新しい調査:ランサムウェアのグローバルコスト調査。どのようなbreaches によってコストがかかっているかを確認してください。
レポートを入手
ブログ
/
ゼロトラストセグメンテーション

Illumioがコンテナ環境における可視性のギャップを埋める方法

クリスター・スワーツ
ソリューションマーケティングディレクター
December 12, 2024
23 最小読取り

「一度ビルドすれば、どこでも実行可能。」それがコンテナを素晴らしいものにしているのです。自動化、クラウドベースのツール、リソースの簡単なスケーリング機能などの機能により、コンテナは開発者のお気に入りになっています。

しかし、コンテナには大きな問題が1つあります。それは、可視性の欠如です。

ネットワーク全体をきめ細かく可視化できなければ、セキュリティチームは意図せずコンテナ環境にギャップを残してしまう可能性があります。これらのギャップにより、コンテナのセキュリティbreaches が大幅に増加しています。

このブログ記事では、一貫性のあるエンドツーエンドのセキュリティアーキテクチャの一環として、ネットワーク全体を完全に可視化してコンテナを保護する方法を紹介します。

コンテナ だろう 破られる

コンテナ 一時的なものとして設計されています。長い間、人々はこれによって自動的にセキュリティが確保されると考えていました。アイデアは、何かがそれほど長く続かないと、ハッキングするのが難しいということでした。

しかし、マルウェアは シロスケープ、ヒルデガルド、キングシング、cr8スケープ コンテナを使ってネットワークに侵入する方法を考え出しました。これを阻止するために、ほとんどのコンテナセキュリティツールは脅威の検出に重点を置いています。侵害されたコンテナを探し、検出したマルウェアをすべて削除します。

脅威の検出は重要です。残念ながら、これらのツールは通常、コンテナにのみ焦点を当てており、コンテナクラスタ外の他のリソースは考慮していません。これにより、大きな盲点を持つ孤立したシステムが形成され、セキュリティbreaches への対応がますます困難になり、速度が低下する可能性があります。

Kubernetes または OpenShift クラスターで実行されているアプリには、クラスターの外部からアクセスする必要があります。コンテナを完全に保護するには、両方の内部で何が起こっているかを確認する必要があります そして クラスターの外部で、システム全体で一貫したセキュリティポリシーを設定します。

コンテナの安全性は可視性によって決まる

コンテナはDevOpsの夢ですが、特にセキュリティに関しては、他の誰にとっても悪夢になる可能性があります。

DevOps チームがコンテナを好むのは、アプリケーション開発を迅速に行えるからです。コンテナ環境では、DevOpsが基盤となるインフラストラクチャを管理し、アプリケーションプロセス全体を自動化します。これにより、手作業が減り、システム管理者、セキュリティ、ネットワークなどの他のチームによる遅延が回避されます。

DevOpsチームはセキュリティが重要であることを認識していますが、開発が遅くなるため、初期の自動化ワークフローから除外することがよくあります。セキュリティツールを探すとき、彼らは通常、コンテナ専用に作られたものを選びます。

なぜこれが問題なのか?コンテナ専用に設計されたツールは、個々のコンテナリソースに焦点を当てています。プロセスの仕組みやリソースの使用方法に関するデータを収集しますが、コンテナ同士がどのように相互作用するかを常に明確に把握できるとは限りません。

これらのツールは、ポッド、サービス、または名前空間間の接続を表示する場合があります。しかし、多くの場合、次のような盲点があります。

  • Kubernetes または OpenShift クラスターを実行するノード間のトラフィック
  • それらのノードからクラスター外のシステムへのトラフィック
  • クラスター内のワークロードからクラスター外のワークロードへの送信トラフィック

コンテナ固有のセキュリティツールは、クラスター内のある名前空間から別の名前空間に移動するトラフィックを確認できる場合があります。しかし、名前空間からエンドポイントに向かうトラフィックについてはどうでしょうか。それとも、名前空間からコンテナを使用していないデータセンターの仮想マシン (VM) またはメインフレームに移行するのでしょうか?

簡単に言うと、見えないものを保護することはできません。コンテナを可視化できなければ、攻撃者が悪用できるネットワークに大きな盲点ができてしまいます。

Endpoints, data centers, and cloud environments connected to a network with no traffic flow visibility
コンテナ内部の可視性は、コンテナ外のワークロードには見えないことがよくあります。

Illumioでクラスターの内側と外側を完全に可視化

Illumioは、コンテナセキュリティソリューションがどれほど強力であっても、100%完璧になることは決してないと想定しています。侵害は必ず起こります。

コンテナの外側では、 イルミオゼロトラストセグメンテーション (ZTS) プラットフォーム 提供する 完全な可視性 すべてのホストとアプリケーションがどのように接続されるかを調べます。Illumioは、脅威が検出されなくてもすべてのワークロードを保護し、ネットワーク全体にbreaches が広がるのを防ぎます。

これと同じ保護がKubernetesまたはOpenShiftクラスターにも適用されます。

Illumioは、すべてのコンテナリソース間のすべてのトラフィックを検出します。コンテナを含むインフラストラクチャ全体のすべてのトラフィックが、1 つの一貫したビューに表示されます。

Illumio Monitorsは、クラスターの内部と外部の両方のすべてのリソース間のトラフィックを許可しました。脅威が何をしようとしているのかを把握しなくても、異常な動作を検出してすぐに対応できます。これにより、ネットワーク全体のサイロ化がなくなります。

Visibility into non-container workloads and container workloads traffic flows
Illumioは、クラスターの内側と外側を一貫して可視化します。

Illumioがコンテナの可視性を提供する3つの方法

イルミオでは、Kubernetes または OpenShift クラスターの内部と外部の両方で何が起こっているかを確認する方法が 3 つ用意されています。

Three panels illustrating Kubernetes network traffic use cases
Illumioはコンテナクラスターソリューションを補完するものであり、それらに取って代わるものではありません。

1。基盤となるノードで送受信されるすべてのトラフィックを確認

Illumioは、基盤となるノード間、およびそれらのノードから外部ワークロードへのすべてのトラフィックを検出します。

コンテナクラスターは単独では存在しません。それらは常にノードと呼ばれる基盤となるホストでホストされます。ノードは、Kubernetes または OpenShift クラスターが稼働する基盤となる仮想マシンまたはベアメタルホストです。

コンテナクラスターは多くの場合、島のように扱われます。関連する行動はすべてそのクラスター内に収められ、外の世界は後回しにされます。これにより、侵害が発生したり、可視性が失われたりした場合に問題が発生する可能性があります。

Kubernetes または OpenShift クラスター向けに構築されたセキュリティツールでは、基盤となるノード間の動作やトラフィック、またはノードからクラスター外の他のリソースへの接続について、ほとんどまたはまったく把握できないことがよくあります。

イルミオはこれらの死角を取り除くことでこれを解決し、クラスターの内側と外側の両方で起こっていることをすべて可視化します。

2。ポッドから外部サーバーへの下りトラフィックを確認

Illumioを使用すると、クラスター内のリソースからクラスター外のワークロードまでのネットワーク動作を含む、出力トラフィックを可視化できます。

Kubernetes や OpenShift クラスタ向けに作られたセキュリティツールには、クラウド環境、データセンター、エンドポイントなどの非コンテナリソースに関するインサイトが不足していることがよくあります。

Illumioは、3つの環境すべてにわたって可視性を提供します。たとえば、エンドポイントからデータセンターへのトラフィックを追跡し、その後 Kubernetes クラスター内の名前空間へのトラフィックを追跡できます。

Illumioを使用すると、システム全体を可視化できます。これにより、すべての環境に対して一貫性のあるメタデータ主導型のセキュリティポリシーを作成できます。

3。「クラスター間の通信」を参照

イルミオは、Kubernetes または OpenShift クラスターが互いにどのように通信しているかを可視化します。

コンテナクラスターにはすべて共通点が1つあります。それは、急速に拡大するということです。1つのクラスターがより多くのリソースで拡張されるにつれて、リソースを複数のクラスターに分散して効率を向上させるために、新しいクラスターが作成されることがよくあります。

