とは何ですか? 

マイクロセグメンテーション

?

マイクロセグメンテーションが必要な理由

よくある例を考えてみましょう:潜水艦は、破断しても航行可能な状態を維持するために、区画された構造を採用しています。万が一、破損が発生しても、破損が発生した1つの区画にとどまる。簡単に言えば、潜水艦が沈まないのは、船のコンパートメント化(または分割)のおかげです。

マイクロセグメンテーション

IT環境の文脈では、マイクロセグメンテーションは、データセンター、クラウド、キャンパス・ネットワークにおいて、攻撃者や脅威が拡散したり、横方向に移動したりするのを防ぐ。脅威はマイクロセグメンテーション・ポリシーによって封じ込められ、攻撃者は環境の他の部分に移動することができなくなります。小さなセキュリティ・インシデントが封じ込められる。これにより、組織を侵害から守ることができる。

マイクロセグメンテーションのメリット

  • 攻撃対象領域を削減するネットワーク環境を完全に可視化し、横方向の通信アクセスを制御することで、攻撃の脆弱性を低減します。
  • 規制遵守を実現する:規制の対象となるシステムを隔離し、コンプライアンスのためのきめ細かいポリシー制御を実現します。
  • 侵害の封じ込めを改善します:セキュアなポリシーに照らしてトラフィックを監視し、横方向の動きを制御することで、侵害の規模と対応時間を削減します。

マイクロセグメンテーションの仕組み

マイクロセグメンテーションは、サブネットやファイアウォールの代わりにホストのワークロードを使用する。データセンターやクラウドの各ワークロード・オペレーティング・システムには、LinuxのiptablesやWindowsのWindows Filtering Platformのようなネイティブのステートフル・ファイアウォールが含まれている。

このホストベースのセグメンテーションでは、ワークロードの遠隔測定により、クラウドとオンプレミスのコンピュート環境とアプリケーションのマップが作成されます。このマップは、保護すべき対象を可視化し、IPアドレスやファイアウォールのルールではなく、人間が読めるラベルで自動セグメンテーションポリシーを設定するために使用されます。

従来のセグメンテーションを超えるマイクロセグメンテーション

セグメンテーションのための他の伝統的なアプローチには、VLANやサブネットを作成することによってネットワーク自体に依存したり、ハードウェアファイアウォールアプライアンスを導入したり、ソフトウェア定義ネットワーキングを使用してネットワークのセグメンテーションを試みたりすることが含まれる。これらのソリューションは、ネットワーク構造やIPベースのルールによって制限されており、煩雑で手作業が多く、エラーが発生しやすい。結局のところ、レガシー・ソリューションは、今日のダイナミックな脅威環境における悪意のある活動や横の動きを防止するための要件を満たすために必要なきめ細かさと俊敏性を実現するには、根本的に不十分なのです。従来の手法を改良したマイクロセグメンテーションは、今日のハイブリッドITを考慮し、オンプレミスのデータセンターのワークロードに加えて、クラウドのワークロードとコンテナにもセグメンテーションを拡張します。

ネットワークや環境をセグメント化する必要があるのは誰か?

組織は、攻撃者の横の動きを制限することによって、侵害から環境を保護するためにマイクロセグメンテーションを設置する必要があります。マイクロセグメンテーションの必要性を示す代表的な例として、以下の2つが挙げられます:

コンプライアンスを重視する組織:例えば、医療機関は、医療用サイバーセキュリティのコンプライアンスフレームワークに準拠し、PHIデータを保護する必要があります。医療機関とそのプロバイダーが、一貫した合理的な方法でセキュリティとコンプライアンスを実証できるように、共通のセキュリティフレームワークが存在します。実施しなければならない主なセキュリティ管理には、ネットワークにおけるセグメンテーションまたは分離、機密システムの隔離、正確なマッピング、ネットワーク接続制御などがあります。

セキュリティに配慮した組織:例えば、PCI コンプライアンス基準では、加盟店やその他の企業は、クレジットカード情報を安全な方法で取り扱う必要があり、機密性の高いカード会員の金融口座情報のデータ漏洩の可能性を低減するのに役立ちます。Payment Card Industry Data SecurityStandard(PCIDSS)準拠の取り組みとして、カード会員データ環境(CDE)内のシステムコンポーネントを分離するためのネットワークセグメンテーションがあります。

マイクロセグメンテーションの特徴

可視化:マイクロセグメンテーションは、すべてのクラウドおよびデータセンターのワークロードと、それらを構成するアプリケーションおよびプロセス間の通信を可視化する、リアルタイムのアプリケーション依存マップから始まります。この可視性は、アプリケーションの接続性のベースラインとして機能し、マイクロセグメンテーションポリシーを構築しテストするための基礎となります。


ラベルが使いやすい:セグメンテーションは従来、IPアドレスやファイアウォールのルールに依存してきたが、マイクロセグメンテーションの有効性を高めるために、代わりにラベルに依存している。ラベルは、アプリケーション名、開発サイクルにおけるステージ、ロケーション、ワークロードの役割など、通常の IT 言語(別名「人間が読めるラベル」)を使ってセグメンテーションを簡素化するためのものである。これらの多次元ラベルをワークロードに添付することで、ラベルセットに基づいてワークロードをグループ化し、コンテキストに基づいたアプリケーション依存性マップを構築します。分かりやすいラベルが付いたこの視覚的なマップは、アプリケーション所有者、セキュリティ、IT運用、コンプライアンスにまたがるコラボレーションを促進します。ラベルは通常、構成管理データベース(CMDB)、IPアドレス管理(IPAM)ツール、オーケストレーションツールからインポートされる。

自動セグメンテーション:マイクロセグメンテーションは、マップとラベルを使用して、環境、アプリケーション、ロ ール/ティアレベルのトラフィックに対して、きめ細かいホワイトリストのセグメンテーションポリシ ーを自動的に作成する。過去の接続、これらのフローが通信するプロセス、およびワークロードラベルを照合し、アプリケーション内およびアプリケーション間のトラフィックを制御するためのポリシーを自動的に作成する。

脆弱性リスクの軽減:マイクロセグメンテーションによっては、ソフトウェアの脆弱性リスクを軽減することができる。データセンターとクラウド環境内の東西のワークロード間トラフィックは、巨大な攻撃対象となる。脆弱性管理プラットフォームと統合されたマイクロセグメンテーションは、脆弱性マップを通じて アプリケーションのワークロードと関連するソフトウェアの脆弱性を可視化します。このマッピングにより、攻撃者の潜在的な横の経路が表示されます。検出された脆弱性のすべてが、パッチ適用によって直ちに対処できるわけではない。マイクロセグメンテーションのトラフィックの可視化とサードパーティの脆弱性データは、パッチが適用されていないワークロードに対する補償コントロールとして機能する動的マイクロセグメンテーションポリシーの構築に使用される。

マイクロセグメンテーションの種類

アプリケーションのセグメンテーション:このタイプのセグメンテーションは、マイクロセグメンテーションを使用して、プライベートデータセンター、パブリッククラウド、およびハイブリッドクラウドの内部または全体で、ベアメタル、ハイパーバイザー、またはコンテナ化ワークロード上で実行されるアプリケーション間の機密性の高い東西通信を制御するリングフェンスによって高価値のアプリケーションを保護します。

組織は、重要サービスを配信する、機密データまたはPIIを含む、PCI DSS、HIPAA、SOXなどのコンプライアンスの義務で規制されている高価値アプリケーションを守る必要があります。アプリケーションのセグメンテーションは、これを実現する強力な方法です。

環境セグメンテーション:このタイプのマイクロセグメンテーションは、開発、ステージング、テスト、本番などのソフトウェア展開環境を互いに通信できないように分離する。Ressourcen は異種データセンター、パブリッククラウド、ハイブリッドクラウド環境に動的に広がっているため、セグメンテーションのための従来のネットワークソリューションでは困難です。

アプリケーション階層レベルのセグメンテーション:Web、アプリケーション、データベースの各階層を持つN階層アプリケーションをよく見かけますが、組織はセグメンテーションによって互いを保護したいと考えています。アプリケーション層レベルのマイクロセグメンテーションは、ワークロードを役割ごとに分割し、明示的に許可されたものを除き、ワークロード間の横方向の移動を防止します。例えば、セグメンテーションポリシーにより、処理層はデータベース層としか会話できず、ロードバランサーやウェブ層とは会話できないようにし、攻撃対象範囲を狭める。

プロセスベースのナノセグメンテーション:これは、現存するセグメンテーションの中で最も粒度の細かいものである。アプリケーション層レベルのセグメンテーションを、ワークロード上で実行されるプロセスやサービスまで拡張するものです。ワークロードの階層が制限されるだけでなく、特定のサービスやプロセスのみがワークロード間で会話することを許可される。上記の例では、処理層はデータベース層としか会話できず、MySQLだけがワークロード間の3306で会話することができます。それ以外はすべてブロックされます。

ユーザーセグメンテーション:このタイプのセグメンテーションは、Microsoft Active Directoryのグループメンバーシップを通じて、アプリケーションへの可視性を制限する。ユーザーのセグメンテーションは、ユーザーのアイデンティティとグループメンバーシップに基づいて実施され、インフラを変更することはありません。ネットワーク上のユーザーは、あらゆる内部アプリケーションへの接続を試みることができ、盗まれた認証情報、弱いパスワードや脆弱性を悪用した総当たり攻撃により、機密データを含むデータセンターのワークロードを侵害する可能性があります。例えば、同じVLANにいる2人のユーザーは異なるポリシーを持つことができ、アクセスが許可されたアプリケーションにのみ接続することができるようになります。

もっと詳しく知る

IllumioZero Trust Segmentationが、マルチクラウドからデータセンター、リモートエンドポイント、ITからOTまで、ハイブリッド攻撃対象領域全体にわたって一貫したマイクロセグメンテーションのアプローチを提供することをご確認ください。

侵入を想定する。
影響を最小限に抑える。
回復力を高める。

ゼロトラストセグメンテーションについてもっと詳しく知りたい方はこちら。