Illumio Insights のご紹介 — AIを活用し、可視化・検知・封じ込めを革新する新たなソリューション
詳細はこちら

セキュリティに関して課題がありますか?

|
お問い合わせ
|
+1 855 426 3983
ブログ
/
ゼロトラストセグメンテーション

ネットワークとセキュリティのセグメンテーション

Illumio Editorial
Illumio Editorial
4月 5日、 2017
23分読む

セキュリティ戦略としてのセグメンテーションの必要性は、かなり進化しています。ネットワークの黎明期から今日の複雑なデータセンターやクラウド環境に至るまで、組織がセグメンテーションに対して採用するアプローチは追いついていません。従来のセグメンテーションアプローチを使用して新しいセキュリティ課題に対処しようとすると、期待とセキュリティ要件の両方を満たしていないことにすぐに気付くでしょう。

しかし、これはベンダーや一部の組織が、ことわざにある四角いネットワーキングペグを丸いセキュリティホールに収めようとするのを止めていません。ネタバレ注意:それは収まりません。

本当に必要なのは セキュリティセグメンテーションです。

ill_blog_hero_img_network_vs_security_seg_v3.jpg


この投稿では、ネットワークとセキュリティのセグメンテーションの違いを探り、データセンターに焦点を当て、セキュリティ要件に対処するために ネットワークセグメンテーション がどのように誤った方向に向けられてきたかを探っていきます。

主要用途の地上制御

私が初めてネットワーキングに「夢中」になったとき、セグメントはRG-58 COAXのストランドでした。私は自分自身と付き合っているのでしょうか?はい。

キャリアが進むにつれて、私は「新興」 VLAN テクノロジーのパイオニアである Xylan で働きました。当時の課題は、あらゆるメディア(トークンリング、FDDI、ATM、イーサネット)をあらゆるメディアにインターワーキングし、VLANを拡張することでした - 主にセキュリティのためではなく、むしろブロードキャストドメインを減らすために - ネットワークパフォーマンスを維持し、ネットワークを拡張できるようにすることでした。レイヤー 3 スイッチはなく、ネットワーク内で最も高価な要素はソフトウェアベースのルーターでした。¬†基本的に、セグメントは論理的な (物理的ではない) ブロードキャスト ドメインに進化し、VLAN がセキュリティと混ざり合うようになるまで、ほとんどその状態が続きました。

今日、組織が「検出」テクノロジーにどれだけの費用を費やしているにもかかわらず、ほとんどの組織は、何らかの形の侵害は避けられないと考えています。

侵害の必然性に直面して、唯一の現実的な保護は、重要なアプリケーションの周囲により多くの壁を構築するか、悪意のある行為者がデータセンターやクラウド内を自由に動き回れないように「地形を制御」することです。

地形を制御するには、新しい形式のセグメンテーションが必要です。

これは、 セキュリティセグメンテーションと呼ばれるもので、組織はトラフィックをフィルタリングして、悪意のある行為者がデータセンター内で横方向(東/西)に移動できないようにする必要があります。これは、新しいIP、新しいVLAN、および新しい機器を必要とするネットワークを介した「レトロセグメンテーション」よりもはるかに優れています。

できるのか、それともすべきなのか?大変なことだ

セキュリティ セグメンテーションは、レイヤー 2 およびレイヤー 3 ネットワーキングに関連するため、パケット転送に関するものではありません。セキュリティセグメンテーションは、 パケットフィルタリング 、つまりネットワーク上の2つのポイント間で許可すべきものと許可すべきでないものを強制することです。

私はいつも、 これがcan (パケット転送)と should (パケットフィルタリング)の違いだと言っています。レイヤー 2 およびレイヤー 3 ネットワーキングで行われたすべてのプロトコルと作業は、信頼性の高いパケット配信に関するものでした。

  • レイヤ 2/3 ネットワーキングは、2 つのロケーション間でパケットを転送するパスを見つける ことができます (存在する場合)。
  • レイヤー 2/3 ネットワークは、パケットを転送 する必要がある かどうかを認識しません。そのように機能するように作られたわけではありません。

