イルミオコアのあまり知られていない機能:仮想サービス
この継続的なシリーズでは、イルミオのセキュリティ専門家があまり知られていない(しかしそれほど強力ではない)機能を強調しています イルミオコア。
と 抽出されたデータの価値 闇市場に参入し、重要な資源を乗っ取り、そのデータを身代金を要求する行為は 価値の劇的な増加 —そして非常に成功した犯罪ビジネスモデルになりました。今日、組織のインフラストラクチャを混乱させることは、攻撃者にとって非常に魅力的な標的となっています。
インフラストラクチャー・リソースは、ホストレイヤーとアプリケーション・レイヤーで乗っ取られたり中断されたりする可能性があり、どちらのタイプのリソースも、それぞれ独立して、きめ細かく可視化して適用する必要があります。
このブログ記事では、Illumio Coreの仮想サービスを活用して、ホストとそのアプリケーションとプロセスを保護する方法を、ある場合とない場合について学びます。 エージェント。これにより、エンドツーエンドが実現します ゼロトラストアーキテクチャ 死角はありません。
ワークロードセキュリティに対するIllumio Coreのエージェントレスアプローチ
イルミオコア Illumio VENエージェントをデプロイしてIllumio PCEとペアリングすることで、OS上でワークロードを直接管理します。これにより、Illumio は、従来のセキュリティソリューションとは無関係に、各 OS にネイティブなファイアウォール機能を使用して、アプリケーション中心のトラフィックを視覚化して適用できます。 ワークロード中心のセグメンテーション 基盤となるホスティング環境に依存しないソリューションが必要です。
ワークロードセキュリティソリューションをワークロードに直接プッシュするこのアプローチが最も理想的ですが、ロードバランサー、IoT、および OT デバイス。
エージェントレスセキュリティソリューション 多くの場合、Illumioが提供するパブリッククラウドプラットフォームに関連付けられています イルミオクラウドセキュア。オンプレミス環境には、セキュリティオプションが異なるさまざまなプライベートクラウドソリューションがありますが、これらのソリューションのほとんどはハイパーバイザーまたは仮想オーバーレイネットワークアーキテクチャに依存しています。ハイパーバイザーまたはオーバーレイネットワーク環境でセグメントを作成することは依然としてネットワーク中心のソリューションですが、ワークロード中心のセグメンテーションには、基盤となるホスティング環境に依存しないソリューションが必要です。Illumioは、このソリューションなしで、どうやってこれを実現できるのでしょうか? VEN エージェント?
Illumio Coreがエージェントなしで環境を保護する3つの方法
Illumio Coreは、以下のエージェントレスエンティティにより、可視性と適用ソリューションをマネージドワークロード以外にも拡張しています。
- 管理対象外のワークロード
- 仮想サーバー
- バーチャルサービス
管理対象外のワークロード
Illumio は、ホスト名と IP アドレスを使用して、VEN エージェントがなくても管理されていないワークロードを識別できます。その後、Illumio はそのワークロードにラベルを割り当て、Illumio が他のすべての管理対象ワークロードからのアクセスを視覚化して強制できるようにします。
Illumio には VEN エージェントがデプロイされていないため、管理対象外のワークロードからテレメトリを受信していません。代わりに、Illumio は通信している管理対象ワークロードを確認できるため、Illumio はこれらの管理対象外のエージェントレスワークロードを完全にそのワークロードに含めることができます。 イルミネーションマップ とポリシーモデル。
Illumioはマネージドワークロードとアンマネージドワークロードの両方を同じように管理します。
仮想サーバー
仮想サーバーは、ロードバランサーを介してトラフィックを強制するために使用されます。Illumio は、F5 または AVI ロードバランサーで公開されている VIP によって各仮想サーバーを定義します。Illumio は、その VIP に関連付けられたロードバランサーの背後にデプロイされたプールメンバー用のラベルも作成します。
Illumioのネットワーク・エンフォースメント・ノード(NEN)モジュールは、API主導のワークフローを使用して、セキュリティ・ポリシーをロード・バランサーに直接読み書きするのに役立ちます。これにより、Illumio は VEN エージェントのデプロイに頼ることなく、ロードバランサーを介して仮想サーバーに出入りするトラフィックを視覚化して適用できます。
キャプション: Illumio は、ロードバランサーの設定とプールの管理によって仮想サービスを実施します。
バーチャルサービス
仮想サービスは、同じホスト上にある1つ以上の特定のプロセスまたはアプリケーションにラベルを付けてポリシーを定義するために使用されます。各仮想サービスは、基盤となるホストのラベルとポリシーから独立しています。たとえば、1 つのホストに 2 つのアプリケーションをデプロイした場合、Illumio は 2 つの異なる仮想サービスを作成し、それぞれが互いに、また基盤となるホストに対して異なるポリシーを適用します。
Illumioが仮想サービスを使用して特定のプロセスまたはアプリケーションをワークロードとして定義する場合、それがデプロイされているホストに関係なく、Illumioはその仮想サービスをそのプロセスが使用するポートに「バインド」します。仮想サービスは、1 つのプロセスにマップすることも、ホスト上の特定の TCP ポートの集合にマップすることもできます。
Illumioは、1つのホスト上のさまざまなアプリケーションにさまざまなラベルを割り当てることができます。たとえば、あるホストがデータベースプロセスと Postgres インスタンスの両方をポート 5678 にデプロイした場合、Illumio は 2 つの異なる仮想サービスを作成し、それぞれを各プロセスが使用する適切なポートにバインドできます。次に、Illumio はマネージドワークロードで使用されるのと同じ多次元ラベルを使用してラベルを付けます。
その後、基盤となるホストに定義されているラベルやポリシーとは別に、各アプリケーションラベルに対して異なるポリシーを定義できます。
プライベートクラウドプラットフォームでは、サービスまたはアプリケーションがあるホストから別のホストに移動しても、Illumio でそのアプリケーションに定義されているポリシーを変更する必要はありません。Illumio は、アプリケーションの移行先となるホスト上の新しい IP アドレスなど、更新されたワークロードに関するルールを動的に再計算して、この仮想サービスが移行中にアプリケーション中心のポリシーを適用できるようにします。
これにより、たとえば、アプリケーションを異なる VM 間で動的に移行できます。アプリケーションがホスト間でどれほど動的に移行されても、アプリケーションポリシーが安定し、アプリケーションの移行に合わせてセキュリティ変更管理プロセスを実行する必要がなくなります。
マネージドワークロードとアンマネージドワークロードの仮想サービス
仮想サービスは一般的にマネージドワークロードで使用されますが、アンマネージドワークロードでも使用できます。管理対象外のワークロードに複数のプロセスやアプリケーションがデプロイされている場合、Illumio はそれぞれを異なる仮想サービスに関連付け、それぞれに異なるラベルを付けて適用することができます。
これにより、セキュリティチームは、さまざまなタイプのワークロードにわたるプロセスとアプリケーションに固有の非常にきめ細かいポリシーを定義できます。その結果、視覚化とポリシーは OS/ホストのワークロードモデルだけに限定されるわけではありません。
ここで、Illumioがサポートするワークロードの規模が重要になります。このモデルを大規模に実行すると、Illumioが簡単に管理できる可視化および適用するエンティティが爆発的に増加する可能性があります。
ホストとアプリケーションを標的とする脅威からの保護
Illumioは、アプリケーションとホストネットワークの依存関係を強化し、以下を実現します。 明確な可視性 誰が何に話しかけているのか、リソース間の横方向の動きを複雑にすることなくロックダウンできること。Illumio は、エージェントの有無にかかわらず、ホストとそのアプリケーションおよびプロセスを保護します。これにより、死角のないエンドツーエンドのゼロトラストアーキテクチャが実現します。
イルミオ ZTS の詳細については、 今すぐお問い合わせ 無料の相談とデモをご覧ください。