最新のアプリケーションにおける6つのマイクロセグメンテーション要件

セキュリティを強化する方法としてネットワークをセグメント化するという考え方は、新しいものではありません。しかし、コンピューティングとセキュリティは密接に結びついているため、きめ細かなセグメンテーションを実現することは困難でした。つまり、望ましいセキュリティ体制を実現するために変更を加えると、基盤となるネットワーク転送を変更する必要があります。そうしないと、細分性が損なわれます。さらに、IT チームとセキュリティチームは競合する優先事項を両立させていることが多く、セグメンテーションが常に最も一般的な戦略であるとは限りません。

サイバー攻撃の規模と範囲の拡大により、状況は変化しています。

「... 今では、どの企業やインフラストラクチャでもマイクロセグメンテーションを有効にしない言い訳はありません。」

マイクロセグメンテーションハッカーにとって大きな抑止力となります。多層防御戦略に不可欠な要素として、マイクロセグメンテーションを導入する組織が増えています。300 人を超える IT プロフェッショナルを対象とした最近の調査によると、45% が現在セグメンテーションプロジェクトを実施しているか、計画中です。フォレスター・リサーチの2020年第3四半期 ゼロトラストウェーブレポート 「... 今や、どの企業やインフラでもマイクロセグメンテーションを可能にしない言い訳はない」と述べることの重要性を強調しました。

ただし、他のセキュリティ管理と同様に、ビジネス戦略とセキュリティ保護の必要性のバランスを取ることが重要です。ネットワークのセグメント化は主要なプロジェクトであり、ネットワークの管理方法としてはまったく異なります。通信が広く開放されたフラットなネットワークインフラストラクチャから、境界インフラストラクチャと同様にファイアウォールのルールセットを必要とするネットワークに移行するかもしれません。攻撃者にとっては難しいが、自分にとっては管理可能なネットワークという望ましい結果を達成するには、慎重な計画が必要です。

では、どうやってそこに行くのですか？

マイクロセグメンテーションを効果的に導入するために、ソリューションが提供する必要のある 6 つの主な機能と能力のリストを以下に示します。

1。アプリケーションコンテキストによる可視性

「見えないものは守れない」という格言は、これ以上ないほど真実です。組織はビジネスを運営するためにさまざまなアプリケーションを実行しており、それぞれが相互に通信し、データを共有しています。そこに課題があります。可視性がなければ、権限のないユーザーは、検出の兆候が見られる前に、企業に侵入したり、保護されていない資産や脆弱な資産にたどり着いたり、重要な資産に横方向に移動したりする十分な機会があります。

アプリケーション資産を適切にマイクロセグメンテーションすることで、侵害の拡大を最小限に抑えたり防止したりできますが、アプリケーション層での可視性が必要です。これは、Netflow トラフィックを取得したり、L2 と L3 のネットワークフローに関する情報を提供するスイッチの SPAN ポートをタップしたりすることとは異なります。アプリケーションコンポーネントがさまざまな層 (Web、処理、データベース) でどのように相互に通信するか、またアプリケーション同士がどのように相互作用するかを確認できる必要があります。

アプリケーションは孤島にあるわけではありません。それらは互いに話し合い、それがビジネスプロセスの仕組みです。たとえば、POS (POS) システムは、顧客の注文を処理する前に在庫管理アプリケーションと通信することが多いでしょう。これは理にかなっています。POS システムからのトラフィック すべきです インベントリアプリケーションとの会話が許可されます。一方、公開されている Web サーバーは、データベースと直接通信するのではなく、アプリケーション処理サーバーを経由してトランザクションまたはクエリを完了する必要があります。

しかし、これらのフローは必ずしもよく知られているわけではありません。確かにネットワークチームやセキュリティチームにもよく知られていないかもしれません。アプリケーション開発者はこのレベルの明確さを持っているかもしれませんが、必ずしもそうとは限りません。組織がマイクロセグメンテーションを正しく行うには、アプリケーションの依存関係を示す組み込み型の可視性が必要です。理想的には、さまざまなアプリケーションが階層間で、また互いにどのように連携しているかを示すマップの形式で表示するのが理想的です。このマップには、開発、ステージング、生産、規制などのさまざまな環境がどのように配置されているか、またそれらの環境間でどのようなコミュニケーションが流れているかも示されている必要があります。これにより、組織は希望するセキュリティ体制に基づいて、「何が起こっているのか」と「起こるべきこと」を理解しやすくなります。

イルミオがどのように役立つか: Illumioのアプリケーション依存関係マップは、アプリケーションコンポーネントがどのように相互作用し、さまざまなアプリケーションが互いにどのように通信するかを明確に示しています。このマップは、 イルミネーションは、他に類を見ない可視性を提供するだけでなく、希望する細分性に基づいてポリシーを推奨することもできます。ポリシーは、ラベルを使用して自然言語で定義され、ポリシーを定義するためにネットワーク層情報を必要としません。このアプローチは面倒な作業をすべて行い、自然言語ポリシーに基づいて正確な L2/L3/L4 ルールを計算します。これにより、組織の目標に沿ったセキュリティ体制を簡単に構築できます。

2。スケーラブルなアーキテクチャ

マイクロセグメンテーションを実現するには複数の方法があります。それぞれのアプローチにはメリットがありますが、スケーラビリティ、ソリューションの有効性と細分性、使いやすさ、そして最後になりましたが、費用対効果を考慮する必要があります。

一般的なアプローチには以下が含まれます。

• ネットワークを使ったセグメンテーション: ネットワークデバイス (スイッチ、ルーター、ファイアウォールなど) のアクセス制御リスト (ACL) のプログラミングこの方法では大まかなレベルでの分離が可能ですが、非常に面倒でエラーが発生しやすく、コストもかかります。ネットワークは、パケットを A 地点から B 地点にできるだけ速く転送することを目的としており、セグメンテーション用に ACL を割り当てることは、すべてのパケットを停止して許可すべきかどうかを確認するようなものです。これらの 2 つは正反対の目標であり、それらを混ぜ合わせると事態は崩壊し始めます。
• SDN によるセグメンテーション: ソフトウェア定義ネットワーク（SDN）を使用して上記を自動化すると、ユーザーは中央のコントローラーにアクセスして、適切なネットワークデバイスにプッシュされるルールを定義できます。このアプローチは構成をある程度軽減しますが、多くの点でネットワークデバイスを使用することに勝るものはありません。さらに、ほとんどの SDN システムは、セキュリティ機能ではなく、ネットワークの自動化を目的として設計されています。ベンダーがセキュリティのユースケースに気づき、SDN システムを転用してマイクロセグメンテーションを実現しようと試みたのはごく最近のことですが、わずかな成功しか収めていません。
• ホストベースのマイクロセグメンテーション: アーキテクチャ的には、このアプローチは異なります。ネットワーク内のどこかでポリシーを適用する代わりに、組織はネットワークの力を利用することができます 組み込みステートフルファイアウォール パフォーマンスを低下させることなく、ラインレートでルールを適用できます。さらに、これは唯一のスケールアウトアーキテクチャです。つまり、ワークロードを追加するとキャパシティも増えます。スケールアウトアーキテクチャは、パフォーマンスを犠牲にすることなく、システムコンポーネントが増大してもうまく機能することが実証されています。強制執行を行うには、執行機関がトラフィックを確認する必要があることを覚えておいてください。ファイアウォール (またはその役割を果たすネットワークデバイス) の場合は、トラフィックを確認する必要があります。ある時点で、トラフィックの量がエンフォーサーの容量を上回り、組織が保護されなくなる可能性があります。トラフィックステアリングは大きな課題であり、ネットワーク層で障害が発生したり、非常に複雑になったりすることがあります。

ネットワークのエッジは境界ファイアウォールではなく、内部セグメントにあるため、セグメントが細分化されるほど、保護が強化されます。この概念をさらに進めると、最適なセグメントは 1 つのセグメントであることがわかります。つまり、ワークロードが新しいエッジになります。ワークロードの外部にあるものは信頼できず、トラフィックを許可または停止するためのすべての強制は、パフォーマンスを犠牲にすることなくワークロードで行われます。ホストベースのシステムはまさにそれを行います。

