ブログ
/
ゼロトラストセグメンテーション

構造化されたポリシー制御による適切なセグメンテーションの実現

ドロシー・ムーア
競争情報部長
June 20, 2022
23 最小読取り

最終的には、 ゼロトラストセグメンテーション セキュリティルールの作成と実施に関するものです。

ゼロトラストセグメンテーションは、慎重に定義されたアクセスポリシーを確立することで、侵害がITシステムや環境全体に広がるのを防ぎます。

どの組織でも、少なくとも1つのエンドポイントデバイスが攻撃者によって侵害されることは避けられません。しかし、その組織がゼロトラストセグメンテーションのセキュリティを導入していれば、 違反は限定できる そのエンドポイントがラップトップ、デスクトップ、サーバー、または仮想マシンであるかどうかに関係なく、その初期エンドポイントに送信されます。

セグメンテーションポリシーにより、マルウェアが他のミッションクリティカルなサーバーやデータセンターに自身をコピーしたり、貴重なデータを求めてネットワークを探索したりするのに必要なネットワークポートやプロトコルにアクセスするのを防ぐことができます。セグメンテーションは、まるでガラスの下に飛ぶハエのように、攻撃をその場に閉じ込めます。

ゼロトラストセグメンテーション:2 つのアプローチ

A ルールエンジン の構文を定義するソフトウェアです セグメンテーションルール。また、これらのルールは一度定義されると適用されます。一般に、セグメンテーションソフトウェアのベンダーは、顧客向けのルールエンジンを設計する際に 2 つの異なるアプローチを取ります。

最初のアプローチは、顧客に最大限の柔軟性を提供し、組織全体の利害関係者が好きなカテゴリやラベルでルールを定義できるようにすることです。

もう1つのアプローチは、次のような設計哲学を採用することです。 構造化されたポリシーコントロール。この方法では、セグメンテーションルールに使用できるラベルの数が制限されます。また、ルール作成を IT セキュリティ専門家から成る一元化されたチームの管理下に置くことにもなります。このアプローチを採用しているベンダーは、最終的には、制限のない複雑さよりも、単純さの方が攻撃を抑えるのに効果的であると考えています。

次に、これらのアプローチを検討し、実際の導入における利点と課題を比較します。

セグメンテーションへの最大限の柔軟性アプローチ

どの組織でも、 セキュリティ要件 部門ごと、またユースケースごとに異なります。アプリケーションが異なれば、必要なルールも異なります。同じアプリケーションでも、実行しているデータセンター、実行しているソフトウェアのバージョン、依存しているリソースなどによってルールが異なる場合があります。

多くのセグメンテーションベンダーは、さまざまなユーザーやアプリケーション所有者がそれぞれの専門分野や責任分野について独自のルールを設定できるようにすることで、この柔軟性のニーズに応えています。

通常、これらのベンダーは次の 3 種類のルールをサポートしています。

  • 特定の経路に沿った交通の移動を防止するための「ブロック」ルール
  • 特定の種類の交通が通路を通過することを許可するための「許可」規則
  • 特定の状況で他のルールを優先してトラフィックをブロックまたは許可する「オーバーライド」ルール

大まかに言うと、柔軟なルール作成に対するこの分散型アプローチは有望に思えます。結局のところ、IT資産の所有者は、特定のIT資産または関連資産のグループに最適なセグメンテーションルールを設定するために必要な専門知識を持っている必要があります。また、ブロック、許可、オーバーライドという3種類のルールを用意することで、ITセキュリティチームとビジネス関係者は、IT資産を保護するための適切なセキュリティポリシーを正確に定義できるようになるようです。

残念ながら、ほとんどの組織では、特に 数万から数十万のワークロードを抱える大規模組織 クラウド、オンプレミス、エンドポイント環境に分散しています。このアプローチからすぐに生まれるのは、「西部開拓時代」です。

確かに、組織全体の利害関係者は、貴重なIT資産を保護するためのルールを定義しています。しかし、ルールが多すぎて効果的に管理できないため、最終的には混乱を招きます。

ルール作成は分散されていて調整されていないため、ルールの集まりが競合したり省略されたりして、攻撃者がすり抜ける機会が生まれます。一元的で一貫したガバナンスは事実上不可能です。

これらの「ワイルドウエスト」状態の原因は次のとおりです。

  • 責任範囲は重複することがよくあります。
    たとえば、ある人がビジネスアプリケーションを担当し、別の人がデータベースを担当している場合があります。アプリケーションはデータベースに依存している場合でも、アプリケーションとデータベース用に定義されているアクセスルールは独立して開発されます。その結果、特に他のアプリケーションもこのデータベースを使用している場合は、この 2 つのルールセットに一貫性がなくなる可能性があります。

    別の例として、ある人が会社の顧客関係管理(CRM)アプリケーションを担当しています。別の担当者は、CRM アプリケーションがたまたま実行されている会社のニューヨークデータセンターの責任者です。この 2 人がセキュリティ哲学について意見が一致したとしても、セグメンテーションルールを個別に実装して問題なく連携できるとは考えにくいです。IP アドレス、ポート、およびプロトコルが複雑すぎるため、数十から数百のルールを独立して効果的に作成することはできません。
  • セグメンテーション制御は集中管理ではなく分散型であるため、テストはほとんど行われません。
    制御は非常に多くの利害関係者に分散されているため、IT組織がすべてのセグメンテーションルールを有効にする前にテストすることは困難です。テストを行わないと、エラーや見落としが発生するリスクが高まります。ビジネスクリティカルなトラフィックがうっかりブロックされてしまうことさえあります。
  • サポートするラベル数が無制限または多いと、混乱を招きます。
    この方法で制御を分散するセグメンテーション製品では、通常、顧客が独自の定義を行うことができます セグメンテーション用の独自のカテゴリまたはラベル

    この柔軟性を生かして、顧客はセグメンテーションポリシーのラベルをすぐに20、30、またはそれ以上使用できるようになります。たとえば、ある顧客が、関連するすべての IT 資産にラベルを付けるとします。 PCI 「PCIコンプライアンス」ラベルへの準拠。また、特定の場所にあるすべての資産に場所名のラベルを付けたり、事業単位、アプリケーション、環境 (テストと本番環境など)、追加の政府規制 (GDPR など) などのラベルを貼ったりすることもできます。

    理論的には、このラベルの急増により精度と可視性が向上します。実際には、セキュリティモデルが複雑すぎて効果的に管理できなくなってしまいます。

    チームは、ルール順序付けによってこの混乱を減らすことができます。たとえば、データセンターのルールを最初に適用し、次にアプリケーションのルールを適用し、最後に規制やビジネスユニットに関するルールを適用するようにルールセットを構築できます。しかし実際には、このような構造化は迷路のようなポリシーにつながり、特定の条件でどのルールが適用されているかを判断するのが非常に困難になります。
  • 従業員が転職すると、ルールが分散して管理が難しくなります。
    分散ルール作成のもう1つの問題は、組織のITチームやセキュリティチームがどのようなルールが作成されたのか、またその理由を把握するのが難しくなることです。

    アプリケーション所有者などのルール作成者は、セグメンテーションルールに込められた考え方を文書化していない可能性があります。その従業員が退職すると、セキュリティと運用に関する重要な知識が失われます。

この柔軟性の高いアプローチの最大の問題は?これにより、攻撃者が悪用できるギャップが残ります。組織がネットワークの細分化に多大な時間、費用、労力を費やしてきたにもかかわらず、ランサムウェアは依然として侵入します。

セグメンテーションへの構造化されたポリシー管理アプローチ

セグメンテーションルールを作成するための「最大限の柔軟性」のアプローチとは対照的に、セグメンテーションベンダーは ラベル数 それは作ることができます。

許可されるラベルの数は、役割、用途、環境、場所だけを網羅して、4つと少ない場合があります。あるいは、その数は少し多いものの、前述の最大限の柔軟性アプローチで許容される数にはほど遠い場合もあります。

ラベルの制限は実際にはうまく機能することがわかりました。実際には、 最も成功した導入実績 のゼロトラストセグメンテーションはすべてこのアプローチを採用しており、これらのポリシーは非常に複雑なハイブリッドIT環境を保護しているにもかかわらず、ラベルは10個以下に制限されています。

