セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
Segmentation
Illumio Editorial
Illumio Editorial
2021年3月4日
23分読む

ファイアウォールチームがマイクロセグメンテーションを気に入れる5つの理由

顧客履歴の初期に起こったインシデントは決して忘れません。私たちは、大手顧客の ファイアウォール アーキテクチャと実装チームとのトレーニングを修了したばかりでした。ファイアウォールの主任管理者の一人が手を挙げて、「だから、これを正しく理解していれば、ファイアウォールルールを二度と書く必要はない」と言いました。私は微笑んで「そうです」と言いました。

半年後、私たちは一緒にエレベーターに立っていたが、彼はマイクロセグメンテーションがどれほど好きかを興奮気味に話してくれた。理由を尋ねると、彼はこう答えました。私はもうACLを書かないし、私たちの方針ははるかに厳しくなった」

それは素晴らしい瞬間でしたが、単純な事実は、マイクロセグメンテーションはファイアウォール運用チームにとって素晴らしいということです。その理由を 5 つ紹介します。

  1. 手動の ACL はもう必要ありません。概念的には、ファイアウォール ルールの作成は「簡単」です。許可したい内容のルールを入力するだけで、それ以外はすべて拒否されます。抽象度が高い場合はその通りですが、実際の作業に近づくと、大幅に単純化しすぎていることになります。従来のファイアウォールでは、すべてのポリシー要件を、アプリ所有者がシステムについて語る方法から、IP アドレス、サブネット、ゾーンの言語に変換する必要があります。マイクロセグメンテーションでは、適用ポイントがアプリケーション インスタンス自体に移動します。つまり、セグメンテーションは適用のためにネットワーク構造に依存しません。強力なPolicy Compute Engineと組み合わせると、管理者は「Web サーバーはアプリケーション サーバーと通信し、アプリケーション サーバーはデータベースと通信します」というわかりやすい言葉でポリシーを記述できます。Web サーバーは互いに通信したり、データベースに直接通信したりすることはありません。人間が IP アドレス、サブネット、またはゾーンを知らなくても、単純なポリシーを強制可能なルール ベースに変換できます。マイクロセグメンテーションにより、ファイアウォール管理者は ACL を記述する必要がなくなります。
     
  2. スケーラブルなポリシー モデルを取得します。ファイアウォールは、ルール テーブルの下部に default-deny が設定された状態で出荷されますが、すぐに許可ステートメントと拒否ステートメントが複雑に混在するようになります。これらの混合拒否リストと許可リストのポリシーは、継承が制限されているため、拡張性が低くなります。ルールに許可ステートメントと拒否ステートメントが混在している限り、ルールの順序が重要になり、継承が制限されます。マージされたポリシーはどのような順序に従う必要がありますか?マイクロセグメンテーションは純粋なゼロトラストモデルに基づいて機能します。許可ステートメントのみが存在するため、ポリシーの継承は簡単です。発生する可能性があるのは、何かが複数回許可されるということだけです。これにより、任意の抽象化レベルでポリシーを簡単に指定できるようになります。特定のサーバーは、データ センター全体のポリシーと、運用環境およびデータベース全般のポリシーの両方からポリシーを継承できます。ポリシーの大部分がテンプレートから生成される場合、ポリシーの作成作業は簡素化され、拡張性も大幅に向上します。
     
  3. ポリシーが正しいことを認識してください。ファイアウォール ポリシーの開発は簡単ではありません。すべてのアプリケーション トラフィックは、ポートとプロトコルに至るまで特性評価する必要があります。多くの場合、この情報はインフラストラクチャ チームやセキュリティ チームの手に負えません。さらに悪いことに、アプリケーションはもはや関与していないベンダーまたは請負業者によってインストールされている可能性があるため、アプリ チームでさえ気付かないことがよくあります。マイクロセグメンテーションは、チーム全体が理解できる豊富なアプリケーション依存関係マップを提供します。マップにはアプリケーション データのみが表示され、ネットワーク デバイスは表示されないため、アプリケーション チームと DevOps チームは、アプリケーションが生成するフローと保護する必要があるものを簡単に把握できます。マイクロセグメンテーションにより、重要なアプリケーションの保護に関する合意形成が容易になり、ポリシー チームに正確な情報が提供されます。
     
  4. ポリシーが安全であることを知ってください。ファイアウォール ルールをどのようにテストしますか?あなたはしない。ファイアウォールはそういうふうには機能しません。ルールを入力して、問題があれば電話が鳴ります。2021年には、それはもはや十分ではありません。まったく新しいアプリケーションの場合、本番環境に導入するには、アプリケーション チームとのやり取りが必要になります。しかし、既存のアプリケーションでは、セグメンテーション ポリシーに間違いがあると、停止が発生します。マイクロセグメンテーションはより良い方法を提供します。ポリシーは、個別のビルド、テスト、および適用の各段階を含むライフサイクルを通じて進行します。このようにして、アプリの所有者からセキュリティおよびインフラストラクチャ チームまで、誰もがポリシーが「設計どおり」であること、およびポリシーが必要なすべての通信をカバーしていることを検証できます。シンプルなアプリケーション依存関係マップにより、ポリシーが安全であり、適用できることが簡単にわかります。
     
  5. アプリケーション所有者からサポートを受けます。どの組織でも、セキュリティ チームよりもアプリケーション チームの方がはるかに多くの人員を抱えています。また、アプリケーションの数とセグメンテーション ポリシー作成者の数を比較すると、その差はさらに大きくなります。この相違を考慮すると、ファイアウォール チームのニーズを各チームが理解し、それをタイムリーに得られるようにすることは常に困難です。マイクロセグメンテーションは、アプリケーション所有者がプロセスに参加できるように設計された視覚化とワークフローを提供します。アプリ チームがマイクロセグメンテーション プロジェクトに関与すると、アプリに対するセキュリティ チームとインフラストラクチャ チームの目標をサポートするのがはるかに簡単になります。アプリケーションがどのように動作するか、セグメンテーション ポリシーとそれらのフローとの相互作用を全員が理解できれば、信頼が築かれ、責任のなすり合いがなくなります。アプリ所有者は、ポリシーのフローとアプリケーション部分の両方を簡単に検証できるため、施行に向けた進捗が迅速化されます。

マイクロセグメンテーションは、ファイアウォール管理者にとって最適です。手動のファイアウォール規則を、ネットワークの知識を必要としない単純な自然言語ポリシーに交換します。完全な継承で簡単に拡張できる真のゼロトラストポリシーモデルを入手してください。すべてのセグメンテーションポリシーは、正しく完全である必要があります。マイクロセグメンテーションは、アプリケーション所有者が関与できるシンプルなグラフィカルなプロセスになります。彼らが味方につければ、セグメンテーション プロジェクトはより速く、より簡単に、より楽しくなります。マイクロセグメンテーションは、ファイアウォール管理者が待ち望んでいたアップグレードです。

関連トピック

マイクロセグメンテーション

関連記事

ダミーのためのゼロトラストセグメンテーション:侵害の拡大を阻止するための簡単なガイド
Segmentation

ダミーのためのゼロトラストセグメンテーション:侵害の拡大を阻止するための簡単なガイド

ゼロトラストセグメンテーション for Dummiesの無料コピーを入手して、ランサムウェアや侵害の拡散を阻止するための簡単なガイドを入手してください。

詳細はこちら
ゼロトラストセグメンテーションがランサムウェアを検知と対応のみよりも4倍速く阻止する方法
Segmentation

ゼロトラストセグメンテーションがランサムウェアを検知と対応のみよりも4倍速く阻止する方法

Bishop Fox が実施した最近のランサムウェア攻撃エミュレーションでは、ゼロトラストセグメンテーションがランサムウェアの拡散を 10 分以内に阻止することが示されました。

詳細はこちら
マイクロセグメンテーションを段階的に実装できることが重要なのはなぜですか?
Segmentation

マイクロセグメンテーションを段階的に実装できることが重要なのはなぜですか?

IT 部門のほとんどの人は、セグメンテーションがきめ細かくなればなるほど優れていることに同意するでしょう。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る