イルミオがどのように役立つか: 早い段階で、大まかなセグメンテーションときめ細かなマイクロセグメンテーションの両方を実現する唯一のスケーラブルな方法は、ホストベースのアーキテクチャを使用することだと認識していました。 このアプローチ セキュリティを現場のすぐ近くに配置でき、制御はネットワークから独立しています。ホストの機能と容量を活用して OS カーネルのラインレートを使用して強制する ステートフルファイアウォール、セグメンテーションをネットワークから切り離し、ファイアウォールに存在するチョークポイントを排除し、新しいワークロードがオンラインになったときに容量を増やすことで、スケーラブルなセグメント化方法を提供します。

3。抽象化されたセキュリティポリシー

従来、セキュリティはネットワークと結びついていましたが、両者の目的は異なります。ネットワークはスピードとスループットが重要です。セキュリティとは隔離と防止です。この 2 つを混在させると、両方の世界で最悪の状況になります。両方の参加者が異なる方向に向かっている三本足のレースのようなものです。言うまでもなく、シナリオはうまく終わらない。基盤となるインフラストラクチャとは無関係に望ましいセキュリティ体制を実現できるように、セキュリティポリシーをネットワークから抽象化する必要があります。

イルミオがどのように役立つか: によって デカップリングセグメンテーション ネットワークから、わかりやすいビジネス中心のラベルに基づいてポリシーを構築するためのワークフローを組織に提供します。ワークロードは 4 つの次元のラベルに基づいて編成され、ポリシーはこのラベルを使用して記述されます。抽象化されたポリシーをネットワークレベルの適用にマッピングするという面倒な作業はすべて、ポリシーを適用する前にテストできるモデルによって行われます。これにより、アプリケーションを壊すことなく、マイクロセグメンテーションという望ましい結果を確実に達成できます。

4。きめ細かな制御

組織には、ビジネスの重要度が異なる多くのアプリケーションがあります。そのため、セキュリティ要件は重要度によって異なり、場合によってはそのアプリケーションに関連する規制要件も異なります。独自のコンピューティング環境に合わせて、さまざまなセキュリティ体制を定義するメカニズムが必要です。場合によっては、異なる環境を単純に分離しても問題ない場合もあります (たとえば、開発環境と本番環境を分離したり、対象となる規制資産を他のすべてから分離したりするなど)。より厳格な管理を行うには、アプリケーション層 (Web、処理、データベース) をロックダウンして、どの層がどの層と通信できるかを制御する必要があるかもしれません。これらのオプションはポリシーワークフローの一部であり、ネットワークに変更を加えなくても簡単に実装できるものでなければなりません。

イルミオがどのように役立つか: 私たちのポリシーモデルはシンプルでありながら強力で使いやすいです。アプリケーション依存関係マップは、アプリケーション層を可視化するだけでなく、単純なリングフェンシングから階層ベースの分離、ポート、プロセス、サービスに基づくセグメンテーションまで、さまざまなオプションを推奨することでポリシーの作成を促進します。

5。コンピューティング資産全体で一貫したポリシーフレームワーク

企業はますますハイブリッドマルチクラウドに移行しており、アプリケーションのフットプリントは、耐障害性、機能性、パフォーマンス、およびデータレジデンシーの要件に基づいて、さまざまなオンプレミスの場所、ホスティング施設、パブリッククラウドに分散していることがよくあります。特定の環境に適用できる個別の互換性のないソリューションを超越する、一貫したセキュリティメカニズムを開発する必要があります。

セキュリティモデルは、パブリッククラウドとオンプレミス環境のセキュリティモデルが異なります。パブリッククラウドは共有セキュリティモデルで動作します。クラウドベンダーは基本的なインフラストラクチャセキュリティを提供し、お客様は自社の資産とアプリケーションを保護する責任を負います。さらに、オンプレミス環境を保護するために使用されるツールは、パブリッククラウドで利用できるツールとは異なります。ほとんどのパブリッククラウドには、仮想プライベートネットワークごとに基本的なファイアウォールを提供するセキュリティグループ (ベンダーによってさまざまな名前が付けられています) が用意されています。これらのセキュリティグループは規模が限られており、構成の複雑さという点ではファイアウォールと同じ問題があり、クラウド間での互換性もありません。これは、真の意味でハイブリッドなマルチクラウドを利用していて、一貫したセキュリティメカニズムを必要とするお客様にとっては課題となる可能性があります。