構造化されたポリシー管理アプローチが非常に効果的な理由は次のとおりです。

  • ラベルが限られていると、前もって一元管理と調整が必要になります。
    セグメンテーションポリシー管理をうまく機能させるには、組織にネットワークトラフィックを分析し、実施すべきセグメンテーションポリシーを共同で策定する中央チームが必要です。

    アプリケーション所有者はデータベース所有者と調整し、データベース所有者はファイアウォール管理者と調整します。承認されたトラフィックパターンについて共通の分析と理解に基づいて作業しているため、必要なセキュリティを提供する一貫性のある相互に一貫性のあるセグメンテーションルールを定義できます。
  • これは、構造化されたポリシー制御が提供できる包括的なネットワーク可視性に基づいています。
    さまざまなアプリケーション、データベース、その他のリソースにわたるルール作成を調整するには、ITチームとセキュリティチームが必要です 包括的な可視性 組織のネットワークトラフィックに流入しますそうすることで、自社のアプリケーションやサービスが利用している正当なトラフィックを特定できます。

    重要なトラフィックが特定されると、他のトラフィックをすべてブロックするポリシーを作成しやすくなります。また、どのトラフィックを許可すべきかについて、さまざまな利害関係者が合意しやすくなります。利害関係者がネットワークの使用状況について共通の理解のもとに作業できれば、コラボレーションは簡単になります。
  • ゼロトラストセキュリティでは、デフォルトですべてのトラフィックを拒否することで、さらにシンプルになります。
    利害関係者にトラフィックをブロックする、トラフィックを許可する、または前述のセグメンテーションルールを無効にするオプションを与える代わりに、構造化されたポリシーアプローチは、どのシステムまたは環境でもデフォルトですべてのトラフィックをブロックすることから始めることができます。その後、ITチームとセキュリティチームは、組織全体のすべての正当なトラフィックを示す視覚化マップに基づいて、アプリケーション、データベース、またはサービスが必要とするトラフィックのみを許可するポリシーを作成できます。

    デフォルトでは何も信頼しないため、構造化ポリシー管理ベンダーは、以下が推奨する厳密なゼロトラストセキュリティを提供します。 米国国立標準技術研究所 (NIST)、しっくう米国家 (中国というのりょう)、、その他は、第四局。
  • 発掘1元前、イットプアとシュコトコモフカフェフェフェフェフェクシクタイク。
    金沢の輪型付くう 1 つの図面、苦楽の種が 1 つしかない、「はたらき」、「はたらき」、「また、サクラインザザサモナサビササイ、。そして、それはスポーツとクソナン、プンプンジュウツクサク。

: 頃のせい

明石にさん、れら 2 つのらっくんのだいじょうせん。

取っ手さん、取っ手がついたら大会。おかしくしくみみっくもん、しっせいにしま。よっしゃ、習いじりめめめん、善意大成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成成

うーん、TGITIT定定定定型は、新星定定定型だいじゃ、ITぱんとFASINSEWAっくん、PTGPERINSEW杯杯杯杯杯杯杯杯杯杯杯杯杯杯。

0トラストカーカーイイルミオティックティックティックティックで:

関連トピック

アイテムが見つかりません。

関連記事

州および地方自治体がイルミオのゼロトラストセグメンテーションを選ぶべき10の理由
ゼロトラストセグメンテーション

州および地方自治体がイルミオのゼロトラストセグメンテーションを選ぶべき10の理由

Learn how state and local governments can leverage microsegmentation to secure their critical data, assets, and systems.

もっと読む
ファイアウォール:ネットワークセキュリティの簡単な歴史
ゼロトラストセグメンテーション

ファイアウォール:ネットワークセキュリティの簡単な歴史

私たちが置かれているセキュリティ環境を本当に理解するには、これまで起こっていたことを踏まえて考える必要があります。ネットワークセキュリティの重要な部分は、ネットワークの始まり以来、ファイアウォールでした。そこで、ファイアウォールの簡単な歴史をご紹介します。

もっと読む
サイバーチェンジ、ゼロトラストの定義、イルミオエンドポイント
ゼロトラストセグメンテーション

サイバーチェンジ、ゼロトラストの定義、イルミオエンドポイント

GoogleはMandiantの買収によりサイバーレジリエンスを優先しています。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく