マイクロセグメンテーションを始めるときに期待すること

ガートナーによると、「2026年までに、ゼロトラストアーキテクチャに取り組んでいる企業の60%が複数の導入形態のマイクロセグメンテーションを使用するようになり、これは2023年の5%未満から増加しています。」  

マイクロセグメンテーションはゼロトラストの基礎です。ゼロトラストなしではゼロトラストを実現できません。  

実際、ゼロトラストの作成者であるジョン・キンダーヴァッグは、ゼロトラストとセグメンテーションの関係について、このトピックについて書かれた2番目のレポート「 ネットワークのDNAにセキュリティを組み込む:ゼロトラストネットワークアーキテクチャ」で取り上げています。報告書の中で同氏は、「将来のすべてのネットワークはデフォルトでセグメント化する必要があるため、ネットワークをセグメント化する新しい方法を作成する必要がある」と述べている。  

ゼロ トラスト アーキテクチャを構築する場合、マイクロセグメンテーションは計画の重要な部分になります。マイクロセグメンテーションを始める際に実行すべき 10 のことを紹介します。

1. あらゆる環境にわたるすべてのワークロードトラフィックを可視化する

マイクロセグメンテーションを構築するための最初の、そして最も重要なステップの 1 つは、ネットワーク内のすべてのセグメントで何が起こっているかを把握できるようにすることです。クラウド、エンドポイント、データセンター環境全体のすべてのワークロード間のトラフィックをどのように確認しますか?過度に複雑なワークフローなしで、あらゆる規模でこのレベルの可視性を実現できることが重要です。

ネットワーク全体のさまざまなセグメントに対して、異なる可視性ツールを使用することができます。ただし、複数のツールを使用すると、断片化されたビューが作成されます。これにより、あらゆる場所のすべてのセグメントにわたる行動を理解することが困難になる可能性があります。

代わりに、すべてのセグメントにわたるトラフィックを検出し、それを 1 つのビューに表示できるソリューションを見つけてください。たとえば、Illumio を使用すると、どのポートを介して誰が誰と通信しているかを確認して、すべての依存関係を発見できます。       

この情報を使用して、ネットワーク内の「開いたドア」を見つけ、必要なトラフィックを決定し、デフォルトで他のすべてのトラフィックを拒否できます。  

2. アプリの通信方法を理解する

ほとんどの人はゼロトラストが良いアイデアであることに同意しますが、何を保護するかを決定する前に、どのようなトラフィックが必要かをどのように理解できるでしょうか?ネットワーク上でどのアプリが実行されているか、どのポートを使用する必要があるかを確認するのは必ずしも簡単ではありません。

Illumioのようなソリューションを使用すると、すべてのワークロードでどのアプリケーションが実行され、どのポートを使用しているかを検出できます。これにより、ネットワーク内のすべてのアプリケーションとその依存関係の包括的なインベントリが提供されるため、セグメンテーションポリシーを適用する方法を決定できます。  

3. 最も重要でリスクの高いリソースをロックダウンする

ネットワークへのすべてのエントリ ポイントが直接制御されているわけではありません。キャンパスネットワークのデータセンターには強力な制御が施されている場合がありますが、クラウド内のリソースやパートナーのサードパーティアクセスは安全性が低いことがよくあります。  

多くの脅威は、人為的ミスによって開いたままになっていることが多いため、これらの安全性の低い環境から始まります。これらのアクセスポイントはいずれも、攻撃者の第一歩となり、脅威がネットワークを経由して価値の高い資産に移動する可能性があります。  

そこで、Illumioのようなマイクロセグメンテーションソリューションが、ネットワークのこれらの脆弱な部分を保護するのに役立ちます。侵害がどこで発生したとしても、マイクロセグメンテーションは、セグメント化した重要なリソースへの到達をブロックします。違反はそのセグメントの反対側に隔離されるため、それ以上の損害を引き起こすことはありません。‍

4. ネットワークアドレスではなく、ビジネス機能でワークロードにラベルを付ける

今日の最新のネットワークでは、ワークロードはハイブリッドのマルチクラウドアーキテクチャ全体にデプロイされます。これにより、ネットワークアドレスが一時的になります。ワークロードのネットワークアドレスは、基盤となるホスティング環境に応じて動的に変化する可能性があります。  

そのため、従来の IP アドレスではなく、人間が判読できるラベルを使用してワークロードにラベルを付けることをお勧めします。Illumio のような侵害封じ込めソリューションを使用すると、役割、アプリケーション、環境、場所、オペレーティング システム、事業単位など、ビジネス機能または所有権別にワークロードを識別できるため、IP アドレスを使用するよりも多くの情報が得られます。

Illumio のラベリング ツールでは次のことが可能です。

• ワークロードラベルを動的に変更する
• 構成管理データベース (CMDB) などの既存のラベル構造からラベルをインポートする
• 管理対象環境全体で検出されたアプリケーションとトラフィックに基づいてラベルを推奨します

人間が判読できるラベルを使用すると、ネットワークアドレスから完全に切り離されたワークロード間のセグメントがどのように適用されるかを確認するためのメタデータ駆動型ソリューションが得られます。‍

5. エージェントとエージェントレスのアプローチを決定する

マイクロセグメンテーションを構築するときは、エージェントまたはエージェントレスのアプローチが最適なタイミングを理解することが重要です。Illumioのような一部のソリューションでは、エージェントを使用するか使用しないかを選択できるため、あらゆる環境のすべてのワークロードにわたる可視性とセグメンテーションを取得できます。  

エージェントアプローチ

Illumio仮想適用ノード(VEN)エージェントは、ワークロード上およびワークロード間のアプリケーションの使用に関するテレメトリを収集します。これにより、ワークロードでセグメントへのアクセスを直接制御できます。

エージェントレスアプローチ

イルミオは、エージェントなしでセグメントの使用を検出して強制することもできます。  

これは、製造業界やヘルスケア業界のIoTデバイスなど、エージェントをサポートできない環境では非常に重要です。また、コンプライアンス要件のためにエージェントを使用できない環境でも重要です。  

• データ センター: Illumio は、エージェントをサポートできないデバイスの前に展開されたネットワーク スイッチを保護できます。Illumio はスイッチからネットワーク テレメトリを収集し、ラベルベースのポリシーをスイッチが使用できるアクセス リストに変換します。‍
• クラウドの場合: イルミオは、エージェントなしでアプリケーションとネットワークの動作を収集できます。ラベルベースのポリシーを変換し、クラウドに既に存在する既存のネットワーク適用ポイントに適用します。

6. 拒否リストモデルから始めて、許可リストモデルに移行します

マイクロセグメンテーションを構築する際にチームが直面する一般的な課題は、拒否したいポートはわかっているが、アプリケーションに許可するために必要なすべてのポートを完全には理解していないことです。

ランサムウェアは通常、リモート デスクトップ プロトコル (RDP) やサーバー メッセージ ブロック (SMB) などのポートを使用して、ワークロード間のセグメント間を移動します。しかし、これらのポートはワークロード間で開く必要がほとんどないことがわかっています。

そのため、ブラックリスト モデルから始めるのがベスト プラクティスです。開いてはいけないポートのみをブロックし、その他はすべて許可します。その後、アプリケーションに必要なポートを完全に理解したら、許可リスト モデルに切り替えることができます。

必要なポートのみを開いたままにして、他のポートはすべてブロックします。このアプローチにより、ランサムウェアによるマイクロセグメンテーションの構築を今すぐ開始し、準備が整ったらポリシーを強化することができます。‍

7. デプロイ前のモデル化ポリシー

サイバーセキュリティは長い間、展開して祈るアプローチに依存してきました。セキュリティチームはポリシーモデルを作成し、正しく見えるまで変更します。そして、それがデプロイされたら、アプリケーションの依存関係が壊れて電話が鳴らないように祈ります。

そのため、ポリシーが完全にデプロイされる前にテストすることをお勧めします。Illumioを使用すると、ポリシーを作成してから監視モードにすることができます。これにより、ポリシーがデプロイされた後に発生する可能性のある問題が強調表示され、操作が中断される前に修正できます。  

モデリングにより、アプリケーションの依存関係を誤って壊すリスクなしに、ポリシーを安全にデプロイできます。  

8. ハイブリッドマルチクラウド全体で一貫したセグメンテーションを拡張

データセンター内でのみセグメンテーションを構築できるソリューションを使用する場合、クラウドなどの他の環境で一貫したセキュリティを実現できない可能性が高くなります。

セグメンテーションは単一の環境に依存してはなりません。その結果、セグメンテーションに対するサイロ化されたアプローチが生まれ、脆弱性が残るだけとなり、侵害を阻止して封じ込めることがより困難になります。

代わりに、マイクロセグメンテーションは、環境間で移行されるワークロードを追跡する必要があります。これにより、ワークロードが異なる環境でホストされている場合でも、セグメンテーションが壊れることがなくなります。

Illumio を使用すると、クラウド、エンドポイント、データセンター環境全体で一貫したセグメンテーション ポリシーを構築できます。これにより、アーキテクチャ全体で同じように機能する 1 つの一貫したマイクロセグメンテーション モデルを使用して、ワークロードを環境間で移行できるようになります。  

9. 人間の意思決定に頼らずにセキュリティの変更を自動化する

マルウェアは、人間がキーボードで入力できるよりも速く拡散します。侵害が広がるのと同じくらい早くポリシーの変更を自動化できるマイクロセグメンテーションソリューションを用意することが重要です。

Illumio API の豊富なライブラリを使用して、Illumio を SOAR ソリューションに統合できます。SOAR ツールは、マルウェアがネットワークを介して拡散するために使用している開いているポートを検出します。次に、ツールは Illumio に API 呼び出しを送信し、危険にさらされているポートを直ちにシャットダウンします。  

これらはすべて、人間の介入に頼ることなく行われます。‍

10. セキュリティがコンプライアンスに準拠していることを証明する

アプリケーションやセグメントの保護には多くの可動部品が関与する可能性があるため、リスクの定量化は困難な場合があります。監査中、既存のリスクと、セキュリティポリシーの適用後にリスクがどのように低下するかを明確に把握することは必ずしも容易ではありません。比較の前後にこれを示すツールを使用することが重要です。

イルミオの脆弱性マップを使用すると、イルミオと外部スキャナーによって発見されたリスクを組み合わせたスコアでリスクを定量化できます。その後、ツールはリスクを軽減する修正されたポリシーを推奨します。  

これにより、監査人は環境のエクスポージャーリスクについて明確な前後のスコアを取得できるため、チームのコンプライアンスの推測が排除されます。  

Illumio についてさらに詳しく知りたいですか? 今すぐお問い合わせください 無料相談とデモのために。