イルミオとパロアルトネットワークスの統合について詳しく見る

、

ソリューションマーケティングディレクター

September 30, 2020

23 最小読取り

マイクロセグメンテーションとファイアウォールは、企業が攻撃対象領域を減らし、攻撃にさらされるリスクを制限するのに役立ちますランサムウェア、データセンターやクラウド環境内の東西トラフィックフローを横方向に移動したり、迅速に伝播したりするマルウェアやその他の脅威。しかし、ご存知のとおり、今日の企業は本質的に高度に分散しており、ユーザー、デバイス、ワークロードが至る所にますます広がっています。これに対処するには、企業はネットワークとワークロードの両方にセキュリティを実装することを検討する必要があります。

ワークロードは一時的なものであり、ほとんどのワークロードには、ネットワークファブリック間でスピンアップ/スピンダウンされたり、コンピューティングリソースを動的に割り当てるコントローラーによってさまざまな理由でIPアドレスが変更されたりして、さまざまなIPアドレスが割り当てられます。これは特に、パブリッククラウドファブリックでホストされている最新のマイクロサービスアーキテクチャに当てはまります。このアーキテクチャでは、ワークロードが絶えず停止し、復活し、ネットワーク内を動的に移動しています。IP アドレスを使用して、どのような形式のワークロードでも静的に識別することは過去の遺物です。したがって、効果的に実施するためには、リアルタイムのコンテキストをマッピングすることが重要です。ワークロードセキュリティそのライフサイクル全体を通して。

その動的な性質のため、組織がマイクロセグメンテーションポリシーを運用しているすべてのワークロードにマッピングして適用することはしばしば困難です。アプリケーションワークロードは、主に東西のトラフィックフローを介して相互に通信しますが、データセンターまたはクラウド環境に出入りするトラフィックは、境界の南北トラフィックを介して保護されます。効果的なマイクロセグメンテーションを実現するには、ネットワークファブリックから次世代ファイアウォール（NGFW）まで、またワークロードレベルで動作するエージェントベースのソリューションによってポリシーを適用できるホストインフラストラクチャ全体にわたって、ワークロードが移動する場所にリアルタイムでポリシー更新を実装する必要があります。東西および南北にまたがる動的なワークロードのセキュリティポリシーのマッピングは複雑で、大規模に管理することは困難です。セキュリティポリシーの変更を NGFW やエージェントベースのマイクロセグメンテーションツール全体でサイロ化して管理すると、一貫性が失われる可能性があります。

メタデータを使用して動的セキュリティを自動化

イルミオコアネットワークアドレスに依存する代わりに、メタデータをラベル形式で使用してワークロードを識別します。管理者はさまざまなワークロードにさまざまなラベルを割り当て、そのラベルを使用してポリシーを定義できます。を使用する仮想執行ノード (VEN) 各ワークロードにエージェントがデプロイされると、Illumio Core はそのワークロードの IP アドレスの変化をバックグラウンドで追跡します。ワークロードがライフサイクル全体で IP アドレスを 10 回変更しても、ラベルは一貫したままです。その結果、ポリシーは、基盤となるネットワークの設計方法とは無関係に定義されます。パケット転送は依然として IP ルックアップによって実行されますが、これは裏で行われています。ラベルは、さまざまなワークロードを識別するための構成要素となり、ポリシーはこのラベルを使用して記述されるため、結果として IP やポートのリストというよりは、人間の文章のように読めるラベルになります。

パロアルトネットワークスは、タグ形式のメタデータを使用して、PA-7000シリーズ、PA-5200シリーズ、PA-3200シリーズ、VMシリーズ仮想次世代ファイアウォールなどのパノラマまたはパロアルトネットワークスのNGFWの動的アドレスグループ（DAG）内のワークロードを識別することについても同様の考え方を持っています。ファイアウォールはアドレスグループを作成し、それを静的または動的として定義できます。これらを使用してポリシーを定義できます。その結果、特定の IP アドレスではなく DAG 名を使用して、誰が誰に対して何をできるかを定義する、人間の言葉のようなファイアウォールルールができあがります。DAG は IP アドレスが割り当てられていない「空のバケット」のようなものです。動的アドレスグループの場合、この空のバケットには外部エンティティの IP アドレスが入力されます。

