新しい調査:ランサムウェアのグローバルコスト調査。どのようなbreaches によってコストがかかっているかを確認してください。
レポートを入手

Breach を経験しましたか?

|
お問い合わせ
|
+1 855 426 3983
ブログ
/
ゼロトラストセグメンテーション

ネットワークとセキュリティのセグメンテーション

イルミオエディトリアル
April 5, 2017
23 最小読取り

セキュリティ戦略としてのセグメンテーションの必要性はかなり進化しています。ネットワークの初期段階から今日の複雑なデータセンターやクラウド環境まで、組織がセグメンテーションに採用するアプローチは追いついていませんでした。従来のセグメンテーションアプローチを使用して新しいセキュリティ課題に対処しようとすると、期待とセキュリティ要件の両方を満たすには不十分であることにすぐに気付くでしょう。

しかし、それでもベンダーや一部の組織は、いわゆる「正方形のネットワーク」という枠を丸いセキュリティホールに組み込もうとする動きを止めていません。ネタバレ注意:これは収まらないだけです。

本当に必要なのは セキュリティセグメンテーション

ill_blog_hero_img_network_vs_security_seg_v3.jpg


この投稿では、データセンターとその方法に焦点を当てて、ネットワークとセキュリティのセグメンテーションの違いを探ります ネットワークセグメンテーション セキュリティ要件への対応に誤った方向へ誘導されています。

主要用途のグランドコントロール

私が初めてネットワーキングに「夢中」になったとき、セグメントはRG-58同軸ケーブルの一部でした。私は自分と付き合っているの?はい。

キャリアを進めるにつれ、「新興」のパイオニアであるXylanで働きました VLAN テクノロジー。当時の課題は、ネットワークパフォーマンスを維持し、ネットワークを拡張できるようにするために、あらゆるメディア(トークンリング、FDDI、ATM、イーサネット)を任意のメディアにインターワーキングさせ、VLAN を拡張することでした。これは主にセキュリティのためではなく、ブロードキャストドメインを減らすためです。レイヤー3のスイッチは存在せず、ネットワークで最も高価な要素はソフトウェアベースのルーターでした。¬†基本的に、セグメントは論理的な(物理的ではない)ブロードキャストドメインへと進化し、VLANがセキュリティと混ざり合うまではほとんどそのままでした。

今日、組織が「検知」技術に多額の費用を費やしているにもかかわらず、ほとんどの組織は何らかの形の侵害は避けられないと考えています。

セキュリティ侵害は避けられないため、唯一現実的な保護策は、重要なアプリケーションの周囲に壁を築くこと、つまり「地形を制御」して、攻撃者がデータセンターやクラウド内を自由に移動できないようにすることです。

地形を制御するには、新しい形のセグメンテーションが必要です。

これは私が呼んでいるものです セキュリティセグメンテーションこれにより、組織はトラフィックをフィルタリングして、悪意のある攻撃者がデータセンター内を横方向(東/西)に移動できないようにする必要があります。これは、新しい IP、新しい VLAN、新しい機器を必要とするネットワーク全体の「レトロセグメンテーション」よりもはるかに優れています。

できるか、すべきか?それは大したことだ。

セキュリティセグメンテーションは、レイヤー 2 およびレイヤー 3 のネットワークに関係するため、パケット転送に関するものではありません。セキュリティセグメンテーションとは パケットフィルタリング — ネットワーク上の 2 つのポイント間で許可すべきことと許可すべきでないことを強制します。

これが違いだといつも言っています できます (パケット転送) と すべきです (パケットフィルタリング)。レイヤー 2 とレイヤー 3 のネットワークで行われてきたすべてのプロトコルと作業は、信頼性の高いパケット配信に関するものでした。

  • レイヤ 2/3 ネットワーク できます 2 つの場所間でパケットを転送するパスを見つけます (存在する場合)。
  • レイヤー 2/3 ネットワークではそのかどうかがわからない すべきです パケットを転送します。あんなふうに動くようには作られていない。

実際、レイヤー2/3のデバイスに何を調べてもらうのか すべきです 起こることは尋ねるようなものです ロン・バーガンディー、テレプロンプターですべての単語を読んではいけない