クラスターが大きくなると、 コンテナセキュリティソリューション システムがどんなに大きくても、可視性を維持しながらクラスター間のトラフィックを検出して制御できます。Illumioを使用すると、クラスター間、クラスター間、およびクラスター外のワークロード間のトラフィックを確認できます。

Illumioは必ずしもコンテナ固有のセキュリティツールに取って代わるわけではありません。たとえば、サービスメッシュがクラスター内で使用される場合、Illumioはクラスター外の依存関係、クラスターをホストするノード、およびクラスターと外部ワークロード間のトラフィックの監視と制御に重点を置きます。

Illumioはコンテナ固有のセキュリティソリューションと連携して、コンテナワークロードをホストしてアクセスするすべてのリソースを完全に可視化します。エンドツーエンドの保護を提供します。

Illumio、コンテナ向けゼロトラストを完成

セキュリティリスクはコンテナの外側だけではなく、内部にもあります。ネットワークを安全に保つには、レガシーワークロードの場合と同様に、コンテナクラスター内の脅威を確認して管理する必要があります。

Illumioは、コンテナを含むインフラストラクチャ全体のすべてのワークロード間のすべてのトラフィック動作を確認して適用するのに役立ちます。これにより、可視性の孤立がなくなり、避けられないbreaches がネットワーク全体に広がるのを防ぐことができます。

今すぐお問い合わせ Illumioでコンテナを可視化する方法について詳しく学んでください。

関連トピック

アイテムが見つかりません。

関連記事

DevOpsがマイクロセグメンテーションを気に入る5つの理由
ゼロトラストセグメンテーション

DevOpsがマイクロセグメンテーションを気に入る5つの理由

セグメンテーションがアプリケーション自動化と同じメタデータソースで実行される場合、DevOpsチームはセグメンテーションを自動化されたワークフローに簡単に組み込むことができます。

もっと読む
ゼロトラストセグメンテーション:ハイブリッドエンタープライズ向けのセキュリティ
ゼロトラストセグメンテーション

ゼロトラストセグメンテーション:ハイブリッドエンタープライズ向けのセキュリティ

Illumioの製品、ソリューション、テクニカルマーケティング担当グローバルバイスプレジデントであるGautam Mehandruが、ハイブリッドエンタープライズと真のゼロエンタープライズについての考えを語ります。

もっと読む
2025年1月のサイバーセキュリティトップニュース記事
ゼロトラストセグメンテーション

2025年1月のサイバーセキュリティトップニュース記事

2025年1月のサイバーセキュリティに関するトップストーリー、EUのDORA指令、Ponemon Instituteによる新しいランサムウェアのトレンド、そして今年の CRN Cloud 100 リストに誰が登場したかをご覧ください。

もっと読む
Illumioがコンテナ向けのまとまりのあるセキュリティを構築する方法
ゼロトラストセグメンテーション

Illumioがコンテナ向けのまとまりのあるセキュリティを構築する方法

イルミオがどのようにセキュリティポリシーを実施し、すべての環境における完全な可視性を、すべて1つのプラットフォームで提供しているかをご覧ください。

もっと読む
コンテナと Kubernetes 環境の保護に関する上位 3 つの課題を解決する方法
ゼロトラストセグメンテーション

コンテナと Kubernetes 環境の保護に関する上位 3 つの課題を解決する方法

絶え間なく変化するコンテナと Kubernetes 環境に、一貫性がありながら柔軟なセキュリティを導入する方法を学びましょう。

もっと読む
コンテナセキュリティ:Kubernetes を保護するための基本ガイド
ゼロトラストセグメンテーション

コンテナセキュリティ:Kubernetes を保護するための基本ガイド

侵害が避けられない世界でコンテナセキュリティが重要である理由と、IllumioがKubernetes環境を現代の脅威から保護する方法をご覧ください。

もっと読む

Assume Breach.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく