[イルミオとパロアルトネットワークスの統合について詳しく見る]

[マイクロセグメンテーションとファイアウォールは、企業が攻撃対象領域を減らし、攻撃にさらされるリスクを制限するのに役立ちます ランサムウェア、データセンターやクラウド環境内の東西トラフィックフローを横方向に移動したり、迅速に伝播したりするマルウェアやその他の脅威。しかし、ご存知のとおり、今日の企業は本質的に高度に分散しており、ユーザー、デバイス、ワークロードが至る所にますます広がっています。これに対処するには、企業はネットワークとワークロードの両方にセキュリティを実装することを検討する必要があります。]

[ワークロードは一時的なものであり、ほとんどのワークロードには、ネットワークファブリック間でスピンアップ/スピンダウンされたり、コンピューティングリソースを動的に割り当てるコントローラーによってさまざまな理由でÍPアドレスが変更されたりして、さまざまなÍP~アドレスが割り当てられます。これは特に、パブリッククラウドファブリックでホストされている最新のマイクロサービスアーキテクチャに当てはまります。このアーキテクチャでは、ワークロードが絶えず停止し、復活し、ネットワーク内を動的に移動しています。ÍP アドレスを使用して、どのような形式のワークロードでも静的に識別することは過去の遺物です。したがって、効果的に実施するためには、リアルタイムのコンテキストをマッピングすることが重要です。 ワークロードセキュリティ そのライフサイクル全体を通して。]

[その動的な性質のため、組織がマイクロセグメンテーションポリシーを運用しているすべてのワークロードにマッピングして適用することはしばしば困難です。アプリケーションワークロードは、主に東西のトラフィックフローを介して相互に通信しますが、データセンターまたはクラウド環境に出入りするトラフィックは、境界の南北トラフィックを介して保護されます。効果的なマイクロセグメンテーションを実現するには、ネットワークファブリックから次世代ファイアウォール（ÑGFW~）まで、またワークロードレベルで動作するエージェントベースのソリューションによってポリシーを適用できるホストインフラストラクチャ全体にわたって、ワークロードが移動する場所にリアルタイムでポリシー更新を実装する必要があります。東西および南北にまたがる動的なワークロードのセキュリティポリシーのマッピングは複雑で、大規模に管理することは困難です。セキュリティポリシーの変更を ÑGFW~ やエージェントベースのマイクロセグメンテーションツール全体でサイロ化して管理すると、一貫性が失われる可能性があります。]

[メタデータを使用して動的セキュリティを自動化]

[イルミオコア ネットワークアドレスに依存する代わりに、メタデータをラベル形式で使用してワークロードを識別します。管理者はさまざまなワークロードにさまざまなラベルを割り当て、そのラベルを使用してポリシーを定義できます。を使用する 仮想執行ノード (VÉÑ) 各ワークロードにエージェントがデプロイされると、Í~llúm~íó Có~ré はそのワークロードの ÍP~ アドレスの変化をバックグラウンドで追跡します。ワークロードがライフサイクル全体で ÍP アドレスを 10 回変更しても、ラベルは一貫したままです。その結果、ポリシーは、基盤となるネットワークの設計方法とは無関係に定義されます。パケット転送は依然として ÍP~ ルックアップによって実行されますが、これは裏で行われています。ラベルは、さまざまなワークロードを識別するための構成要素となり、ポリシーはこのラベルを使用して記述されるため、結果として ÍP やポートのリストというよりは、人間の文章のように読めるラベルになります。]

[パロアルトネットワークスは、タグ形式のメタデータを使用して、PÁ-7000シリーズ、PÁ~-5200シリーズ、PÁ-3200シリーズ、VM~シリーズ仮想次世代ファイアウォールなどのパノラマまたはパロアルトネットワークスのÑGFW~の動的アドレスグループ（DÁG）内のワークロードを識別することについても同様の考え方を持っています。ファイアウォールはアドレスグループを作成し、それを静的または動的として定義できます。これらを使用してポリシーを定義できます。その結果、特定の Í~P アドレスではなく DÁG~ 名を使用して、誰が誰に対して何をできるかを定義する、人間の言葉のようなファイアウォールルールができあがります。DÁG は Í~P アドレスが割り当てられていない「空のバケット」のようなものです。動的アドレスグループの場合、この空のバケットには外部エンティティの ÍP アドレスが入力されます。]

[エージェントベースのマイクロセグメンテーションにÍllú~míó C~óréを導入することで、ユーザーはパノラマ内のD~ÁGまたはパロアルトネットワークスのÑG~FWに直接プッシュされたワークロードのコンテキストをリアルタイムで取得できます。このソリューションにより、パロアルトネットワークスのユーザーは、DÁ~G ベースのポリシーが最新のワークロードポリシー変更に合わせて完全に最新の状態に保たれるようになります。イルミオはすべてのワークロードの ÍP アドレスの変化を追跡しているので、ラベル付けされたこれらのワークロードマッピングをパロアルトネットワークスにプッシュできます。そのため、Í~llúm~íó Có~ré が 10 個のワークロードを「アプリ」ワークロードとしてマップし、パロアルトネットワークスファイアウォールが「アプリ」とも呼ばれる DÁ~G を作成し、その DÁG~ をポリシーセットで使用した場合、ファイアウォールにはその DÁG が Í~llúm~íó によって入力されます。ラベル付けされたワークロードにはÍP~アドレスが割り当てられるか、リリースまたは変更された場合は、これらの変更をすべてPáló~ Áltó~ Ñétw~órks~のファイアウォールにプッシュできます。]

