はじめに

Illumio Core製品では、VENにより各Managed Workload上で発生した通信情報を収集し、PCE上で自動的にEnd-to-End形式の通信情報として可視化します。VENを導入できれば、プラットフォームに依存せず、物理/仮想/クラウド環境等を跨いだ形で、簡単に発生通信を可視化できます。

発生通信の可視化結果の活用例として、下記が挙げられます。

• 環境全体を俯瞰した通信制御状況のリアルタイム把握 （ガバナンス強化用途等）
• 発生通信の詳細把握 （特定のWorkload、特定の通信プロトコル等）
• 想定の無い通信の発見
• 通信制御状況の把握 （通信制御ポリシー未適用の通信等）

発生通信の可視化結果をもとに、通信制御の対応優先度付けや具体的なポリシー策定を行うことができます。通信制御ポリシーの策定を進めていく上では、セキュリティ管理者や各システム管理者等、組織横断での検討が必要となる場合もあります。その際の検討材料としても、可視化結果を活用できます。また、発生通信情報はPCE上に一定期間蓄積されるため、セキュリティインシデントが発生した際の影響範囲調査にも活用できます。

本記事では、Illumio Core製品が提供する通信の可視化機能についてご紹介します。

Illumio Coreにおける通信可視化：3つの表示形式

Illumio Core製品では、通信の可視化機能として3つの表示形式を備えています。

Map表示

各Managed Workload上で発生した通信の全体像をマップ形式で可視化します。発生した通信とその方向を矢印で、Illumioによる通信制御の結果を色で表現します。

Map表示は、発生通信の全体像から詳細情報までの把握を一画面上でカバーします。各Workloadに付与したラベル情報を用いて任意のグルーピングを行うことで、表示情報量をコントロールし、全体像の把握を可能とします。また、インタラクティブなUIを提供しており、Map上で任意の通信やWorkload等を選択することで、表示対象の絞り込みや詳細情報の確認が可能です。さらには、Map上から、通信制御ポリシーの設定に遷移することも可能です（ラベルや通信制御設定は、次回記事以降にて紹介）。

その他、フィルタリング機能もあり、特定のWorkloadやシステム、通信プロトコル、許可/ブロックの通信制御結果等、用途に応じて様々な観点での絞り込みが可能です。

Mesh表示

送信元/宛先/宛先ポート/プロセスを軸として、発生通信を可視化します。任意のWorkloadやプロセス等、何かを起点/終点としてどの様な通信が発生しているかを可視化し、特定端末における通信履歴調査、想定のない通信や外れ値の発見にも繋がります。

Mesh表示もインタラクティブなUIを備えており、ドラックアンドドロップでの軸の並べ替え、ラベルを用いたグループ表示、通信を絞り込んだ上での詳細情報の確認が可能です。

Traffic表示：

各Managed Workload上で発生した通信を表形式で表示します。各Workloadとアプリケーションが相互にどの様な通信をしているのか、発生したフロー数や日時等の詳細情報までを確認可能です。表示結果は、CSV形式でのエクスポートも可能です。

おわりに

本記事では、Illumio Core製品における通信可視化機能をご紹介しました。上記機能の他にも、ランサムウェアに悪用されがちな通信プロトコルに着目した情報表示やレポート出力機能等も用意されています。
次回の記事では、可視化結果の可読性をさらに向上させるための設定をご紹介します。

Illumio Core製品における可視化機能の詳細説明やデモのご要望がございましたら、弊社まで是非お問い合わせください。