イルミオをCISトップ20にマッピング

過去数週間にわたって、インターネットセキュリティセンター（CIS）のセキュリティコントロール構想を実現するためにイルミオがどのように支援されているかを知りたい企業からの問い合わせが増えています。CIS Top 20 統制ガイドラインは広く採用されており、最新のものも含めて10年以上前から存在しています。 2019 年 4 月にリリースされたバージョン (7.1)、だから私たちはこの傾向に興味をそそられました。これらの企業に、イルミオへの動機や関心について話を聞き、多くのことを学びました。

これらの組織のほとんどは、しばらくの間CISベストプラクティスガイドラインを使用してきましたが、リモートワーク運用モデルへの急速な移行が相まって、報告されています サイバー攻撃の増加 コントロールとツールを再評価することを余儀なくされています。そして 2020 年 4 月の CSO 調査 回答者の 26% が、3月中旬以降、サイバー攻撃の量、深刻さ、範囲が拡大したと回答しました。これらの企業の中には、パブリッククラウドへの移行を続け、データセンター内の仮想化フットプリントを拡大している企業もあります。どの企業も、自社のセキュリティ管理と実現技術におけるギャップをより深く理解したいと考えているのです。

これを念頭に置いて、イルミオがCISトップ20コントロールをどのようにサポートしているかについての概要を以下に示します。

CIS 重要セキュリティ統制トップ 20 の概要

まずは簡単な入門書から始めましょう CIS 重要セキュリティ統制トップ 20。統制は当初、NSAのレッドチームとブルーチーム、米国エネルギー省の原子力研究所、法執行機関、および米国有数のフォレンジックおよびインシデント対応組織によって作成されました。

コントロールは最も一般的なものから派生しています 攻撃パターン 主要な脅威レポートで取り上げられ、政府や業界関係者の非常に幅広いコミュニティで精査されています。これらのレポートには、民間企業と政府機関のフォレンジックおよびインシデントレスポンスの専門家が集約した知識が反映されています。

CIS Top 20 セキュリティコントロールの実装と運用は、「一度で済む」作業ではありません。テクノロジー、脅威環境、攻撃手法は常に進化しています。統制は毎年更新、検証、改良されています。これらはコンプライアンスプログラムに取って代わるものではなく、実際には次のようなフレームワークに対応しています。 ニストCSF および次のようなコンプライアンス基準 PCI-DSS そして ヒパー。多くの企業が CIS 統制を情報セキュリティのベストプラクティスのベースラインとして使用し、それを強化してありふれたケースに対処したり、非常に具体的で規範的な要件を満たすようにしています。

イルミオをCISトップ20コントロールにマッピング

Illumioの機能が、CISコントロールへの直接対応やサポートにどのように役立つかをご紹介します。

基本制御

1。 ハードウェア資産のインベントリと管理。 Illumioは、リアルタイムを使用できるようにすることで、この制御をサポートしています アプリケーション依存関係マップ アプリケーショングループに属するハードウェアサーバーコンポーネント、およびアプリケーションとの接続が許可されているサーバーとデバイスを識別および検証します。Illumio は、次のようなサードパーティツールとの API ベースの統合をサポートしています。 NAC、資産発見、 ServiceNow CMDB およびインベントリを検証するためのサービスマッピング。Illumio エージェントはベアメタル、VM、パブリッククラウドインスタンス、コンテナをサポートし、テレメトリ情報 (IP アドレス、ポート、プロセス、プロトコル) を収集してアプリケーション依存関係マップを作成します。

2。 ソフトウェア資産のインベントリと管理 Illumioは、以下を使用できるようにすることで、このコントロールをサポートしています。 アプリケーション依存関係マップ アプリケーショングループに属するアプリケーションとワークロードコンポーネント、および接続が許可されているその他のソフトウェアスタックコンポーネント（マルチクラウド、コンテナからサーバーへの接続、パブリッククラウドインスタンスとの接続など）を識別します。接続とフローに関する情報は、資産管理、CMDB、および SCM ツールによって管理されるソフトウェアインベントリ情報を充実させます。Illumio のデフォルト拒否モデルは、事業運営に必要なリスクの高いアプリケーションを論理的に分離します。エージェントレスの可視化 (AWS RDS、Azure Managed SQL、GCP フロー、ストレージファイラーなど、エージェントがサポートされていないシナリオ) は、フローリンク機能を使用することで可能になります。

3。 継続的な脆弱性管理。 Illumioは、脆弱性スキャナーと統合し、脆弱性情報を取り込むことで、この制御をサポートしています。この情報を使用して視覚的に表示します。 マルウェアの潜在的なラテラルアタック経路は 脆弱性露出スコア ビジネス中心のリスク計算を提供します。この情報を利用すると、パッチ戦略の優先順位付けや、パッチ適用が運用上不可能である場合にプロセスレベルのセグメンテーションを適用する能力を高めることができます。

4。 管理者権限の制御された使用。 Illumioは、主要なMFAソリューションと統合することでこの制御をサポートしています。Illumio は、専用のワークステーションが隔離され、最低限の権限しか適用されないようにポリシーを監視および適用できます。で VDI 環境、ワークロードアプリケーションへの接続は、ユーザーの Microsoft グループメンバーシップに基づいて制御されます。

5。 モバイルデバイス、ラップトップ、ワークステーション、およびサーバー上のハードウェアとソフトウェアの安全な構成。 Illumioは、すべてのトラフィックを可視化し、アプリケーションの所有者がどのワークロードが使用しているポート/プロトコルを迅速に特定することで、SCMツールをサポートしています。 してはいけない 期待してください。そうすれば、すぐに修復できます。

6。 監査ログの保守、監視、分析顧客がIllumioを使用して内部のデータセンターとクラウド、ユーザーとアプリケーション、およびエンドポイントのピアツーピア接続をセグメント化している場合、Illumioはすべての接続とトラフィックフロー、イベント（許可されたトラフィック、ブロックされたトラフィック、ブロックされたトラフィック、潜在的にブロックされたトラフィック）、および関連するポリシー、ルール、イベントの履歴のログを保持します。認定事業者は、運用、インシデント対応と調査、報告と監査について、イルミオの歴史的交通データベースを検索できます。Illumioは、次のような主要なSIEMツールと統合されています。 スプランク、 IBM QRadar、ArcSightを使用すると、レポート、調査、インシデント対応のために大量のログとイベントデータをアーカイブ、検索、相互に関連付けることができます。

基本制御

9。ネットワークポート、プロトコル、およびサービスの制限と制御 イルミオはこのコントロールを直接満たします。Illumio は、アプリケーションの接続に関する情報 (接続やポート、プロセス、プロトコルなどのトラフィックフローに関する詳細な履歴接続) を使用して、最初に該当するファイアウォールルールを推奨します。Illumio にはデフォルト拒否モデルがあるため、コンプライアンス違反の接続はブロックされたり、ブロックされたりする可能性があります。

11。ファイアウォール、ルーター、スイッチなどのネットワークデバイスの安全な構成。 イルミオはこのコントロールを直接満たします。Illumio は、ネットワークデバイス、特に East-West ファイアウォールが本来あるべきことを実行し、ファイアウォールポリシーで禁止すべきトラフィックを許可していないことを確認するために、トラフィックとイベントログに関する詳細な履歴情報とリアルタイム情報を保持しています。ユーザーはIPを作成できます。 拒否リスト 既知の悪意のある、または未使用のインターネットIPアドレスとの通信をブロックします。ユーザーは、特定のポート、プロセス、およびプロトコルへの接続をワークロードに限定するように接続をプログラムできます。イルミノコアは VEN 改ざん防止を実装しています。Illumio でマイクロセグメンテーションを実装すると、ネットワーク管理マシンを隔離してアクセスを昇格させることができます。ビジネスニーズが変化するたびに VLAN やサブネットを再設計しなくても、きめ細かなセグメンテーションを実装できます。

12。 境界防衛。 イルミオはこのコントロールを直接満たします。Illumio はホストベースのセグメンテーションを適用して、信頼レベルの異なるアプリケーションやデバイス間の接続とフローを監視および制御します。コストとリスクを伴うネットワークインフラストラクチャの再構築を行わずに、きめ細かなセグメンテーションを実現できます。

13。 データ保護。 Illumioは、デフォルト拒否モデルにより、権限のないワークロードやユーザーが保護対象のアプリケーションに接続することを積極的に防ぎ、悪意のある攻撃者の潜在的なラテラル攻撃経路を特定してブロックすることで、この要件をサポートしています。Illumio は、機密情報の転送を試みる可能性のある不正接続を検出して遮断し、セキュリティ担当者に警告を送信します。また、Illumio を使用して、クラウドプロバイダーやメールプロバイダーへのアクセスや接続を制御するポリシーをプログラムし、適用することもできます。

14。 知る必要性に基づくアクセス制御 イルミオはこのコントロールを直接満たします。Illumio を使用すれば、ワークロード、アプリケーション、その他すべての認証済み接続を制御できます。 VDI ユーザーとデバイス。 イルミオコア システムへのネットワークアクセスの管理と、場合によっては論理アクセスの管理の両方を行うことで、環境へのアクセスの管理を支援できます。外部 IP アドレスをルールセットに特別に追加し、ユーザーがシステムにアクセスする必要性に基づいてグループに適用できます (ユーザーはマシンでも個人オペレーターでもかまいません)。これらのルールはポリシーレベルで有効/無効にして、システムへの特定のアクセスを即時かつ効率的に無効にできます。VDI 環境では、 アダプティブ・ユーザー・セグメンテーション Active Directory グループポリシーに基づいて特定のリソースへのアクセスを許可するために使用できます。

15。 ワイヤレスアクセス制御。 Illumioは、特定の許可されたデバイスやサーバーへのワイヤレスアクセスのセグメンテーションをプログラミングして適用し、他のワイヤレスネットワークへのアクセスを制限することで、この制御をサポートしています。

16。 アカウントの監視と制御。 Illumioは、サードパーティのSSOおよびアクセスガバナンスツールと統合することにより、この制御をサポートしています。また、Illumio のオンデマンド暗号化を使用すれば、すべてのアカウントユーザー名と認証情報が暗号化されたチャネルを使用してネットワーク経由で送信されるようにすることもできます。

組織統制

18。 アプリケーションソフトウェアセキュリティ。 イルミオは、マイクロセグメンテーションポリシーを適用して生産システムと非生産システムを分離することで、この制御をサポートしています。また、Illumio はホストベースのファイアウォール・ルールをプログラムして、開発者が実稼働システムに監視されず自由にアクセスできないようにしています。

19。 インシデント対応と管理。 Illumio はこのコントロールをサポートしています。権限のあるユーザーは、Illumio の過去の交通データベース、イベント、ログデータからレポートを取得して、調査やインシデント対応ワークフローをサポートできます。

20。 ペネトレーションテストとレッドチーム演習 Illumio はこのコントロールをサポートしています。組織は、アプリケーション依存関係マップ、ルールセット、およびアプリケーショングループ内の情報を、ペンテストの範囲を設計するためのベースラインとして使用できます。

まとめると

通常、システム上の事象が発生すると、既存のセキュリティ統制が評価されます。Illumioは、企業がCISトップ20統制の導入を評価し、実現するための実践的なアプローチを実施できるよう支援しています。企業は次の機能を活用することでこれを実現できます。

1. リアルタイムのアプリケーション依存関係マッピング これは、運用モデルの変化に起因する新しいつながりや、価値の高いシステムとのつながりの変化を特定するのに役立ちます。
2. 脆弱性マップ 脆弱性の悪用可能性を計算して視覚的に示します。これにより、最もリスクの高い資産やコネクションを中心に、統制やセグメンテーションの取り組みに優先順位を付けることができます。
3. セグメンテーション ネットワークアーキテクチャの再構築に依存しないデフォルト拒否モデルを使用します。
4. サードパーティの IT 運用部門とのAPIベースの統合、会社に新たなリスクをもたらす傾向を継続的に監視するのに役立つセキュリティおよび分析ツールこれらの統合は、既存の統制の有効性を向上させる計画を策定して実施するのにも役立ちます。

CIS Top 20 Controls は、基本的なセキュリティ対策を提供するだけでなく、組織に最も大きな影響を与える可能性のあるギャップやセキュリティ統制に優先順位を付けるためのフレームワークも提供します。

イルミオの機能について詳しく知りたい場合は、以下をご覧ください。 イルミオコア。