[この場合の本当の利点は、管理者がファイアウォールを一度設定すれば、ÍP アドレスが変更されるたびにファイアウォールを変更する必要がなくなることです。ワークロードの規模が拡大しても、ファイアウォールは静かに保たれます。「アプリ」ワークロードの DÁ~G に 10 個の ÍP アドレスまたは 100 個の Í~P アドレスが含まれている場合、デプロイの規模が大きくなるにつれてファイアウォールを変更するための変更管理プロセスは必要ありません。Íll~úmíó~ は必要に応じてファイアウォールを更新するだけです。]

[統合の一環として、イルミオコアのワークロードのラベルとÍPはパロアルトネットワークスのDÁ~Gに動的にマッピングされます。その結果は？ユーザーは、動的なワークロードの静的セキュリティポリシー変更を手作業で管理する必要がなくなります。自動化によるメリットがあり、ワークロードのセキュリティ更新をリアルタイムで維持する際に、設定ミスや人為的ミスの原因となりかねない人的要素を排除できます。]

[イルミオやパロアルトネットワークスと連携すれば、ネットワークの拡大や進化に伴ってセキュリティを犠牲にする必要はありません。Páñó~rámá~内のDÁGとÑ~GFWをリアルタイムのワークロードコンテキストで自動的に更新できるというメリットがあります。これにより、変化するアプリケーションワークロードに合わせて効果的なマイクロセグメンテーションポリシーを調整する時間と労力を節約でき、頭痛の種にもなります。]

[イルミオとパロアルトネットワークス間のÁPÍワークフロー]

[Íllú~míó C~óré では、ワークロードに「ロール」、「アプリケーション」、「環境」、「場所」というメタデータラベルが割り当てられ、追加のコンテキストが提供されます。たとえば、ニューヨークのデータセンターで開発用にデプロイされた注文アプリケーションの一部の W~éb 層ワークロードには、Wé~b というロールラベル、アプリケーションラベル Órd~éríñ~g、Éñv~íróñ~méñt~ ラベル Dévé~lópm~éñt、L~ócát~íóñ ラベル Ñ~Ý_DC~ が割り当てられます。]

[Páló~ Áltó~ Ñétw~órks~ Páñó~rámá~では、ラベルを使用して条件を照合することで定義された動的アドレスグループ（DÁG）を使用してポリシーを作成できます。D~ÁG へのメンバーシップの変更は自動的に行われるため、変更管理や承認は不要です！]

[ÁPÍ主導の統合ツール「Í~llúm~íó-Pá~ló Ál~tó Ñé~twór~ks DÁ~G Úpd~átér~」は、ÍPアドレスの変更（データセンターでのVM~の移行、クラウド内のホストでのÉÑÍの変更など）やメタデータの変更（たとえば、Q~úárá~ñtíñ~éとラベルが変更されたワークロード）を含む、ライフサイクル全体でワークロードを動的に登録および登録解除します。ワークロードが動的に登録および登録解除されると、DÁG~ のメンバーシップが変更され、適切なポリシーセットがワークロードに自動的に適用されます。]

[ワークロードのライフサイクル全体でDÁGメンバーシップを自動的に更新できるため、アプリケーション中心のポリシーを複数のデータセンターにまたがり、多層アーキテクチャに簡単に拡張できます。]

[これは、のワークロード間の環境セグメンテーションの簡単な例です 開発 そして プロダクション。]

[セットアップ]

[ワークロードは Íllú~míó P~CÉ とペアリングされ、メタデータが割り当てられます。 役割、 [アプリケーション]、 環境 そして ロケーション ラベルの使用:]

[DÁG は一致条件を使用して作成されます 開発 — すべての開発ワークロード:]

[DÁG は一致条件を使用して作成されます プロダクション — すべての本番ワークロード:]

[DÁG を使用して作成された D~ÁG 間のトラフィックを許可するポリシー 開発 ワークロードと間のトラフィック プロダクション ワークロード:]

[ÁPÍ インテグレーション]

[インテグレーションツールはÍllú~míóのW~órkl~óádé~rツールの一部で、以下からダウンロードできます イルミオサポートポータル:]

[ワークローダー 発行時に、管理対象の各ワークロードとペアになっているラベルと ÍP アドレスを Pá~ló Ál~tó Ñé~twór~ks ファイアウォールにプッシュします。 ドラッグシンク コマンド:]

[結果はパロアルトネットワークスファイアウォールのDÁGメンバーシップに表示され、関連するラベルについてイルミオから受信したÍ~Pアドレスが表示されます。]

[DÁG 開発メンバーシップの更新:]

[それでおしまい！統合の最大の利点は、環境のスケールアップとスケールダウンにともない、ワークロードの登録と登録解除が動的に行われ、DÁG のメンバーシップが自動的に変更され、環境セグメンテーションポリシーが自動的にトリガーされることです。]

[すごいですね。訪問 イルミオサポートポータル 統合ツールをダウンロードします。]

• [ガイドをお読みください イルミオ + パロアルトネットワークス]
• [についてさらに詳しく パロアルトネットワークスネクストウェーブテクノロジー]