Illumioのエージェントがインラインエージェントよりも信頼できる理由

シークレット データを保護したいときに使うのがいい言葉のように思えます。そして、あなたの趣味が「ミッション：インポッシブル」か「オースティン・パワーズ」かにかかわらず、優れたシークレット・エージェントの映画が嫌いな人はいますか？

ただし、セグメンテーションに関しては、シークレットエージェントはほとんど必要ありません。

サイバーセキュリティエージェントの仕事は決して終わらない。必要不可欠だ

イルミオのエージェントについて話すとき、通常はジェイソン・ボーンの話ではありません。代わりに、あらゆるセグメンテーションデプロイメントの主力製品であるエンドポイントエージェントについて話しているのです。Illumio のエージェントソフトウェアは、 バーチャルエンフォースメントノード または VEN の場合、保護対象のすべてのワークロードで実行されます。

Illumio VENの詳細については、こちらの概要をご覧ください。

エージェントには主に次の 3 つの仕事があります。

1. イルミオの中心的な頭脳であるポリシー・コンピュート・エンジン（PCE）と常に通信しています。マクスウェル・スマートがいつもシューフォンに向かって話しているところを思い浮かべてください。
2. 送受信されるすべての接続の送信元と宛先を含め、ワークロードで何が起こっているかを監視します。
3. 組織に定義したセキュリティポリシーを適用し、必要な接続を許可し、不要な接続をブロックします。

リスクを軽減するには、執行部分が重要です。 データ侵害。しかし、シークレットエージェントが多くのトラブルに巻き込まれる可能性がある場所でもあります。

イルミオの軽量で信頼性の高いVENの詳細をご覧ください ここに。

シークレットエージェントはネットワークトラフィックのインラインに配置されます

セグメンテーションエージェントの仕事は複雑です。ワークロードに適用されるセキュリティポリシーを理解し、すべてのインバウンド接続とアウトバウンド接続がそのポリシーに準拠しているかどうかを確認する必要があります。

誤ってブロックされた接続は事業運営に影響を与える可能性がありますが、危険な接続を許可することは攻撃者に門戸を開くようなものです。エージェントは毎回正しい判断を下す必要があります。また、100% の信頼性を備えている必要があり、アプリケーションのパフォーマンスや可用性に影響を与えないようにする必要があります。

技術レベルでは、執行に関しては主に 2 つのアプローチがあります。

• エージェントはあらゆる接続の真っ只中に座って、何を許可するか、何をブロックするかをその場で決定できます。
• あるいは、個人的な手下であるオペレーティングシステムの助けを借りて、汚い作業を行うこともできます。

前者を人と呼びます 列をなして エージェント。このエージェントは、オペレーティングシステムの中核であるカーネルに深く入り込むソフトウェアです。ワークロードに出入りするネットワークトラフィックのパケットはすべて、カーネルからエージェントに渡されます。エージェントはそのパケットを検査して許可すべきかどうかを判断し、カーネルに返す必要があります。

すべてのパケットにフルアクセスできるエージェントは、パケットを許可すべきかどうかを評価するために使用できる多くの情報を持っているため、非常に強力です。ただし、これらのエージェントには非常にリスクが伴います。そのたびに不思議に思うでしょう。Q の見事な発明に裏打ちされたジェームズ・ボンドがパケットを保護してくれるのか？それとも、ガジェット警部にばかにされるのでしょうか？

インラインエージェントが信頼できない2つの理由

多くの組織にとって残念なことに、この類推には何もおかしな点はありません。インラインエージェントの実績はあまり良くありません。

通常、最初の懸念事項は パフォーマンス: インラインエージェントが適用できるのは、ワークロードに顕著な影響が出始める前に、単純なルールと基本的な検査しか適用できません。エージェントの負荷が高くなると、CPU 負荷が高くなり、ネットワークスループットが低下するなどの影響があります。アプリケーションパフォーマンスの低下を犠牲にしてセキュリティを確保することは、あまり良いトレードオフとは言えません。

ただし、パフォーマンス以外にも、次のような疑問がしばしばあります。 信頼性。エージェントが任務に失敗した場合はどうなりますか？手首のコミュニケーターがダウンしたり、エージェントが予期していなかった入力を受けたりすることがあります。あるいは、エージェントがタスクに向いておらず、よりシンプルな環境でトレーニングとテストを行い、実際の状況に対する準備が整っていないだけかもしれません。エージェントがオープンに失敗して不必要なリスクにさらされるのか、それともフェールクローズしてビジネスに支障をきたすのか？

これらのリスクはすべて、秘密諜報員の仕事に内在するものであり、影の中で活動し、独自の証明されていない方法を使用します。エージェントが各パケットと接する回数が多いほど、エージェントが停止したりパフォーマンスを低下させたりするリスクが高まります。

イルミオのそれほど秘密ではないエージェント:イルミオ VEN

エージェントに関しては、イルミオは異なるアプローチを取ります。セグメンテーションの作業は、主に次の 2 つの部分に分けたいと思います。

• セキュリティポリシーについて話してください。リスクと保護すべき資産の種類について考え、サービスとデータを保護する、人に優しいセキュリティポリシーを考えてみましょう。
• セキュリティポリシーを適用。ここでVENの出番です。理想的には、パズルの中で最も透明で面白くないピースです。

ビジネスは考えるだけの機会を与えてくれます。不必要なドラマをもたらすエージェントは絶対に必要ありません。

ドラマのないエージェント体験を実現するために、IllumioはVENの運用に対して階層化されたアプローチを採用しています。

• VEN は、PCE からセキュリティポリシーの更新を定期的に取得します。PCE に (短時間でも長期でも) アクセスできない場合、VEN にはワークロードを保護するために必要なものがすべて揃っています。VEN と PCE の間にはリアルタイムの依存関係はありません。
• VENはPCEから命令を受け取ると、その命令をオペレーティングシステムに引き渡します。この「雇用の強制」サービスは Linux 上の iptables または Windows 上の WFP (WFP は Windows フィルタリングプラットフォームであり、Windows ファイアウォールの上に構築されている低レベルのエンフォーサーです) によって提供されます。複雑な分散システムについて言えば、OS レベルの強制は頭脳をあまり必要としませんが、十分な力が必要です。
• VENからの指示を受け取ると、OSは完全に単独で強制を行います。万が一 VEN に何か問題が発生した場合でも、OS は追加の支援なしで最新のポリシーを引き続き適用できます。他の優れたマネージャーと同様に、VEN は必要に応じて休憩を取ることができ、すべてがスムーズに実行され続けます。

もっと読む イルミオVENが軽量性能を維持するためにどのように開発されたかについて。

イルミオのVENのメリット

このアプローチの主な利点は、OSが提供する強制が非常に安定していてパフォーマンスが高いことです。Linux では、iptables は 1998 年に初めてリリースされました。WFP の開発は 2007 年頃に始まりました。これらのサービスは成熟していて堅牢で、世界中の何億台ものサーバーで使用されています。ワークロードに影響を与えると考えられる潜在的な問題のほとんどは、ずっと前に発見され、修正されました。

また、インラインエージェントとは異なり、IllumioのVENは軽量で信頼性が高いことで高い評価を得ています。当社の VEN には、遅延の増大やサービスの中断によるビジネスへの影響なしに、不要な接続をブロックしてきた実績があります。

Illumioは、リスク軽減の目標に焦点を当て、パケットに「ハンズオフ」のアプローチをとることで、エージェントが効果的に仕事をしているかどうかを心配することなく、セキュリティについて考えることを可能にします。

イルミオ・ゼロトラスト・セグメンテーション・プラットフォームについて詳しく知る準備はできていますか？ お問い合わせ 今日は相談とデモです。