コンテナのセキュリティが壊れている(そしてゼロトラストが解決に役立つ)
コンテナは、企業がアプリケーションを作成、実行、拡張する方法を変えました。開発者はそれらを使うのが大好きです。
セキュリティチーム?それほどでもない。
コンテナは物事をより速く、より柔軟に、より効率的にします。しかし、それらはセキュリティ上の大きな課題ももたらします。なぜ?これらはセキュリティを念頭に置いて設計されていません。
イルミオのセキュリティ専門家であるクリスター・スワーツとネイサン・トランは、最近のウェビナーでコンテナのセキュリティについて話しました。 ゼロトラストによるコンテナセキュリティの簡素化。
彼らは、従来のセキュリティ手法がコンテナではうまく機能しない理由と、マイクロセグメンテーションによるゼロトラストアプローチを使用することで、チームが何が起こっているのかを確認し、攻撃がネットワーク全体に広がる前に阻止するのにどのように役立つかを共有しました。
コンテナはセキュリティ上の悪夢である必要はありません
コンテナ特にKubernetesは急速に成長しており、ほとんどのセキュリティ戦略が追いつけない速さです。実際には、の専門家 ガートナー 今年はほとんどすべてのデジタルワークロードがクラウドベースになると予測しています。
しかし、多くのセキュリティチームはまだ調整に苦労しています。問題なの?従来のセキュリティツールはレガシーシステム向けに作成されていました。ワークロードは 1 か所にまとめられ、追跡も簡単でした。
ただし、コンテナの仕組みはまったく異なります。
大きな課題の 1 つは 可視性。セキュリティチームは、コンテナクラスターに出入りするトラフィックを確認できます。しかし、彼らは内部で何が起こっているのか見ることができません。その可視性がなければ、脅威を見つけることはほぼ不可能です。
コンテナの起動と停止も迅速です。これにより、攻撃者は誰にも気付かれずに忍び込み、弱点を悪用し、姿を消す機会が得られます。
多くの人が、容器は長持ちしないから安全だと思っています。しかし、短命だからといって安全というわけではありません。
ハッカーは被害を与えるのにそれほど時間は必要ありません。いったん侵入すると、コンテナを使用してシステム内を移動したり、機密情報にアクセスしたり、ネットワーク全体に拡散したりできます。
コンテナセキュリティに関する一般的な誤解
コンテナのセキュリティはかつてないほど重要になっていますが、よくある誤解が原因で、企業が防御を強化できなくなっています。
最も一般的な神話をいくつか解き明かしましょう。
- コンテナはデフォルトで安全です。 多くの人は、コンテナは隔離されているので自動的に安全だと考えています。しかし、適切なセキュリティ対策を講じなければ、攻撃者は依然として侵入方法を見つけることができます。設定ミスがあったり、パスワードが弱かったり、APIが公開されていたりすると、ハッカーは簡単に悪用してシステムに侵入できます。
- 従来のセキュリティツールは問題なく機能します。 古いセキュリティツールは、最新のコンテナ環境向けに設計されていません。多くの場合、Kubernetes クラスターの内部で何が起こっているのか見ることができません。セキュリティシステムがコンテナトラフィックを明確に可視化または制御できない場合、隠れた脅威を見逃してしまう可能性があります。
- マイクロセグメンテーションは開発を遅らせます。 セキュリティを追加すると開発プロセスが遅くなると考える人もいます。しかし、正しい ゼロトラストアプローチ DevOps ワークフローとスムーズに連携します。アプリケーションを安全に保ちます なし イノベーションとスピードの邪魔になります。
これらの通説を理解することは、古いセキュリティ手法から離れ、現代のコンテナ環境を本当に安全に保つ戦略を採用するために重要です。
ゼロトラスト戦略がコンテナセキュリティの答えである理由
すべてのサイバー攻撃を防ぐことはできませんが、あなたは できます ハッカーが侵入したら拡散を阻止します。
それがゼロトラストの力です。ゼロトラストは、脅威が発生してから検出されるのを待つのではなく、コンテナ内か他のシステムかにかかわらず、ワークロード間のアクセスを制限して、攻撃者が自由に移動できないようにします。
ゼロトラストがコンテナの保護にどのように役立つかは次のとおりです。
- 死角をなくします。 コンテナ、VM、クラウドワークロードを完全に可視化することで、攻撃者が隠れることがなくなります。
- 防ぐ 横方向の動き。 厳密なセグメンテーションはアクセスを制限します。つまり、攻撃者がコンテナにbreaches しても、それ以上進むことはできません。
- 攻撃対象領域を縮小します。 必要な接続のみが許可されるため、攻撃者が脆弱性を悪用することは困難です。
速度低下のない一貫したマイクロセグメンテーション
ほとんどのセキュリティソリューションの課題は、コンテナ向けに構築されていないことです。ワークロードは 1 か所にとどまり、予測可能なコミュニケーションパターンに従うことを前提としています。コンテナはこれらの仮定を破ります。
イルミオのアプローチが違うのはそのためです。
従来のセキュリティモデルをコンテナに強制的に適用する代わりに、 イルミオゼロトラストセグメンテーション (ZTS) セキュリティをコンテナライフサイクルに統合します。当社のアプローチにより、以下のことが保証されます。
- 帯域外可視性。 コンテナクラスターの内部やハイブリッド環境全体を含む、あらゆる接続に関するリアルタイムの洞察を提供します。
- ゼロタッチ導入。 セキュリティは DevOps ワークフローを遅らせることなく自動的に適用されます。
- エージェントレスでエージェントベースの柔軟性。 環境に関係なく、環境に最適なモデルを選択してください クベルネテス、OpenShift、または複数のコンテナプラットフォームが混在しています。

Illumio ZTSは、コンテナが起動するとすぐにセグメンテーションポリシーを適用することで、最初からセキュリティが組み込まれるようにしています。つまり、パケットがポッドを離れるときには、すでにゼロトラストの原則に従っているということです。
コンテナセキュリティの未来
コンテナはどこにも行きませんし、脅威もどこにも行きません。組織は時代遅れのセキュリティモデルを脱却し、breaches の拡大を防ぐ戦略を採用する必要があります。
コンテナセキュリティの未来は、脅威を追いかけることではありません。それは彼らが始めたところで彼らを止めることです。
Illumio ZTSを使用すると、セキュリティチームはイノベーションを遅らせることなく自信を持ってコンテナを管理できます。
コンテナ環境におけるbreaches の封じ込めについて詳しく知る準備はできていますか? ウェビナーの全文を視聴する 今、または お問い合わせ 今日。