一方、セキュリティセグメンテーションは、何が起こるべきかを理解し、パケットフィルターを適用して、侵害の拡大など、起こらないはずのことが起こらないようにします。

実際、信頼できるパケット配信(当社が30年間取り組んできたもの)とセキュリティのセグメンテーションは、従兄弟のようなものです。これらは関係はありますが、結婚するべきではありません。

KISS:シンプルでバカなものにしておきたい(そして毎日フィルタリングしたい)

セキュリティセグメンテーションの必要性が浮き彫りになった理由の 1 つは、私が「ファイアウォール・オン・ア・スティック」と呼ばれる問題の出現です。10 年前には、データセンターのファイアウォール (またはファイアウォール) に大量のトラフィックが流れることはありませんでした。トラフィックのオーバーヘッド、構成の複雑さ、規模の問題が発生するためです。しかし、時が経つにつれ、こうした「ファイアウォール・オン・ア・スティック」設計が増えてきました。

ヒント:テクノロジーが使われているのを目にしたときはいつでも、うんざりしてください。それは邪魔になるだろう。

企業では、 ソフトウェア定義ネットワーク (SDN) ベンダーは、分散されたファイアウォールのセットにパケットを転送するネットワークのオーバーレイを作成することで、ファイアウォールの複雑さを一気に攻撃しようとしています。SDN はアンダーレイ、オーバーレイ、トンネリングを利用して機能します。これにより、まったく新しいレベルの複雑さが生じてしまい、別の記事で取り上げることができます。しかし、複雑性をより複雑に攻撃することは、成功する提案ではないと言っておきましょう。

複雑さは多くの問題の敵であり、セキュリティもその1つです。

SDN とは異なり、セキュリティセグメンテーション (別名パケットフィルタリング) は KISS のネットワーキングの原則「Keep It Simple Stupid」に基づいています。何かを複雑にしすぎると、エラーの可能性が高まるだけでなく、人々が手抜きをする方法を探す可能性も高まります。これは、セキュリティ戦略の一部として避けたいことです。一方、シンプルさは信頼性をもたらす可能性が高く、セキュリティでは信頼性が極めて重要です。

関連トピック

アイテムが見つかりません。

関連記事

Illumioがクラウド・セキュリティ・アライアンスでクラウド・セキュリティのベスト・プラクティスの推進にどのように貢献しているか
ゼロトラストセグメンテーション

Illumioがクラウド・セキュリティ・アライアンスでクラウド・セキュリティのベスト・プラクティスの推進にどのように貢献しているか

イルミオはクラウドセキュリティアライアンス(CSA)に参加し、安全なクラウドコンピューティングを確保するための標準、認証、およびクラウドセキュリティのベストプラクティスの定義を支援します。

もっと読む
銀行セクターがイルミオゼロトラストセグメンテーションを使用すべき8つの理由
ゼロトラストセグメンテーション

銀行セクターがイルミオゼロトラストセグメンテーションを使用すべき8つの理由

過去5年間にサイバー攻撃の最大の標的となった銀行・金融サービス業界が、イルミオ・ゼロトラスト・セグメンテーションを必要とする理由をお読みください。

もっと読む
マイクロセグメンテーションなくしてゼロトラストはあり得ない理由
ゼロトラストセグメンテーション

マイクロセグメンテーションなくしてゼロトラストはあり得ない理由

ゼロトラストプロジェクトにとってマイクロセグメンテーションが不可欠な理由について、ゼロトラストの創始者であるジョン・キンダーヴォーグ氏から洞察を得てください。

もっと読む
高等教育機関のCSO、ジョージ・フィニーがゼロトラストから学ぶ 5 つのポイント
ゼロトラストセグメンテーション

高等教育機関のCSO、ジョージ・フィニーがゼロトラストから学ぶ 5 つのポイント

高等教育機関のCSOのサイバーセキュリティの課題は独特です。SMU の CSO である George Finney が、大学環境におけるゼロトラストセグメンテーションの導入について語ります。

もっと読む

Assume Breach.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく