ついに、Windows サーバーを保護する新しい方法が

Windowsオペレーティングシステムは世界で最もインストール数が多いものの1つであるため、ハッカーにとって魅力的な標的になることは理解できます。従来のウイルス対策やマルウェア対策以外に、これらのコンピューターとそれらが使用するネットワークを保護するためにできることは他にありますか？

ネットワークにセキュリティハードウェアを追加すると、攻撃を抑制、警告、または完全に阻止するのに役立ちます。VLAN とファイアウォールベース ネットワークセグメンテーション は、これまでで最も効果的なネットワークセキュリティ戦略の一部ですが、メンテナンスや迅速な拡張ができないなど、いくつかの大きな欠点があります。

経験豊富なセキュリティ専門家でさえ、意図しない影響を心配してファイアウォールルールを削除しないことを選択しています。

ネットワークを適切にセグメント化するために必要な VLAN の数とファイアウォールルールに遅れずについていくことは、セキュリティチームのリソースを圧迫する可能性があります。このアプローチは、ポリシーを変更と同期させるために人間の介入が必要なため、時間が経つと崩れてしまうこともあります。経験豊富なセキュリティ専門家でさえ、意図しない影響を心配してファイアウォールルールを削除しないことを選択しています。

ファイアウォールのルールが増えるにつれて、管理がはるかに難しくなり、最終的には途方もなく多い数に達します。個人的には、このような大企業を見たことがあります。 数百万 ファイアウォールのルールの中には10年以上前のものもあります

ポートベースのルールに関する問題

従来のファイアウォールで保護しようとすると、Windows オペレーティングシステム特有の問題が発生します。これらのファイアウォールはポートベースのルールを使用するため、特定の IP アドレスのポートは異なる IP アドレスの別のポートと通信できます。

この戦略は、通常、単一のポートまたはポート範囲で単一のプロセスを実行する UNIX と Linux に適しています。しかし Microsoft オペレーティングシステムでは、1 つのポートを使用するプロセスグループや、動的に割り当てられるポートのグループを使用するのが一般的です。そのため、どのポートを使いたいのか前もってわからない場合があります。では、そのポートを使用するプロセスや使用するポートがわからない場合に、そのポートを許可すべきかどうかはどうやって判断するのでしょうか?

企業は問題の兆候に対処していますが、中核となる問題は対処していません。今日のセキュリティは変化の速度に追いついていないからです。

ダイナミックポートは、一般的に合意されている「ハイポート」のプールからランダムに割り当てられます。ご想像のとおり、どのポートが使用されるかがわからないと、セグメンテーションファイアウォールでさまざまなポート範囲が開かれ、Windows マシン同士が通信できるようになります。逆に、これらのポート範囲を制限することはできますが、その場合はレジストリキーを変更し、すべての Windows ホストを再起動する必要があります。

そのため、管理しきれないほどの量のファイアウォールルールを管理しようとしたり、ホストのネイティブポート範囲を制限したりするという理想的な立場にはなりません。

変化率への対応

企業は、ファイアウォールルールを管理するソフトウェアを作成し、ファイアウォールにアプリケーション認識機能を追加し、一般的にフラストレーションのかかる状況のいずれかの側面を支援することで支援しようとしています。しかし、どの企業も問題の兆候に対処するのであって、中心的な問題には対処していません。今日のセキュリティは変化の速度に追いついていないのです。

クラウドへの移行においても、きめ細かなアプリケーションセグメンテーションを実現できるようになりました。

と入力してください イルミオ適応型セキュリティプラットフォーム (ASP)は、動的で適応性のあるセキュリティモデルを使用して Windows (および Linux) ワークロードを保護するためのまったく新しいアプローチです。Illumio ASP は、オペレーティングシステム、Windows フィルタリングプラットフォーム、および iptables が提供するネイティブのセキュリティ強制サービスを利用しています。さらに、ルールを記述するために IP アドレスやポートが不要になる直感的なラベル付けシステムが追加されています。

したがって、新規または変更されたホストがチェックインすると、Illumio ASP は割り当てられたラベルを読み取り、セキュリティプロファイルを自動的に設定します。ホストが IP アドレスを移動する場合も同様です。変更が確認され、すべての適切なポリシーが数秒で再計算されます。

ラベルを使用して環境を定義すると、アプリケーションのセキュリティをグループ化できます。アプリケーションのコンポーネントをスピンアップまたはスピンダウンすると、セキュリティが確保され、ファイアウォールのルールを変更したり、VLAN を管理したりする必要はありません。

これは何を意味するのでしょうか？クラウドへの移行においても、きめ細かなアプリケーションセグメンテーションを実現できるようになりました。

ポリシーコンピュートエンジン（PCE）は、運用の「頭脳」です。

Windows 環境でのプロセスベースの強制機能の追加により、Illumio はついにダイナミックハイポートへの対処方法という問題を取り除くことになるでしょう。承認されたプロセスを定義すれば、IllumioはIllumioが希望するポートで安全に通信できるようにします。

何がこれを起こすのか?ポリシーコンピュートエンジン (PCE) は運用の「頭脳」です。という軽量のエージェントを使う バーチャルエンフォースメントノード (VEN) の場合、PCE は変更が発生したことを即座に認識し、影響を受けたシステムを数秒以内に修正します。この動的なポリシー・エンジンにより、自然言語によるセキュリティ・ポリシーを迅速に作成できるだけでなく、イルミネーションと呼ばれるアプリケーション構造のインタラクティブなライブ・マップも表示できます。複雑なセキュリティ体制を誰にでも伝えるのに非常に効果的なツールです。

Windows サーバのセキュリティ保護が非常に興味深いものになりました。