「私たちはモデルを反転させて、積極的に封じ込め、制御する必要がありました。」
eBayがセグメンテーションをどのように展開したか-安全に、徐々に、そして大規模に
旅は可視性から始まり、イルミオを観測モードで操作しました。「最初の数か月間は、可視性に重点を置きました」とブライアンは説明します。「それは私たちが自信を築くのに役立ちました。どんなトラフィックが流れていて、何が流れてはいけないのかを見たとき、恐れることなく行動できました。」
リアルタイムのトラフィック地図を武器に、彼らは段階的に政策執行に移りました。サーバーをアプリと環境ごとにグループ化し、小さなバッチでルールを作成し、検証してからスケールアップしました。「私たちは海を沸騰させようとはしませんでした。私たちは一度に 1 つのしっかりとしたルール セットを構築しました」とブライアンは言います。
チームは、Microsoft エンドポイント マネージャーと PowerShell スクリプトを使用して、デプロイと動的ラベル付けを自動化しました。ほぼすべての新しいワークロードがオンラインになり、ラベルが付けられ、完全に適用されます。「私たちは事前にレーベルを構築しました。そのため、ワークロードがオンラインになり、そのラベルが付けられるとすぐに、ポリシーはすでに存在します」とブライアンは説明します。
しかし、自動化は導入を簡素化しただけでなく、隠れたリスクも発見しました。
「古いロードバランサーのヘルスチェックがまだ実行されていたり、アプリの呼び出しが間違ってルーティングされたり、誰も使用していないポートが開いたりすることがわかりました」とブライアン氏は言います。「イルミオは、私たちがそれをすべてシャットダウンするのを助けてくれました。」アプリの所有者でさえ驚いていました:「彼らは『待って、私たちはまだそのポートを使っているの?』と言うでしょう。そして、私たちは彼らにデータを見せました。」
ミッションクリティカルな第一:最も重要なものを保護する
イルミオは脅威を止めただけではありません。未知の不要なトラフィックが発生しました。
チームは、最も重要な資産(DNS、ドメインコントローラー、IDシステム)をロックダウンすることから始め、その後、外部に移りました。「それらが下がれば、他のものはすべて下がります」とブライアンは言います。「イルミオ、まずレジリエントなコアを構築しましょう。」
成功は技術的なことだけではなく、組織的な面でもありました。「私たちはネットワーキング、インフラストラクチャ、アプリのチームと協力しました。全員が役割を果たしました。それが成功の理由です」とブライアンは語ります。「何かが壊れたとき、アプリチームが最初にイルミオをチェックしに来るようになりました。通常、数分で問題を見つけることができます。」
ブライアンにとって、イルミオは単なる1回限りのプロジェクトではありません。これはeBayのゼロトラストセキュリティ戦略の重要な部分です。「私たちは定期的にポリシーを改善し、異常を監視しています。私たちは常に改善しています。」そして、他の人への彼のアドバイスは?「すべてを理解するまで待たないでください。イルミオで何をしても、昨日よりも安心感が増します。」
重要な結果
- ダウンタイムゼロ: 「ロールアウト中にアプリが 1 つも壊れませんでした。」
- トラブルシューティングの迅速化: 「数時間ではなく数分で問題を解決できます。」
- よりクリーンな環境:「レガシーフロー、古い構成、ノイズの多いトラフィックを削除しました。」
違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。
ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?