昨今、アプリケーション開発の手法が大きく変わってきました。モノリシックなアプリケーションから、コンテナ化されたマイクロサービスアーキテクチャへとシフトしています。これにより開発の敏捷性と運用の柔軟性が大幅に向上しましたが、その一方でセキュリティ上の新たな課題が生じています。

従来のセキュリティアプローチでは、ネットワークのゲートウェイやホストベースのファイアウォールでアプリケーションを守ってきました。しかしコンテナ化されたマイクロサービスでは、数多くのコンポーネントが柔軟に組み合わされ、そのインスタンスも動的に増減します。このようなアーキテクチャにおいては、従来のアプローチでは適切な粒度でセキュリティを確保することが困難になってきました。

こうした課題に対処するために注目を集めているのが、マイクロセグメンテーションと呼ばれるアプローチです。マイクロセグメンテーションでは、ネットワークを細かい単位に分割し、各マイクロセグメント間の通信を詳細に制御することで、マイクロサービスのセキュリティを確保しようというものです。

マイクロセグメンテーションは、従来のネットワークセグメンテーション(マクロセグメンテーション)とは異なり、より細かな粒度でのセキュリティポリシーを適用することが可能です。単一のサーバーやコンテナ、さらにはプロセスレベルでのセグメンテーションが実現できるのが大きな特徴です。

従来のエンドポイントセキュリティ製品やファイアウォール製品との最大の違いは、マイクロサービスアーキテクチャにおけるセキュリティ粒度の違いです。エンドポイントセキュリティ製品はホスト単位、ファイアウォールはサーバー/仮想マシンなどの単位でセキュリティポリシーを適用するのに対し、マイクロセグメンテーション製品はコンテナやマイクロサービスの単位でポリシーを設計・適用できます。

また、従来のネットワークセグメンテーション製品(マクロセグメンテーション)とも異なり、マイクロセグメンテーション製品では細かいレイヤー(L7など)でのポリシー設定や、自動ポリシー生成による運用の自動化など、マイクロサービスに特化した機能を備えています。

コンテナ/マイクロサービスアーキテクチャはますます普及が進み、その重要性から、マイクロセグメンテーションの需要も高まっていくことが予想されます。ユーザー企業においては、自社のマイクロサービス戦略に合わせ、最適なマイクロセグメンテーション製品の選定が重要になってくるでしょう。一方でベンダー各社も、さらなる機能拡張やパフォーマンス向上、運用の自動化など、ますます高度化していくことが見込まれます。

マイクロサービスを適切に守るための新たなセキュリティアプローチとして、マイクロセグメンテーションに注目が集まる中、この分野はさらなる進化が期待されています。

• 価格: オープンソースと商用製品があり、それぞれ価格モデルが異なります。導入コストや運用コストを考慮して比較しましょう。
• 導入の容易性: 製品によっては導入が複雑なものもあります。導入に必要なスキルやリソース、導入支援の有無を確認しましょう。
• 運用管理の容易性: ポリシー管理やモニタリングなどの運用管理が容易な製品を選びましょう。GUIの使いやすさや自動化機能の有無なども重要です。
• コミュニティとサポート: オープンソース製品の場合、コミュニティの活発さやサポート体制を確認しましょう。商用製品の場合、ベンダーのサポート体制やSLAを確認しましょう。

• Kubernetes、OpenShift、Docker等の主要コンテナ環境に対応
• ネットワークポリシーの設定が柔軟で、L3/L4のルールだけでなくL7までカバー可能
• BGPルーティングにより大規模環境でもスケーラビリティが高い
• CNIプラグインとして動作し、カーネルレベルでポリシーを適用するため高速

CalicoによるKubernetesピュアL3ネットワーキング

本エントリーでは、先日の「OpenStackとKubernetesを利用したマルチプラットフォームへのCI環境」 エントリーから続くヤフーのOpenStackデプロイ環境におけるKubernetes利用連載の第2弾として、 我々のKubernetesネットワーク環境について基盤となるProject Calicoの紹介と合わせて説明したいと思います。

https://techblog.yahoo.co.jp

• eBPF(拡張Berkeley Packet Filter)を活用し、カーネル経由でポリシーを適用するため高速
• L3～L7までの詳細なネットワークポリシー制御が可能
• API認証やレート制限等の高度なセキュリティポリシーを適用可能
• 可視化機能も提供し、サービス間の依存関係をマッピング

Ciliumを試す -サービスメッシュにサイドカーが必須だと思っていたがそんなことはなかったぜ- - CADDi Tech Blog

こんにちは。 Platformチームの前多(@kencharos)です。 2022年8月9日に開催した社内勉強会で、eBPFベースのネットワークミドルウェア、Cilium(スリィアム) について発表しました。 この記事は発表の内容をベースに内容を補足したものです。 この記事を読むにあたり、Kubernetesをある程度触ったことがないと用語などが分かりづらいかもしれません。 サービスメッシュやIstioについては、構成や導入目的について簡単に次節に記載しています。 より詳しく知りたい方はIstioのサービスメッシュの説明を見てもらえると、Ciliumとの対比がわかりやすくなるでしょう。 またサ…

https://caddi.tech

• Kubernetes用にデザインされたCloud Nativeなマイクロセグメンテーションソリューション
• OVS+OpenvSwitchのデータプレーンで動作し、高パフォーマンス
• Kubernetes NetworkPolicyやAntrea拡張ポリシーにより詳細なポリシー制御が可能
• アンチリアフロー、IPSecなどセキュリティ機能も統合

Antrea

https://antrea.io

• OpenStackクラウド向けのマイクロセグメンテーション機能
• セキュリティグループとルールの設定でトラフィックを制御
• L3/L4レベルでのシンプルな制御が可能

セキュリティグループ - OpenStack 運用ガイド

https://openstack-ja.github.io

• サービスメッシュの一種で、コンテナ/マイクロサービスアーキテクチャ向け
• L4~L7までの詳細なトラフィック制御とセキュリティが可能
• Sidecarプロキシ経由でサービス間通信を制御

Istio とは | Google Cloud

Istio は、組織が分散型のマイクロサービスベースのアプリケーションをどこでも実行できるようにするための、オープンソースのサービス メッシュです。Istio の利点について学びます。

https://cloud.google.com

• Kubernetes用のCNIネットワークプラグイン製品
• ネットワークポリシーで、ポッドレベルのトラフィック制御が可能
• NATによるIPアドレス割り当てとルーティングを実現
• DNATを活用したポートマッピングにも対応

Weave Net for NetworkPolicy

This page shows how to use Weave Net for NetworkPolicy. Before you begin You need to have a Kubernetes cluster. Follow the kubeadm getting started guide to bootstrap one. Install the Weave Net addon Follow the Integrating Kubernetes via the Addon guide. The Weave Net addon for Kubernetes comes with…

https://kubernetes.io

以上の通り、それぞれ異なる特徴とユースケースを持っています。組織の要件に合わせて、機能性、パフォーマンス、運用性などを総合的に判断し、最適な製品を選択する必要があります。

• アプリケーション依存関係のマッピングと可視化が自動で可能
• ポリシーの導出と適用を自動化できるため運用負荷が軽減
• マルチクラウド、ハイブリッドクラウド環境に対応
• パケットキャプチャやフォレンジック機能を備える

イルミオコアプロテクション | イルミオコア製品 | イルミオ

Illumio Core Protectionは、オンプレミスとクラウドのデータセンターのワークロードを保護するためのセグメンテーションを提供します。Illumio Core セキュアは侵害の影響を軽減します。

https://www.illumio.com

• VMwareの仮想化環境に最適化されたマイクロセグメンテーション
• NSXのDistributed Firewallでネットワークの制御が可能
• NSXのクロスVCクラスタや複数のVXLAN対応
• VMware vRealize Network Insightと連携し可視化

Access Denied

https://www.vmware.com

• Cisco SDNファブリックの一部としてマイクロセグメンテーション機能を提供
• 物理ネットワークと仮想ネットワークの一元管理が可能
• アプリケーションプロファイルによるポリシー設定が簡単
• Ciscoセキュリティポートフォリオとの連携が可能

Cisco ACI - アプリケーション セントリック インフラストラクチャ

Cisco ACI で、マルチクラウドネットワークを簡単に最適化できます。セキュアで自動化されたソフトウェア定義型ネットワーク（SDN）ソリューションを利用して、ネットワークの展開を加速してください。

https://www.cisco.com

• アプリケーション可視化とセグメンテーションを統合
• 自動生成ポリシーと手動調整の両立が可能
• マルチクラウドとハイブリッド環境に対応
• 外部システムとの連携やカスタムスクリプトの実行が可能

https://www.akamai.com

• クラウド、コンテナ、オンプレミス環境に対応
• ブロックストレージレベルの暗号化によるデータ保護
• ユーザー/エンティティの認証と可視化が可能
• SOC/SIEMとの連携でインシデント対応もサポート

ColorTokens ラテラルムーブメントを抑止する – 株式会社電巧社

ColorTokens (カラートークンズ)は、アクセス制御やリスクの特定、感染時のロックダウンなどを包括的にカバーする業界唯一のゼロトラスト・サイバーセキュリティ・プラットフォームを提供しています。ColorTokens 日本初代理店、国内で導入できるのは当社だけ。

https://de-denkosha.co.jp

これらの製品は、大手ベンダーから専門ベンダーまで様々で、機能の違いや対応環境が異なります。価格モデルや提供サービス、サポート体制なども考慮し、自社の要件に合った製品を選定する必要があります。