はじめに

Illumio Core製品は、シンプルで誰もが扱いやすい機能構成のため、持続的なマイクロセグメンテーションの実現に寄与することができます。

世界的なIT標準業界団体であるThe Open Groupによるゼロトラストのコア原則には、「シンプルで維持できること」がポイントの1つであると明記されています。

今回は、Illumio Core製品の「シンプルで誰もが扱いやすい」ポイントをお伝えすべく、Illumio Core製品機能や導入の進め方を複数回に渡りご紹介します。

初回となる本記事では、Illumio Core製品の理解を深めるために、まず知っておくべき基本情報をご紹介します。

PCEとVEN

Illumio Core製品は、PCE(Policy Compute Engine)とVEN(Virtual Enforcement Node)の2つのコンポーネントから構成されます。SaaS版PCEをご利用いただくと、製品側でPCE環境自体の準備やメンテナンス、アップグレードが実施されます。そのため、これらの対応を利用者側で行う必要が無くなります。

PCEを中心とした機能提供及び連携実現

Illumio Core製品は、PCEを中心とした機能構成となります。PCEが提供する管理画面を通して、可視化された通信情報の確認や通信制御ポリシーの設定を行います。また、PCEが備えるAPIを介して、外部システムとの連携を実現できます。

Illumioでは、管理対象とするサーバやクライアント端末を”Workload”と呼びます。Workload上に導入されたVENは、PCEと定期的に通信を行い、通信制御ポリシーや収集した情報の授受を行います。

VEN：OS標準FWを利用した通信制御

Illumio Core製品では、OS標準FWを利用することで、Workloadにおける通信制御を実現します。Workload上に導入されたVENは、必要なFWルール設定をOS標準FWに指示するのみであり、通信制御処理自体には関与しません。そのため、VENのインストールやアップグレード、VEN自体に万が一トラブルが発生した場合においても、Workload上の通信への影響は発生しません。

通信制御モード

Illumioにおける通信制御モードは、下記の4パターンが用意されています。

基本的には、左から右の順序で段階的に通信制御を深めていく形になりますが、どのモードまで進めるかは、要件や運用面に応じて選択が可能です。通信制御モードは、最小で各Workload単位での指定が可能であり、異なる通信制御モードのWorkloadを共存させることも可能です。

Illumio Coreによるマイクロセグメンテーション導入ステップ

Illumio Core製品を利用したマイクロセグメンテーション実現において、代表的な導入ステップは、下記の通りとなります。まずは、各サーバやクライアント端末にVENをインストールし、Workloadとして登録することで、各Workload上で発生した通信を可視化します。発生通信や各Workloadのリッスンポート、ランサムウェアに悪用されがちな通信プロトコルへの制御状況等、Illumioを通して得られる情報と既知の通信要件を考慮し、出来るところから段階的に通信制御を実施、その制御内容を深化させていきます。

おわりに

本記事では、Illumio Core製品の理解を深める上での基本情報をご紹介しました。
次回の記事以降で、各導入ステップで利用する機能や必要となる設定を具体的にご紹介していきます。
Illumio Core製品機能や導入ステップの詳細につきましては、弊社まで是非お問い合わせください。