エージェントベースのマイクロセグメンテーションにIllumio Coreを導入することで、ユーザーはパノラマ内のDAGまたはパロアルトネットワークスのNGFWに直接プッシュされたワークロードのコンテキストをリアルタイムで取得できます。このソリューションにより、パロアルトネットワークスのユーザーは、DAG ベースのポリシーが最新のワークロードポリシー変更に合わせて完全に最新の状態に保たれるようになります。イルミオはすべてのワークロードの IP アドレスの変化を追跡しているので、ラベル付けされたこれらのワークロードマッピングをパロアルトネットワークスにプッシュできます。そのため、Illumio Core が 10 個のワークロードを「アプリ」ワークロードとしてマップし、パロアルトネットワークスファイアウォールが「アプリ」とも呼ばれる DAG を作成し、その DAG をポリシーセットで使用した場合、ファイアウォールにはその DAG が Illumio によって入力されます。ラベル付けされたワークロードにはIPアドレスが割り当てられるか、リリースまたは変更された場合は、これらの変更をすべてPalo Alto Networksのファイアウォールにプッシュできます。

この場合の本当の利点は、管理者がファイアウォールを一度設定すれば、IP アドレスが変更されるたびにファイアウォールを変更する必要がなくなることです。ワークロードの規模が拡大しても、ファイアウォールは静かに保たれます。「アプリ」ワークロードの DAG に 10 個の IP アドレスまたは 100 個の IP アドレスが含まれている場合、デプロイの規模が大きくなるにつれてファイアウォールを変更するための変更管理プロセスは必要ありません。Illumio は必要に応じてファイアウォールを更新するだけです。

統合の一環として、イルミオコアのワークロードのラベルとIPはパロアルトネットワークスのDAGに動的にマッピングされます。その結果は？ユーザーは、動的なワークロードの静的セキュリティポリシー変更を手作業で管理する必要がなくなります。自動化によるメリットがあり、ワークロードのセキュリティ更新をリアルタイムで維持する際に、設定ミスや人為的ミスの原因となりかねない人的要素を排除できます。

イルミオやパロアルトネットワークスと連携すれば、ネットワークの拡大や進化に伴ってセキュリティを犠牲にする必要はありません。Panorama内のDAGとNGFWをリアルタイムのワークロードコンテキストで自動的に更新できるというメリットがあります。これにより、変化するアプリケーションワークロードに合わせて効果的なマイクロセグメンテーションポリシーを調整する時間と労力を節約でき、頭痛の種にもなります。

イルミオとパロアルトネットワークス間のAPIワークフロー

Illumio Core では、ワークロードに「ロール」、「アプリケーション」、「環境」、「場所」というメタデータラベルが割り当てられ、追加のコンテキストが提供されます。たとえば、ニューヨークのデータセンターで開発用にデプロイされた注文アプリケーションの一部の Web 層ワークロードには、Web というロールラベル、アプリケーションラベル Ordering、Environment ラベル Development、Location ラベル NY_DC が割り当てられます。

Palo Alto Networks Panoramaでは、ラベルを使用して条件を照合することで定義された動的アドレスグループ（DAG）を使用してポリシーを作成できます。DAG へのメンバーシップの変更は自動的に行われるため、変更管理や承認は不要です！

API主導の統合ツール「Illumio-Palo Alto Networks DAG Updater」は、IPアドレスの変更（データセンターでのVMの移行、クラウド内のホストでのENIの変更など）やメタデータの変更（たとえば、Quarantineとラベルが変更されたワークロード）を含む、ライフサイクル全体でワークロードを動的に登録および登録解除します。ワークロードが動的に登録および登録解除されると、DAG のメンバーシップが変更され、適切なポリシーセットがワークロードに自動的に適用されます。

ワークロードのライフサイクル全体でDAGメンバーシップを自動的に更新できるため、アプリケーション中心のポリシーを複数のデータセンターにまたがり、多層アーキテクチャに簡単に拡張できます。

これは、のワークロード間の環境セグメンテーションの簡単な例です開発そして プロダクション。