ブログ
/
ゼロトラストセグメンテーション

マイクロセグメンテーションプロジェクトを成功に導く:新しいアプローチが必要な理由

トレバー・ディアリング
インダストリー・ソリューションズ・マーケティング・ディレクター
May 20, 2022
23 最小読取り

マイクロセグメンテーション 単なる流行語ではありません。

マイクロセグメンテーションプロジェクトの実装が成功すれば、攻撃対象領域を減らし、侵害を封じ込め、攻撃による被害を制限し、規制コンプライアンスを達成し、ゼロトラストのようなより深いセキュリティ戦略の土台を築くことができます。

残念ながら、多くの組織が マイクロセグメンテーションの実装に苦労しました そしてその本質的なセキュリティ上の利点を得ます。

このブログシリーズでは、マイクロセグメンテーションの実装が難しい理由と、プロジェクトを確実に成功させるために何が必要かについて、実践的で詳細な視点を提供します。

はじめに、この最初の記事では以下について説明します。

  • なぜ今、組織にマイクロセグメンテーションが必要なのか
  • マイクロセグメンテーションプロジェクトが失敗する一般的な理由は3つあります。
  • マイクロセグメンテーションへの新しい、より信頼性の高いアプローチとはどのようなものでしょうか。

何が変わったの?現代のサイバーセキュリティにマイクロセグメンテーションが不可欠な理由

マイクロセグメンテーションとは、ハイブリッドデジタル環境内のアプリケーションとシステム間の経路を閉じるセキュリティポリシーを作成する手法です。これにより、インフラストラクチャーのさまざまな部分が分離され、攻撃者やランサムウェアが重要なリソースに簡単に広がるのを防ぐことができます。

マイクロセグメンテーションは、従来の境界ベースのセキュリティとは大きく異なります。マイクロセグメンテーションでは、ネットワークと外部との接続を管理するのではなく、ネットワーク内の接続を管理することになります。

コンピューティング環境とサイバーセキュリティの脅威はどちらも過去数年間で劇的に変化したため、組織はマイクロセグメンテーションを必要としています。現在、組織は運営されています。 ハイブリッドネットワーク 仮想クラウドと従来のオンプレミスデータセンターで構成されています。また、企業所有と従業員所有の両方のデバイスとアプリケーションを保護する必要もあります。その多くは、企業のオフィスの外に遠隔地に分散しています。

今では、消滅しつつあるネットワーク境界の周囲に侵入できない防御策を講じることは不可能です。今や侵害は避けられません。また、攻撃者がネットワークに侵入すると、システムとアプリケーション間の多くの正規の接続や通信経路を容易に経由して、できるだけ多くのコンピューティングリソースを危険にさらす可能性があります。

自分たちで、 従来のセキュリティアプローチ 現代の脅威から身を守ることはできません。組織はマイクロセグメンテーションを活用して、攻撃対象領域を制限し、攻撃者が侵入できるシステムの数を制限し、被害が発生する前に攻撃を検出して阻止できるほど長く攻撃を遅らせる必要があります。

そして、これはどれも理論ではありません。私たちは最近走りました スペシャリストのビショップ・フォックスによるレッドチームテスト それが証明しました:

  • 非常に単純な環境分離により、攻撃者の労力が 300% 増加しました。
  • アプリケーションリングフェンシングは、攻撃者の努力を 450% 増加させました。
  • マイクロセグメンテーションにより、ブロックされた接続が増加し、攻撃者は戦術を変更せざるを得なくなり、攻撃者は攻撃に費やす時間が 950% 増えました。全体として、マイクロセグメンテーションによって、重大な被害を防ぐのに十分な早期にインシデントを検出できる可能性が高まりました。

残念ながら、効果的なマイクロセグメンテーションが現代のネットワークのセキュリティを劇的に向上させることは明らかですが、多くの組織はこの戦略を実現するのに苦労しています。

マイクロセグメンテーションプロジェクトが失敗する 3 つの理由

イルミオには、マイクロセグメンテーションプロジェクトを成功させるツールとサービスを提供した豊富な経験があります。最近の例としては、以下のものが挙げられます。

  • ある電子商取引サイトでは、Illumioを使用して3か月で11,000台のシステムを保護し、重要な監査に合格しました。
  • ある大手SaaSプラットフォームは、Illumioを使用して、ポリシーと施行を含む完全なDevOps自動化のもと、40,000のシステムを保護しています。
  • ある大手金融機関は、Illumioを利用して、連邦規制当局の監視下で1日あたり1兆ドルの金融取引を隔離しています。

ただし、マイクロセグメンテーションに関心はあるが、自分でマイクロセグメンテーションプロジェクトに取り組むことを心配しているテクノロジーリーダーとも何度も話し合いました。通常、彼らは次の 2 つのうちの 1 つを教えてくれます。

  • 彼らは、マイクロセグメンテーションは紙の上では良いアイデアだが、実際に行うのは非常に難しく、正しく理解するのはほぼ不可能に思えるほどだと聞きました。
  • 彼ら(または彼らの知り合い)は、すでにマイクロセグメンテーションプロジェクトに着手しようとしましたが、失敗に終わったか、計画通りにはいきませんでした。

成功しないマイクロセグメンテーションプロジェクトのほとんどが、次の3つの理由のいずれかが原因で失敗することがわかりました。

  1. 彼らは間違った戦略原則を使ってプロジェクトを導きました。
  2. 彼らは間違ったロードマップに従ってマイクロセグメンテーション戦略を構築し、プロジェクトの中核となるリスクに対処していませんでした。
  3. 彼らは、今日の動的で分散型のハイブリッドコンピューティング環境向けにマイクロセグメンテーションを構築するために明示的に設計された最新のプラットフォームを使用する代わりに、従来のネットワークおよびセキュリティツールを導入しました。

私たちの経験から、マイクロセグメンテーションプロジェクトが失敗する原因となるよくある間違いを排除することを目指して、適切なアプローチをとれば、マイクロセグメンテーションプロジェクトも簡単、迅速、信頼できるものになることがわかっています。

マイクロセグメンテーションプロジェクトの3つの課題をそれぞれ詳しく見ていきましょう。

失敗ポイント1: 間違った戦略的原則

多くのマイクロセグメンテーションプロジェクトは、誤った戦略的原則に従っているため、初日から失敗するように設定されています。これは主に経験不足が原因です。セキュリティチームや IT チームがこれまでマイクロセグメンテーションプロジェクトを成功させたことがなければ、何がうまくいき、何がうまくいかないのかはわかりません。

具体的には、多くのマイクロセグメンテーションプロジェクトが失敗するのは、組織が以下の原因です。

  • 標準的なウォーターフォールベースのものに従い、 「オール・オア・ナッシング」プロジェクトアプローチ。これらのプロジェクトは完成することはめったになく、その構造上、放棄される前に意味のある価値を生み出すこともほとんどありません。
  • 環境やメタデータ、またはどのポリシーが有用な保護を提供するかを明確に把握せずに、マイクロセグメンテーション戦略を設計してください。この可視性がなければ、どの戦略が実際に役立つのかを知ることは不可能です。
  • ポリシーの自動化がなく、広範囲にわたる手作業によるきめ細かで包括的なマイクロセグメンテーションを構築しようとしている。しかし、チームの規模に関係なく、従来のネットワークファイアウォール制御を使用して数百、数千、または数十万のワークロードの無数のポリシーを管理することはほぼ不可能です。

これらは根本的なミスであり、マイクロセグメンテーションが必要以上に困難になり、プロジェクトを最初から失敗に追い込むことがよくあります。

障害点 2: 間違ったリスクベースのロードマップ

多くの場合、組織はマイクロセグメンテーション戦略を策定しますが、これらのプロジェクトが対処すべき最大のリスクに対処できず、対処することもできません。マイクロセグメンテーションプロジェクトは、セキュリティチームや IT チームが次のような理由で失敗することがあります。

  • 初日から適切なクロスファンクショナルステークホルダーやチームをプロジェクトに参加させていない。
  • 保護する必要のある高価値資産を特定せず、代わりにすべてを保護しようとします。
  • 欠けている 可視性 組織のアプリケーションがどのように通信し、どのような経路を閉じることができるかを確認する必要があります。
  • すべてのシステムとアプリケーションに同じマイクロセグメンテーション戦略を適用しようとします。
  • 施行前にポリシーをテストすることは決してなく、導入時にビジネスシステムが壊れてしまいます。
  • 長期的な政策管理のための持続可能な計画を作成できない。

これらのリスクのいずれかがマイクロセグメンテーションプロジェクトの失敗の原因となる可能性があります。多くのマイクロセグメンテーションプロジェクトには、すべてではないにしても、これらのリスクの少なくとも1つが伴います。

障害点 3: 間違ったマイクロセグメンテーションツール

多くの場合、2個はまあまあまあまあです(海老門、VLAN、サブネットなど)。、到、到、と ごに 内、分 内部 ぎか、静寂を味わいましょう。

2.otekoがマクロコーチングチャチャッケー、各kokoKLass百、数千、より多くの「エコ」、「ストック」、「新」、「」。ナーズプラズファングでり、....

サビ・ジョゼ・フリンジ・ゼ・フリンコ

エビ・カル・ジ・ジ・ジョー。到到来い、到来、

取材、取材、取材、実は、

  1. 輪輪輪輪輪輪輪輪輪輪輪輪輪行き、みずからずみだらけで、みずからずみずみずしい。
  2. くろけいれん。
  3. 大変お世話になりました。

ウソマイの 3 つのつのツボー、「変なぎりぎり」。無記号、MecroPT、ecrooCagdenaの「第11回」、「新生」、「厚生」、「休業」、「護身長」、「回生」、「回生」

取っけいず、クロタキシードリルとミオでまたっかいかいかいろいけ。

関連トピック

アイテムが見つかりません。

関連記事

4 人の IT チームがゼロトラストセグメンテーションを 3 週間で実施した方法
ゼロトラストセグメンテーション

4 人の IT チームがゼロトラストセグメンテーションを 3 週間で実施した方法

イルミオの仮想執行ノード(VEN)エージェントと強制ゼロトラストセグメンテーションがどのようにしてサーバーインフラストラクチャ全体に完全なエンフォースメントを実現するのか。

もっと読む
CNAppsがクラウドセキュリティを制限している5つの理由
ゼロトラストセグメンテーション

CNAppsがクラウドセキュリティを制限している5つの理由

cNAppsがあなたのセキュリティをここまでしか受けられない理由と、ゼロトラストセグメンテーションがどのように役立つかをご覧ください。

もっと読む
ネットワークがワークロードセグメンテーションの障害にならないようにしましょう
ゼロトラストセグメンテーション

ネットワークがワークロードセグメンテーションの障害にならないようにしましょう

ネットワークがアジャイルワークロードの配信、自動化、セキュリティの障害ではなくなった理由をご覧ください。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく