インフラチームがマイクロセグメンテーションを気に入る5つの理由
多くの人は、理想的な世界では、より厳密なセグメンテーションがより良いセキュリティ成果につながると自由に認めるでしょう。残念ながら、現実の世界では、セグメンテーションには時間がかかり、複雑で、コストもかかります。アプリケーションチームは、インフラストラクチャチームが必要とする情報を提供するのに苦労しており、すべてのビジネスロジックを IP アドレスに変換して手動で確認するまで何も起こり得ません。幸いなことに、 マイクロセグメンテーション より良い方法を提供し、セグメンテーション管理を強化することによる運用上の負担を大幅に軽減します。
インフラストラクチャチームが経験する 5 つの利点を考えてみましょう。
1。セキュリティ上の理由から VLAN はもうありません
マイクロセグメンテーションは、セグメンテーション適用ポイントをネットワークからアプリケーションインスタンスに移動します。つまり、セグメンテーションポリシーは、既存のサブネット、VLAN、またはゾーンとは無関係に存在しているということです。純粋なネットワークの観点から見ると、大規模なフラットネットワークはうまく機能し、拡張性に優れ、管理も簡単です。セキュリティポリシーでは、小規模で制約の厳しいネットワークが望ましいため、管理が煩雑になります。マイクロセグメンテーションはこの行き詰まりを解決します。セグメンテーションがネットワークの強制に依存しなくなれば、きめ細かなセグメンテーションと単純な VLAN 構造が可能になります。
2。ACL を管理する必要はもうありません。
マイクロセグメンテーションは、IP アドレスではなく、ラベルとメタデータによってセグメンテーションポリシーを定義します。最後に、ポリシーを作成するときに、サーバー名やアプリケーション名と IP アドレスを手動で変換する必要がなくなります。マイクロセグメンテーションによってポリシー定義がネットワーク構成から切り離されると、ポリシー策定プロセス全体がよりシンプルかつ迅速になります。マイクロセグメンテーション・ポリシーは「ピュア」で規定されています。 許可リスト モデルには、ルール順序を考慮する必要がなく、ポリシーの継承をサポートできるという利点もあります。まとめると、マイクロセグメンテーションポリシーは、より厳密な制御が可能であると同時に、従来の ACL よりも速く、シンプルで、簡単です。
3。すべてのアプリケーションのアプリケーショントポロジーを取得
すべてのトラフィックの記録が含まれているにもかかわらず、ネットワークフローデータはアプリケーションの動作を理解するのにはあまり適していません。マイクロセグメンテーションでは、基盤となるネットワークトポロジとは無関係にアプリケーションの依存関係マップが生成されます。複数のデータセンターやクラウドロケーションに分散しているアプリケーションでも、1 つのアプリケーションインスタンスとして視覚化されます。この明確さにより、組織全体、特にネットワークトポロジーに本来関心のないアプリケーション、DevOps、セキュリティチームとの会話が簡単になります。特にセグメンテーション・ポリシーを策定する際には、この共通の理解によって、承認に関する会話やポリシーの意思決定が合理化されます。
4。自動セグメンテーション
最適なセグメンテーションルールは、誰も記述したり調整したりする必要がないルールかもしれません。マイクロセグメンテーションはラベルとメタデータでポリシーを指定するので、ポリシー全体を自動化できます。マイクロセグメンテーション・ポリシー・エンジンは、新しいデバイスや IP アドレスの変更を通知する API 呼び出しを受け取ると、必要なセグメンテーション・ルールを自動的に再計算して配布します。セキュリティポリシーは常に最新の状態に保たれます。ラベルは DevOps ワークフローに簡単に組み込んで、サーバーをインスタンス化できます。そのように統合されると、ポリシーは、構築または解体されるすべてのサーバーに合わせて自動的に計算され、調整されます。
5。運用面での苦労なしに、よりきめ細かなセグメンテーションを求めるセキュリティニーズを満たす
セキュリティアーキテクトは、ほとんどの場合、より少ないセグメンテーションよりも多いセグメント化を好みます。唯一の課題は、マイクロセグメンテーションがなければ、よりきめ細かなセグメンテーションポリシーがインフラストラクチャ運用チームに大きなコストをかけてしまうことです。セグメンテーションポリシーがネットワークの強制、IP アドレス、またはネットワークから派生したフローデータに依存しなくなると、運用上の負担は劇的に軽減されます。ポリシー作成ツール、自動化、可視化によってプロジェクトが強化されれば、きわめて厳密なセグメンテーションでも、予想されるような問題なしに実現できます。
ACL によるセグメンテーションには、大変で時間のかかる作業が必要です。マイクロセグメンテーションはワークロードを軽減し、ロールベースのアクセス制御により、アプリケーション、DevOps、セキュリティ、インフラストラクチャの各チームに負荷を分散できます。従来の ACL ではコストがかかりすぎると考えられていたセグメンテーションの要望が、マイクロセグメンテーションでははるかに容易になります。
従来、セグメンテーションは非常に難しく、運用上の考慮事項によって実現可能なものが決まることがよくありました。しかし、マイクロセグメンテーションは、より厳格なセグメンテーションポリシーと運用上の負担の軽減の両方を実現できるという嬉しい可能性を秘めています。マイクロセグメンテーションは、ネットワークからポリシー適用を排除します。IP アドレスに依存せずにポリシーを再定義し、ポリシーの自動化を促進し、視覚化やポリシー作成に役立つツールを提供します。
まとめると、インフラストラクチャチームは、きめ細かなポリシーを求める必要があるセキュリティ担当者を満足させることができます。実際、マイクロセグメンテーションは、ネットワークインフラストラクチャからセグメンテーションを削除できるという点で、インフラストラクチャーチームに最高のニュースをもたらします。
詳細については、こちらをご覧ください 論文 ネットワークインフラストラクチャからセグメンテーションを切り離すことについて。