ブログ
Trevor_Pott , Visitor
ブログ
接続のすべてのポイントにセキュリティを拡張:cSRX によるコンテナ化セキュリティ
Sep 5, 2019

マイクロサービスを動作する低プロファイルのインフラストラクチャとしてコンテナを使用することにより、インフラストラクチャの別のレイヤーを保護する必要が発生します。Juniper Connected Security を導入すると、コンテナ化されたワークロードに対する業界屈指のセキュリティを確保し、アプリケーション内の個々のマイクロサービス間の通信全体に可視化と適用を拡張することができます。

 

コンテナは、IT のあらゆる側面と同様、保護が必要であり、管理者にとってこれらのコンテナの内外を流れるデータ フローの可視化は必須です。モノリシックなアプリケーションは拡張が困難であり、拡張が実現しても非常に非効率的です。その結果、アプリケーションのマイクロサービスへのシャーディングは過去 20 年間にわたり継続的に推進されており、マイクロサービスではコンテナの採用が進められています。

 

Contrail などの SDNSoftware-Defined Networking)コントローラのリリースにより、ジュニパーの cSRXContainerized SRX)にネットワーク機能サービス チェーンが導入されました。2 つのデータ フローとターゲットのコンテナの間で「bump in the wire」として機能する cSRX は、これまでどこにも存在しなかったセキュリティ適用ポイントを追加するとともに、現在利用できる最も包括的な Docker コンテナのネットワーク セキュリティを提供します。Contrail により、今やセキュリティの追加はアプリケーション開発者に対して透過的なものとなっています。

 

cSRX はさらなるネットワーク可視化も実現し、新たなる脅威に対するより迅速な対処を可能にします。個々のコンテナ化アプリケーションやマイクロサービスは、必要に応じて、その次世代ファイアウォール、またはネットワーク セキュリティ サービスのチェーン全体でも提供されます。

 

 

cSRX コンテナ ファイアウォールのメリット

 

  • コンテナを保護する目的に合わせて構築cSRX は業界初のコンテナ化 ファイアウォールです。cSRX では、俊敏性を保つため、意図的に vSRX やハードウェア SRX ファイアウォールのダイナミック ルーティングやネットワーク機能を除外しています。コンテナ化された環境により、迅速なワークロードの作成や破壊が可能になり、ニーズに応えることができます。cSRX が数秒間でインスタンス化できるということも、顧客にとって大きなメリットです。

 

  • コンパクトなフットプリント、高度な俊敏性:cSRX ファイアウォール インスタンスは数秒でインスタンス化でき、コンテナ化アプリケーションのフットプリントをコンパクトに抑えることができます。このことは、マイクロサービス アプローチによりコンテナ化セキュリティのプロビジョニングを行うことで達成されます。

 

  • 次第に巧妙化する脅威に対する防御:cSRX には、高度な脅威防御、脅威フィードに基づく IP ブロックや URL ブロックなどの機能が統合されています。これにより、cSRX は、コンテナ化の導入で一般的となっていた必要最小限のファイアウォールを超え、代わりにコンテナ化インフラストラクチャのコアなピースとなります。

 

  • 新しいテクノロジをサポート:cSRX は、フットプリントがコンパクトであり、インスタンス化が素早くできることから、5G 基地局の根底にあるマイクロ データ センターなどの新しいテクノロジに柔軟に対応できます。

 

  • IoT デバイスに構築できるコンパクトさ:統合脅威管理と業界をリードするファイアウォールを、コンテナ化しやすいフットプリントにまとめ、数秒でインスタンス化できます。これにより、cSRX はリソースの制約があるデバイスを保護し、インスタンスあたり数メガバイトの RAM を節約した運用を可能にします。

 

  • 明示的なゾーンを使用:cSRX はゾーンへのトラフィックのセグメント化をサポートしているため、単一の cSRX コンテナで複数のコンテナ化されたアプリケーションやマイクロサービスを保護でき、それぞれが自らのカスタム セキュリティ設定を持ち、cSRX が使用するフットプリントをさらに削減できます。

 

  • ネットワーク機能サービス チェーンへの参加:ネットワーク機能サービス チェーンに参加することで、cSRX は高可用性とともに、必要に応じて個々のネットワーク機能を拡張できるコンテナ化セキュリティも提供できます。

 

Juniper Connected Security

 

セキュリティ侵害の兆候のあるトラフィックを検出し、接続ポイントよりも、セキュリティを強化するのに適した場所はどこでしょうか。

    

Juniper Connected Security は、ネットワーク製品と情報セキュリティ製品を統合した製品で、ネットワーク内の複数のポイントで脅威の検出とポリシーの適用ができます。Juniper Connected Security を使用することで、境界防御、 クラウド防御、ネットワークのセグメント化に加え、セキュリティの仮想化とコンテナ化、さらにはエッジ コンピューティングの防御も可能になります。

 

マイクロセグメンテーションを実現

 

Contrail は、これまでも高度なマイクロセグメンテーション機能を提供してきました。しかし、マイクロセグメンテーションには費用がかかります。マイクロセグメントは、単一のアプリケーションを構成、または 1 つの階層を占有するすべてのマイクロサービスをカプセル化するのに最適な、仮想ネットワーク セグメント、またはルールベースのコンテインメント グループです。各マイクロセグメントは、事実上それ自体小規模なネットワークであり、そのセグメントを超えて通信するには、データ フローがルーターを通過する必要があります。Contrail では、そのルーターは vRouter で、すべてのコンピュート ホストに分散されます。

 

データがルーターを通過するためにマイクロセグメントを出入りする必要があるため、自然に通過するのが困難なポイントを提供し、ここにネットワーク機能を実装できます。従来、こうしたネットワーク機能には高価なハードウェアが必要であり、各データ フローは、さまざまなハードウェアを介してコンテナ化されたホスト外に送信され、その後宛先に送信される必要がありました。

 

コンテナ用の Contrail サービス チェーンと cSRX により、そのすべてが変わります。サービス チェーンに適用できるネットワーク機能には、以下のものが含まれます。

    

  • アプリケーション ファイアウォール(AppFW)
  • アプリケーション ID(AppID)
  • 侵入防御システム(IPS)
  • ネットワーク アドレス変換(NAT)
  • 統合脅威管理(UTM)
  • 拡張 Web フィルタリング(EFW)
  • スクリーニング

    

cSRX により、Contrail は非常に強力な境界を持った非常にコンパクトなマイクロセグメントを作成し、ネットワーク機能サービス チェーンを迅速にインスタンス化し、各マイクロセグメントを保護することができます。サービス チェーン全体を数秒で稼働でき、マイクロセグメントやすべての必要なネットワーク機能を、防御するアプリケーションを構成するコンテナや仮想マシンよりも早くサービスに導入することができます。

 

Contrail Enterprise Multicloud と併用することで、cSRX は、オーケストレーション、自動化、セキュリティ、および分析の完全なスイートを拡張し、動的な消費者向けサービスおよび企業向けサービスをコスト効率とリソース効率の高い形でコンテナ スペースに導入する、トップクラスの実環境レベルのソリューションを提供します。OpenShift Kubernetes などのコンテナ化アプリケーション プラットフォームに対応する Contrail Enterprise Multicloud は、Contrail Networking および Contrail Security コントローラ、Contrail vRouterL4 セキュリティ搭載)、cSRX/vSRXL7 セキュリティ搭載)、AppFormix 分析エージェント、Kubernetes CNI プラグインで構成されています。

 

 

1JP1.PNG

 

Juniper Connected Security により、クラウドネイティブのアプリケーションがある場所にまでセキュリティを拡張して、プライベート クラウド、パブリック クラウド、IoT インフラストラクチャで一貫したポリシーを提供できます。ジュニパーの cSRX コンテナ ファイアウォールは、コンテナ化アプリケーションとマイクロサービスを保護し、IoT デバイスの製造業者でも導入できるコンパクトさを誇る、強力な仮想環境に特化した高度なセキュリティ サービスのセットを提供します。

 

cSRX は機能豊富で、ジュニパーの vSRX やハードウェア SRX ファイアウォールを使用した経験のある管理者にとって馴染みのある機能や管理インターフェイスを採用しています。cSRX は、リソースの制約がある環境で個々のデバイスやワークロードを保護するという、Juniper Connected Security で不可欠な役割を担っています。

 

今日のネットワークのセキュリティにおいて、ネットワーク全体に複数のセキュリティ強化ポイントを設定すること、および脅威が発生する可能性がある場所で脅威に対処するための可視性を確保することが求められます。Juniper Connected Security で可視化、自動化、保護をぜひ実現してください。

0 件の賞賛