イルミオがeBayの大規模マイクロセグメンテーションプロジェクトを簡素化した方法

世界的な電子商取引大手のeBayにとって、サイバーセキュリティへのリスクはこれ以上ないほど高くなっています。毎日、何百万件もの取引や顧客とのやり取りを管理しています。同社の成功は、買い手と売り手のプラットフォームに対する信頼の上に成り立っています。

eBayがマイクロセグメンテーションのためにIllumioに目を向けたのはこのためです。潜在的な侵害やランサムウェア攻撃がネットワーク全体に広がり、業務を中断させたり、機密データにアクセスしたりしないようにしたいと考えているのです。

先日の炉辺談話では、eBayで23年の経験を持つシニアシステムアドミニストレーターであるブライアン・ハンセンが、ゼロトラストの創設者でイルミオのチーフエバンジェリストでもあるジョン・キンダーヴォーグに話を聞いた。

彼は、イルミオゼロトラストセグメンテーション（ZTS）プラットフォームを使用してネットワーク全体にマイクロセグメンテーションを展開したeBayの成功事例を共有しました。彼の旅は、どんなに複雑な環境でも、適切なツール、戦略、プラットフォームを使えばマイクロセグメンテーションを簡単に構築できるかについての洞察を与えてくれます。

彼らを見る フルディスカッション オンデマンド。

大手電子商取引企業のマイクロセグメンテーションの構築

eBayのシステムは広範囲にわたり、2,000台を超えるWindowsサーバー、1,000台のLinuxサーバー、および約250のユニークなアプリケーションを備えています。開発環境とテスト環境を加えると、アプリケーションの数は約 350 にのぼります。

マイクロセグメンテーション攻撃者が自由に移動できないようにネットワーク内に安全なゾーンを作成することは、eBayほどの規模のネットワークにとっては大きな課題でしたが、Illumioの導入により、わずか1年で350のルールセットを構築し、3,000台のサーバーすべてを完全に保護しました。

「Illumioのインストールは本当に簡単でした」とブライアンは言いました。「何の問題もありませんでした。」

イーベイがイルミオZTSから得た4つの主なメリット

eBayの旅路 サイバーレジリエンス 大きな飛躍を遂げました イルミオ ZTS。Illumio プラットフォームから得た4つのメリットは次のとおりです。

1。すべてのネットワークトラフィックを完全に可視化することで、当て推量に頼る必要がなくなりました。

イルミオの際立った特徴の1つは エンドツーエンドの可視性 クラウド、エンドポイント、データセンター環境にわたります。

eBayのチームは、マイクロセグメンテーションを開始する前から、トラフィックがネットワーク上のアプリケーション間でどのように移動するかを確認できました。これにより、古いベンダーの文書やアプリ所有者の推測に頼ることなく、正確なセキュリティポリシーを作成することができました。

「アプリ所有者に何が必要かを尋ねるのではなく、Illumioを使ってネットワークに出入りするトラフィックを正確に伝えました」とBrian氏は語ります。

これは設定ミスを見つけるのにも役立ちました。たとえば、使用されていないアプリケーションやもう存在しないアプリケーションへのトラフィックが許可される場合がありました。「Illumio では、アプリ所有者が気づいていなかった設定ミスがたくさん見つかりました」と Brian 氏は説明します。

これらの不要なフローをクリーンアップすることで、eBayチームはシステムをより効率的にし、脆弱性を減らし、死角を取り除きました。

2。自動化により導入が簡素化され、エラーが減少しました。

新しいセキュリティ対策を導入することは、セキュリティチームのリソースに大きな負担をかける可能性があります。しかし、イルミオのアプローチでは、このような問題は最小限に抑えられました。

チームはイルミオを配備しました 仮想執行ノード (VEN) Windows サーバーと Linux サーバーの両方で、マイクロソフトエンドポイントマネージャー (MEM) や Ansible などの自動化ツールを使用しています。この自動化により、Illumio をインストールして最初から正しくラベル付けした状態で、新しいサーバーをオンラインにすることができました。

Windowsサーバーでは、サーバー名に基づいて適切なラベルを適用するカスタムスクリプトのおかげで、デプロイメントの 99% がすぐにラベル付けされ、保護されました。

eBayチームのIllumioの導入はスムーズに進み、大きな混乱はありませんでした。しかし、万が一問題が発生した場合に備えて、ブライアンのチームは、サーバーを強制モードからすばやく解除し、ダウンタイムを発生させずにトラブルシューティングを行えることを知っていました。

3。リアルタイムの交通情報により混乱を回避しました

eBayでは、事業継続性を維持することが優先事項です。幸いなことに、Illumioのレポートとトラフィック分析の正確さにより、Brianと彼のチームはルールを適用できると確信できました。 アプリケーションを壊すことなく。

実際、Brianは、250のアプリケーションのうち、Illumioを有効にしても機能しなくなったものは1つもないと言っています。

Brian氏は、「Illumioでこれらのサーバーをフルエンフォースメントモードに切り替えたのは、何も壊さないとほぼ100％確信していたからです」と述べています。

4。プロアクティブなランサムウェア対策

eBayのマイクロセグメンテーションプロジェクトの主要な目標の1つは、以下に対する保護を強化することでした ランサムウェア。

eBayはIllumioを使用して、東西トラフィック（ネットワーク内）と南北トラフィック（ネットワークと外部との間）の両方を制御しました。イルミオをベースにしています ランサムウェア保護ダッシュボード、eBayチームは 98% のランサムウェア保護スコアを達成しました。これは、彼らの努力が潜在的な攻撃ルートを封鎖するのに効果があったことを証明しました。攻撃者がシステムの一部に侵入できたとしても、横方向に他の部分に移動することはできませんでした。

Illumioは、内部トラフィックを保護するだけでなく、Brianのチームが問題を迅速にトラブルシューティングしやすくしました。「アプリのオーナーが私のところに来て、何かがブロックされていると言ってきたら、ルールを作成して数分以内に公開できます」と彼は言います。

イーベイのイルミオ展開拡大計画

eBayは成長を続ける中、イルミオZTSの活用方法をさらに模索しています。

たとえば、チームはイルミオのデータを彼らのデータに統合することに取り組んでいます スプランク システムにより、境界ファイアウォールとマイクロセグメンテーションルールの両方をワンストップダッシュボードで監視できます。これにより、チームはネットワーク全体で発生する可能性のある問題をより簡単に特定して修正できるようになります。

eBayは、そのセキュリティを拡大することも計画しています コンテナ化された環境。セキュリティ確保 クベルネテス コンテナは難しい場合がありますが、Brianは、Illumioがコンテナセキュリティ製品を継続的に更新することで、プロセスがさらに簡単になると考えています。

イルミオZTS: eBayのシンプルなマイクロセグメンテーションへの道

eBayがIllumioと歩んだ道のりは、マイクロセグメンテーションが圧倒的である必要はないことを示しています。適切なツールとアプローチがあれば、eBay のような大規模で複雑なシステムでも、比較的短時間でセグメント化して保護することができます。

マイクロセグメンテーションを検討している企業にとって、eBayのIllumioでの経験は、それが可能であるだけでなく実用的でもあることを証明しています。

ブライアンが言ったように、「私たちがしたことはすべて、私たちをより安全にすることでした。Illumioでは物事の安全性を低下させることはできません。改善するだけです。」

ブライアンとジョンズを見る フルディスカッション。 私たちと連絡を取ってください 今日は、マイクロセグメンテーションで侵害を封じ込める方法を学びましょう。