とは
ネットワークセグメンテーション
?
ネットワークセグメンテーションが必要な理由
その答えとして、よくある例として、潜水艦がコンパートメントを利用して1つのコンパートメントに破損があっても耐航性を維持する方法が挙げられます。船が区画化 (または細分化) されているおかげで、海底が沈むことはありません。これは、海底が沈むことはありません。
私たちのIT環境では、ネットワークをセグメンテーションすることで、攻撃者や脅威の拡散を防いだり、横方向への移動、データセンター、クラウド、またはキャンパスネットワークの「東西」。脅威は設置されたネットワークセグメントまたはホストセグメントに封じ込められるため、攻撃者は環境の他の部分に移動できません。小規模なセキュリティインシデントは封じ込められるため、組織は侵害からより適切に保護されます。
ネットワークセグメンテーションのタイプ
ネットワークセグメンテーション:
セグメンテーションは長い間、VLANまたはサブネットを持つネットワークにセグメントを作成することによって行われてきました。仮想ローカルエリアネットワーク (VLAN) は、すべてのホストが同じ LAN 内にあるかのように仮想的に相互に接続された小さなネットワークセグメントを作成します。サブネットは IP アドレスを使用して、ネットワークをネットワークデバイスによって接続された小さなサブネットに分割します。これらのアプローチは、ネットワークのパフォーマンスをより効率的にするだけでなく、特定の VLAN やサブネットを越えて広がる脅威を封じ込めるのにも役立ちます。
これらのアプローチには 2 つの重要な課題があります。1 つ目は、セグメンテーションのニーズに合わせてネットワークを再構築しなければならないことが多いという事実です。2 つ目は、サブネットの作成に必要なネットワークデバイス上に存在する何千ものアクセス制御リスト (ACL) ルールをプログラミングおよび管理するのが複雑であることです。
ファイアウォールのセグメンテーション:
ネットワークを使用してセグメンテーションを実施する代わりに、ファイアウォールを使用することもできます。ファイアウォールはネットワークまたはデータセンターの内部に配置して内部ゾーンを作り、機能領域を互いに分割して制限します。 アタックサーフェスこれにより、脅威がゾーン外に広がるのを防ぎます。例としては、エンジニアリングアプリケーションを財務部門から分離することが挙げられます。もう 1 つの一般的な例は、次のような機密領域を保護することです。 PCI たとえば、データが存在します。
ネットワーク管理者とセキュリティ管理者は、境界に配置されたファイアウォールに精通しています。ただし、同じファイアウォールを内部セグメンテーションに使用すると、かなり複雑になる傾向があります。
これは、内部ネットワークをセグメント化するために必要な何千ものファイアウォールルールによるものです。もう 1 つ考慮すべき点は、ファイアウォールの設定ミスが原因でアプリケーションが動作しなくなり、ビジネスに悪影響が及ぶ可能性があることです。セグメンテーションにファイアウォールを使用する場合のもう 1 つの欠点は、ファイアウォールを複数のサイト用にペアで購入し、多くの場合数百万ドルの費用がかかるため、かなりのコストがかかることです。
SDN によるセグメンテーション:
ソフトウェア定義ネットワーク (SDN)ネットワークの物理ハードウェアから切り離された一元化されたコントローラにより、ネットワークの自動化とプログラマビリティの向上が期待されています。ネットワーク事業者の中には、分散されたファイアウォールのセットを介してパケットをファネリングするポリシーを作成するために SDN ネットワークオーバーレイの実装からセグメンテーションを引き出そうとしているところもあります。
ここでの欠点は、特にアプリケーションがネットワークの境界に収まらない場合に、マイクロセグメンテーションを成功させるために非常に複雑になることです。SDN は、他のアプローチでは対処できるワークロードやアプリケーションフローのセキュリティ可視性よりも、ネットワークポリシーに重点を置いています。
マイクロセグメンテーション:
