マイクロセグメンテーションを始めるときに期待すること

によると ガートナー、「2026年までに、ゼロトラストアーキテクチャに向けて取り組んでいる企業の 60% が、複数の導入形態のマイクロセグメンテーションを使用するようになるでしょう。これは、2023年の 5% 未満から増加しています。」

マイクロセグメンテーションはゼロトラストの基本です。これなしではゼロトラストは実現できません。

実際、ゼロトラストの創始者であるジョン・キンダーヴォーグは、ゼロトラストとセグメンテーションの関係について、これまで2度目のレポートで取り上げています。 ネットワークのDNAにセキュリティを組み込む:ゼロトラストネットワークアーキテクチャ。報告書の中で、「将来のネットワークはすべてデフォルトでセグメント化される必要があるため、ネットワークをセグメント化する新しい方法を作成する必要があります」と述べています。

ゼロトラストアーキテクチャを構築する場合、マイクロセグメンテーションは計画の重要な部分となるはずです。マイクロセグメンテーションを始めるときに期待できる 10 のことを次に示します。‍

1。あらゆる環境のすべてのワークロードトラフィックを可視化できます。

マイクロセグメンテーションを構築するための最初の、そして最も重要なステップの1つは、ネットワーク内のすべてのセグメントで何が起こっているかを知ることができることです。クラウド、エンドポイント、データセンター環境のすべてのワークロード間のすべてのトラフィックを把握するにはどうすればよいでしょうか?過度に複雑なワークフローなしに、あらゆる規模でこのレベルの可視性を実現できることが重要です。

ネットワーク全体のセグメントごとに、さまざまな可視化ツールを試してみてください。しかし、複数のツールを使用すると、断片化されたビューになってしまいます。そのため、あらゆるセグメントにわたる行動をあらゆる場所で理解することが難しくなります。

代わりに、すべてのセグメントのトラフィックを検出して 1 つのビューに表示できるソリューションを見つけてください。たとえば、Illumio を使用すると、どのポートで誰が誰と話しているのかを確認できるため、すべての依存関係を発見できます。

この情報により、ネットワーク内の「オープンドア」を見つけ、どのトラフィックが必要かを判断し、他のすべてのトラフィックをデフォルトで拒否できます。

‍2。アプリがどのように通信しているかを理解する

ゼロトラストは良いアイデアだという意見に賛同する人がほとんどですが、保護対象を決定する前に、どのトラフィックが必要かを理解するにはどうすればよいでしょうか。ネットワーク上でどのアプリが実行されているのか、どのポートを使用する必要があるのかを簡単に把握できるとは限りません。

Illumioのようなソリューションでは、すべてのワークロードでどのアプリケーションが実行されているか、どのポートが使用されているかを知ることができます。これにより、ネットワーク内のすべてのアプリケーションとその依存関係の包括的なインベントリが得られるため、セグメンテーションポリシーをどのように適用するかを決定できます。

‍3。最も重要で最もリスクの高いリソースをロックダウンします

ネットワークへのすべてのエントリポイントが直接制御できるわけではありません。キャンパスネットワークのデータセンターは厳重に管理されているかもしれませんが、クラウド内のリソースやパートナーのサードパーティアクセスは安全性が低いことがよくあります。

多くの脅威は、人為的ミスのためにオープンなままになっていることが多いため、安全性の低い環境から発生しています。これらのアクセスポイントはいずれも、攻撃者が侵入する最初の一歩となり、脅威がネットワークを経由して価値の高い資産に侵入する可能性があります。

そこで、Illumioのようなマイクロセグメンテーションソリューションが、ネットワークのこれらの脆弱な部分を保護するのに役立ちます。どこで侵害が発生しても、マイクロセグメンテーションはセグメント化した重要なリソースへの侵入を阻止します。侵害はそのセグメントの反対側に限定されるため、それ以上の被害は発生しません。 ‍

4。ネットワークアドレスではなく、ビジネス機能別にワークロードにラベルを付ける

今日のモダンネットワークでは、ワークロードはハイブリッドなマルチクラウドアーキテクチャ全体にデプロイされています。そのため、ネットワークアドレスは一時的なものになってしまいます。ワークロードのネットワークアドレスは、基盤となるホスティング環境によって動的に変化する可能性があります。

そのため、従来の IP アドレスではなく、人間が読めるラベルを使用してワークロードにラベルを付ける必要があります。Illumio Zero Trust Segmentationのようなマイクロセグメンテーションソリューションでは、役割、アプリケーション、環境、場所、オペレーティングシステム、ビジネスユニットなど、ビジネス機能やオーナーシップ別にワークロードを識別できます。これは、IPアドレスを使用する場合よりもはるかに有益です。

Illumioのラベリングツールは次のことができます。

• ワークロードラベルを動的に変更

• 構成管理データベース (CMDB) などの既存のラベル構造からラベルをインポートする

• 管理対象環境全体で検出されたアプリケーションとトラフィックに基づいてラベルを推奨

人間が読めるラベルを使用することで、ワークロード間のセグメントがどのように適用され、ネットワークアドレスから完全に切り離されているかを確認するためのメタデータ主導型のソリューションが得られます。 ‍

5。エージェントとエージェントレスのアプローチを決める

マイクロセグメンテーションを構築する際には、エージェントアプローチとエージェントレスアプローチのどちらが最適かを理解することが重要です。Illumio のようないくつかのソリューションでは、エージェントを使用するかどうかを選択できるため、あらゆる環境のすべてのワークロードの可視化とセグメンテーションが可能になります。

エージェントアプローチ

Illumio 仮想強制ノード (VEN) エージェントは、ワークロード上およびワークロード間のアプリケーション使用に関するテレメトリを収集します。これにより、セグメントへのアクセスをワークロードで直接制御できます。

エージェントレスアプローチ

Illumioは、エージェントなしでセグメントを検出して使用を強制することもできます。

これは、製造業界や医療業界のIoTデバイスなど、エージェントをサポートできない環境では非常に重要です。また、コンプライアンス要件のためにエージェントを使用できない環境でも重要です。

• データセンターでは: Illumioは、エージェントをサポートできないデバイスの前に配置されたネットワークスイッチを保護できます。Illumio はスイッチからネットワークテレメトリを収集し、ラベルベースのポリシーをスイッチが使用するアクセスリストに変換します。

• クラウド内: Illumioは、エージェントなしでアプリケーションとネットワークの動作を収集できます。ラベルベースのポリシーを変換して、クラウド内の既存のネットワーク適用ポイントに適用します。

‍6。拒否リストモデルから始めて、次に許可リストモデルに移る

マイクロセグメンテーションを構築する際にチームが直面する一般的な課題は、拒否したいポートはわかっているが、アプリケーションを許可するために必要なすべてのポートを完全には理解していないことです。

ランサムウェアは通常、リモートデスクトッププロトコル (RDP) やサーバーメッセージブロック (SMB) などのポートを使用して、ワークロード間のセグメント間を移動します。しかし、ワークロードの合間にこれらのポートを開く必要はほとんどないことはわかっています。

そのため、拒否リストモデルから始めるのがベストプラクティスです。開いてはいけないことがわかっているポートのみをブロックし、それ以外のポートはすべて許可します。そして、アプリケーションに必要なポートを十分に理解したら、許可リストモデルに切り替えることができます。必要なポートのみを開いたまま、他のポートはすべてブロックします。
このアプローチにより、ランサムウェアによるマイクロセグメンテーションの構築を今すぐ開始し、準備ができたらポリシーを強化することができます。 ‍

7。導入前にポリシーをモデル化する

サイバーセキュリティは長い間、導入して実行するというアプローチに頼ってきました。セキュリティチームはポリシーモデルを作成し、それが正しく見えるまで修正します。そして、デプロイされたら、壊れたアプリケーション依存関係から電話が鳴らないように祈ります。

そのため、完全に展開される前にポリシーをテストするのが最善です。Illumio では、ポリシーを作成し、それを監視モードにすることができます。これにより、ポリシーが導入された後に発生する可能性のある問題が浮き彫りになるため、運用が中断される前に修正できます。

モデリングを行うことで、アプリケーションの依存関係が不注意で壊れてしまうリスクなしに、ポリシーを安全に導入できます。

8。ハイブリッドマルチクラウド全体に一貫したセグメンテーションを拡張

データセンターでのみセグメンテーションを構築できるソリューションを使用する場合、クラウドなどの他の環境でも一貫したセキュリティが得られる可能性は低くなります。セグメンテーションは決して単一の環境に依存するべきではありません。その結果、セグメンテーションのアプローチがサイロ化され、脆弱性が残るだけになり、侵害を阻止して封じ込めることが難しくなります。

代わりに、マイクロセグメンテーションは環境間で移行されるワークロードを追跡する必要があります。これにより、ワークロードがさまざまな環境でホストされても、セグメンテーションが中断されることがなくなります。

Illumioを使用すると、クラウド、エンドポイント、およびデータセンター環境全体で一貫したセグメンテーションポリシーを構築できます。これにより、アーキテクチャ全体で同じように機能する単一の一貫したマイクロセグメンテーションモデルを使用して、ワークロードを環境間で移行できます。

‍9。人間の判断に頼らずにセキュリティの変更を自動化する

マルウェアは、人間がキーボードで入力するよりも速く拡散します。侵害が広がるのと同じ速さでポリシーの変更を自動化できるマイクロセグメンテーションソリューションが不可欠です。

Illumioの豊富なAPIライブラリを使用すると、IllumioをSOARソリューションと統合できます。SOAR ツールは、マルウェアがネットワーク全体に拡散するために利用しているオープンポートを検出します。その後、ツールはIllumioにAPI呼び出しを送信して、危険にさらされているポートを直ちにシャットダウンします。

これらはすべて、人間の介入に頼らずに行われます。‍

10。セキュリティがコンプライアンスに準拠していることを証明

アプリケーションやセグメントのセキュリティ保護には多くの変動要素が含まれる可能性があるため、リスクの定量化は困難な場合があります。監査中、既存のリスクと、セキュリティポリシーが適用された後にリスクがどのように軽減されたかを明確に把握することは必ずしも容易ではありません。比較する前と後でそれを示すツールを使用することが重要です。

Illumioの脆弱性マップでは、Illumioと外部スキャナーによって発見されたリスクを組み合わせたスコアでリスクを定量化できます。その後、ツールはリスクを軽減するための修正されたポリシーを推奨します。

これにより、監査員は環境の暴露リスクについて、導入前と実施後のスコアを明確に把握できるため、チームがコンプライアンスを当て推量する必要がなくなります。

イルミオ ZTS について詳しく知る準備はできましたか？ 今すぐお問い合わせ 無料の相談とデモをご覧ください。