実際、レイヤー 2/3 デバイスに何が起 こるべき かを判断するように頼むことは、 ロン バーガンディにテレプロンプターのすべての単語を読まないように頼むようなものです。

一方、セキュリティセグメンテーションは、何が起こるべきかを理解し、パケットフィルターを制定して、侵害の拡大など、起こってはいけないことが決して起こらないようにします。

実際、私たちが30年間取り組んできた信頼性の高いパケット配信とセキュリティセグメンテーションは、いとこのようなもので、血縁関係にありますが、結婚すべきではありません。

KISS: あなたはそれをシンプルで愚かに保ちたいのです(そして毎日フィルタリングしたいのです)

セキュリティセグメンテーションの必要性を前面に押し出したことの1つは、私が「スティック上のファイアウォール」問題と呼んでいるものの出現でした。10年前は、トラフィックのオーバーヘッド、構成の複雑さ、スケールの問題が生じたため、データセンターのファイアウォールにトロンボンされるトラフィックはあまり見られませんでした。しかし、時間の経過とともに、そのような「スティック上のファイアウォール」設計が増加しています。

プロヒント: スティックにテクノロジーが書かれているのを見るときはいつでも、疲れてください。邪魔になるでしょう。

企業では、 ソフトウェア定義ネットワーク(SDN) ベンダーは、分散されたファイアウォールのセットを介してパケットを集中させるネットワークのオーバーレイを作成することで、ファイアウォールの複雑さをスティックで攻撃しようとしています。SDN は、アンダーレイ、オーバーレイ、トンネリングに依存して機能します。これにより、まったく新しいレベルの複雑さが生じ、別の投稿のために保存できます。しかし、より複雑さで複雑さを攻撃することは、勝利の提案ではないと言えば十分です。

複雑さは多くのことの敵であり、セキュリティもその 1 つです。

SDNとは異なり、セキュリティセグメンテーション(別名パケットフィルタリング)は、KISSのネットワーク原則であるKeep It Simple Stupidに依存しています。何かを複雑にしすぎると、エラーの可能性が高まり、人々が手抜きの方法を探す可能性も高まります。一方、シンプルさは信頼性を生み出す可能性が高く、セキュリティでは信頼性が重要です。

関連トピック

アイテムが見つかりませんでした。

関連記事

ショーン・コネリーが、ゼロトラストが連邦サイバーセキュリティをモダナイズした方法を語る
ゼロトラストセグメンテーション

ショーン・コネリーが、ゼロトラストが連邦サイバーセキュリティをモダナイズした方法を語る

連邦政府のサイバーセキュリティにおける変革、ネットワーク境界の進化、ゼロトラストへの取り組みに乗り出す人への実践的なアドバイスについての洞察を得ることができます。

詳細はこちら
マイクロセグメンテーション プロジェクトを確実に成功させる方法: 適切なツールの選択
ゼロトラストセグメンテーション

マイクロセグメンテーション プロジェクトを確実に成功させる方法: 適切なツールの選択

マイクロセグメンテーションツールを評価する際に何に注意すべきか、そして従来のアプローチが最新の環境でマイクロセグメンテーションを実現できない理由を学びます。

詳細はこちら
HGCがゼロトラストマイクロセグメンテーションでグローバルネットワークを保護する方法
ゼロトラストセグメンテーション

HGCがゼロトラストマイクロセグメンテーションでグローバルネットワークを保護する方法

HGC Global Communications Limited (HGC) は、香港を拠点とする電気通信業界のリーダーであり、セキュリティ コンサルティング サービスを提供しています。

詳細はこちら
高等教育CSOのジョージ・フィニー氏から得た5つのゼロトラストのポイント
ゼロトラストセグメンテーション

高等教育CSOのジョージ・フィニー氏から得た5つのゼロトラストのポイント

高等教育CSOのサイバーセキュリティの課題は独特です。SMUのCSOであるジョージ・フィニーが、大学環境におけるゼロトラストセグメンテーションの実装について語ります。

詳細はこちら

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る