セグメント化されたネットワークを実現する別の方法は、サブネットやファイアウォールの代わりにホストワークロードを使用して適用することです。データセンターまたはクラウドの各ワークロードオペレーティングシステムには、Linux の iptables や Windows の Windows フィルタリングプラットフォームなど、ネイティブのステートフルファイアウォールが含まれています。このアプローチでは、許可されているトラフィックを除くすべてのトラフィックをブロックするホワイトリストモデルを使用する傾向があります。マイクロセグメンテーションは、ホストベースのセグメンテーションまたはセキュリティセグメンテーションと呼ばれることもあります。
ホストベースのセグメンテーションは、ワークロードテレメトリを使用して以下を作成します地図クラウドとオンプレミスのコンピューティング環境とアプリケーションのこのマップは、何を保護すべきかを視覚化し、自動セグメンテーションポリシーを導入するために使用されます。このアプローチでは、IP アドレスやファイアウォールのルールではなく、人間が判読できるラベルを使用してポリシーを作成します。利点は、特定のポートだけよりも細分化されたセグメンテーションをプロセスレベルまで適用できることです。
ホストベースのセグメンテーションを導入したものには、ある程度の適応が必要です。新規ユーザーのほとんどはファイアウォールとネットワークの概念に精通していますが、ポリシーを作成してホストでセグメンテーションを実施する新しい方法についてトレーニングを受ける必要があると感じています。
ネットワークや環境をセグメント化する必要があるのは誰か
セキュリティとコンプライアンスを重視する組織は、攻撃者のラテラルムーブメントを制限することで、侵害から環境を保護するためにセグメンテーションを導入する必要があります。
セグメント化されたネットワークの必要性を示す代表的な例として、医療機関のサイバーセキュリティコンプライアンスや PCI 規制を遵守しなければならない組織が挙げられる。
- 医療機関医療機関のサイバーセキュリティコンプライアンスフレームワークに準拠して、PHIデータを保護する必要があります。医療機関とその医療提供者が一貫した効率的な方法でセキュリティとコンプライアンスを実証するのに役立つ共通のセキュリティフレームワークが存在します。実施すべき主なセキュリティ管理には、ネットワークのセグメンテーションまたは分離、機密システムの分離、正確なマッピング、ネットワーク接続制御などがあります。
- PCI コンプライアンス標準では、加盟店やその他の企業に対し、クレジットカード情報を安全な方法で処理することが義務付けられています。これにより、機密性の高いカード所有者の金融口座情報がデータ漏洩する可能性が低くなります。ペイメントカード業界データセキュリティ基準 (ピクシードレス)コンプライアンスへの取り組みには、カード会員データ環境(CDE)内のシステムコンポーネントを分離するためのネットワークセグメンテーションが含まれます。たとえば、対象範囲内のシステムを対象外のシステムから分離したり、対象外のシステムまたはネットワーク間のアクセスを管理したりすることが必要になる場合があります。適切なネットワークセグメンテーションを行うことで、最初から PCI DSS の対象となるシステムの数を減らすこともできます。
セグメンテーションの例とは?
セグメンテーションが攻撃対象領域を減らし、注目を集める侵害の可能性を減らすのにどのように役立つかを示す良い例はたくさんあります。組織は導入するかもしれません。アプリケーションセグメンテーションアプリケーションを他の環境からセグメント化します。前述のように、セグメンテーションは PCI、SWIFT、またはヘルスケアシステムを他の環境から分離するために使用できます。環境分離また、組織が本番環境を開発環境から分離する場合も一般的です。
ネットワークセグメンテーションのメリット
ネットワークパフォーマンスの向上:セグメント化されたネットワークでは、特定のトラフィックを、そのトラフィックを確認する必要のあるネットワーク部分のみに限定することで、ネットワークのパフォーマンスを向上させることができます。
攻撃対象領域の縮小:攻撃者の横方向の動きは、ネットワークの細分化によって攻撃の拡大を防ぐことで制限されます。たとえば、セグメンテーションにより、あるセクションのマルウェアが別のセクションのシステムに影響しないことが保証されます。
コンプライアンス範囲の縮小:セグメンテーションによって対象となるシステムの数が減り、規制遵守に関連するコストが抑えられます。
さらに詳しく
その方法をご覧ください イルミオゼロトラストセグメンテーションプラットフォーム ランサムウェアや侵害の拡散を阻止し、データ、ユーザー、デバイス、ワークロード、ネットワークを保護します。