イルミオがどのように役立つか: 私たちのソリューションは、場所やワークロードのフォームファクターにとらわれません。ワークロードはどこにでも配置できます。完全な可視性と、コンピューティング資産全体に適用できる一貫したセキュリティモデルを提供します。

6。セキュリティエコシステムとの統合

セキュリティ体制を定義し、そのルールを適用することは、組織の事業運営を維持するのに役立ちます。この部分は、組織が新しい資産の作成、アプリケーションのデプロイ、システムの運用などに使用するプロセスやツールとしっかりと統合する必要があります。ほとんどの企業組織には、日常業務を支援するシステムがあります。例として、SecOpsはSplunkをメインコントロールセンターとして使用し、他のシステムではこのシステムに通知やアラートを送信する必要があります。SecOpsが日常的に複数のツールを監視して業務を稼働させ続けることはまずありません。セキュリティがこれらのプロセスと統合されない限り、セキュリティは常に課題となり、サイロ化や複雑化を招きます。

イルミオがどのように役立つか: 当社のソリューションは完全にAPI主導型です。つまり、組織のより大きなエコシステムと簡単に統合できます。Illumio GUI でできることはすべて、選択したシステムからの API 呼び出しを介して実行できます。さらに、機能を強化できるインテグレーションもサポートしています。注目すべき統合には以下が含まれます。

• サービスナウ: Illumioは以下からホスト属性を取り込むことができます サービスナウ これを使用して、各ワークロードに割り当てられ、ポリシーの定義に使用されるラベルを作成します。さらに、Illumio は (リアルタイムマップに基づいて) 不一致に関する情報を ServiceNow に送信し、その情報を修正して CMDB の精度を高めることができます。
• スプランク: Illumioは、次のようなSIEMにすべてのアラートと通知を送信できます。 スプランク、ブロックされたトラフィック、改ざんイベント、ルール違反などに関するレポート
• 脆弱性スキャナー (クオリス、テナブル、ラピッド7): Illumio独自の特徴として、脆弱性情報を取り込み、その情報をアプリケーション依存関係マップに重ねてリスクを視覚化および定量化することで、次のようなことが可能になります。 脆弱性マップ。その情報を使用して、脆弱性を考慮したマイクロセグメンテーションポリシーを導き出すことができます。即時パッチが選択肢にならない場合は、基本的にマイクロセグメンテーションを補償制御として使用します。
• AWS セキュリティハブ: Splunkと同様に、Illumioはクラウドデプロイ用のSIEM機能を提供するAWSセキュリティハブと統合されています。
  

要約すると、マイクロセグメンテーションの主な利点は次のとおりです。

• セキュリティの向上:ネットワークトラフィックを分離またはフィルタリングして、ネットワークセグメント間のアクセスを制限または防止できます。
• より優れた封じ込め: ネットワークの問題が発生した場合、その影響はローカルサブネットに限定されます。
• アクセス制御の向上:ユーザーが特定のネットワークリソースにのみアクセスできるようにします。
• コンプライアンス: 規制当局またはクライアントから義務付けられたコンプライアンス要件のもとにある組織は、適切な措置が講じられていることを証明し、適時に監査に合格することができます。
• 監視機能の向上:イベントを記録し、許可された内部接続と拒否された内部接続を監視し、疑わしい動作を検出する機会を提供します。

マイクロセグメンテーションは、組織内での不正なラテラルムーブメントを防止するための非常に効果的なアプローチであり、ゼロトラストフレームワークの重要な信条になったのは偶然ではありません。侵害は損害を与える可能性がありますが、内部でセグメント化されたネットワークがないことも同様に有害です。

なるほど、金輪輪輪輪輪輪輪輪輪は、水、、。MICOC Or2 StralknalJoalid、NeanStral.jpal.jp>

自動車修理の第1歩はしじょうなじょう？ サインアップ 30いただきます。