物理的な距離が離れると、ウイルスの影響が鈍くなります。 同じ考え方をコンピュータやネットワークに適用して、侵害、攻撃、感染を最小限に抑えることができます。
社会的距離は最近人気のある用語集に大々的に登場し、今では、健康上の脅威を最小限に抑えるために他の人から安全な距離を保つという考えに親しんでいます。 生物学的疫学と情報セキュリティの間には多くの類似点があり、保護への多層的アプローチのXNUMXつの層としての「デジタル距離」の概念は、対面でのやり取りだけに適用されるわけではありません。
社会的距離と同様に、マイクロセグメンテーションの背後にある基本的な概念は、不必要な接触を可能な限り制限することです。 ほとんどのコンピューターは、他のコンピューターの非常に限られたサブセットとのみ通信する必要があり、そこでマイクロセグメンテーションがコンピューターシステムの社会的距離として登場します。
使い方
マイクロセグメンテーションは、ネットワーク接続に出入りするネットワークトラフィックを制御することにより、データセンターのセキュリティを向上させます。 最終的に、マイクロセグメンテーションの目標は、ゼロトラストを実装することです。
適切に行われると、マイクロセグメンテーションは事実上ネットワークトラフィックのホワイトリストになります。 これは、特定のネットワーク上のシステムが、通信する必要のある特定のシステムと、通信することになっている方法で厳密に通信できることを意味します。 接続と通信がそのように管理されているため、マイクロセグメンテーションは、横方向の侵害に対して今日私たちが持っている最高の保護のXNUMXつです。
これにより、マイクロセグメンテーション管理者は、ネットワーク接続のもう一方の端にあるものを、ネットワーク上の他のものから保護できます。 また、ネットワーク上の他のすべてのものが、そのネットワーク接続の反対側にある可能性のあるものから基本レベルの保護を受けることができます。
これは、すべての防御が周囲(卵殻)に集中しているが、そのエッジの後ろのすべてが大きく開いている(卵の柔らかい内部)「卵殻コンピューティング」モデルからの大きな変更です。 エッグシェルコンピューティングは効果がありません。 攻撃者は何十年もの間、侵害の最初のポイントから横方向の広がりを使用してきました。東西の防御が、より伝統的な南北の防御と並んでデータセンターに存在することが重要です。
あなたはあまりにも孤立することができますか?
より高度な実装では、マイクロセグメンテーションは、基本的に別のチームによって実行されている別のファイアウォールであるものを超えて、ネットワークオーバーレイを追加します。 オーバーレイとACLを組み合わせることで、特定のシステムに出入りするすべてのトラフィックを制限して、受信を想定している他のシステムだけがそのトラフィックを確認できるようにするだけでなく、それに応答することもできます。
ただし、現実の世界では、ほとんどのシステムは、データセンター内で東西の方法でのみピアシステムと通信するように、現実的に分離することはできません。 少なくとも、セキュリティアップデートを入手するには、どこかに何か手を差し伸べる必要があります。 適切に設計されたマイクロセグメンテーションシステムは、仮想(またはますますコンテナ化)ファイアウォールを特定のマイクロセグメントのエッジに配置する機能を提供し、セグメントを離れるトラフィックがそのファイアウォールを通過するようにします。
このアプローチにより、システムを可能な限り分離することができます–特定のネットワークセグメントに接続し、システム間での通信が絶対に必要なシステムのみ–そのセグメントを超えるルーティングを提供します。 ファイアウォール(または必要なその他のネットワークセキュリティ機能)を介してそのセグメントの内外にトラフィックを通過させると、ACLとネットワークオーバーレイだけでは容易に達成できない追加の(ますます必要になる)レベルの保護が提供されます。
サーバーまたは仮想マシンをネットワーク上のどこにでも安全に追加できるため、ワークロードの配置の柔軟性が大幅に向上します。 マイクロセグメンテーションの一般的な経験によれば、採用は分散アプリケーションの人気に頻繁に結びついています。 場合によっては、分散アプリケーションの需要により、マイクロセグメンテーションを実装する必要が生じます。 他のケースでは、マイクロセグメンテーションが利用できることで、以前は現実的でなかった分散アプリケーションへの扉が開かれます。
すべてのアプリケーションと同様に、分散アプリケーションには、障害に対するさまざまなレベルの復元力があります。 分散アプリケーションが広く採用されると、スイッチが複数のアプリケーションまたはサービスの一部をホストする可能性があるため、スイッチ障害の影響範囲が拡大する可能性があります。 冗長性は常にITの優れた計画ですが、マイクロセグメンテーションが本格的に展開されると、新たな緊急性が得られます。
変更する必要がある場合は、すべての変更を行います
マイクロセグメンテーションの展開を成功させるには、アーキテクチャと計画が重要です。 以前にマイクロセグメンテーションを実装したことがない場合は、組織内の新機能の成長が予測できない可能性があるため、インフラストラクチャが必要以上に多くのマイクロセグメントをサポートできることを確認してください。 つまり、関連するすべてのコンポーネント(および管理ソフトウェア)が、必要な規模に対応できるようにする必要があります。
ネットワーク機器(スイッチ、ルーター、仮想スイッチ)は通常、トラフィックをフィルタリング、制限、またはカプセル化する機能が制限されています。 ディープパケットインスペクション(DPI)、SSL / TLSプロキシ、およびその他の多くの情報セキュリティ機能では、エンタープライズクラスのファイアウォールなどのより強力な防御を通過する(または少なくともミラーリングする)必要があります。
提案されたマイクロセグメンテーションスキームの継続的な管理オーバーヘッドがどのように見えるかに注意してください。 また、ネットワーク管理アプローチ全体を覆す場合は、すべての自動化とオーケストレーションを一度に処理することもできるため、ソフトウェア定義LAN(SD-LAN)についてベンダーに相談する良い機会でもあります。 少なくともあとXNUMX年間は、これほど大きな変更を加えない可能性があります。
マイクロセグメンテーションは、実装が困難であるという正当な評判があり、管理するのに少し苦労し、結果としてかなり高価になります。 これは何年も前からあり、正しく実装されていなければ、今日でもそうである可能性があります。
もはや贅沢ではない
ただし、マイクロセグメンテーションを実装するのが悪夢である必要はありません。 経験豊富な専門家によって設計された十分に計画された実装は、成功するだけでなく、予期しない変化に対応する組織の能力を大幅に向上させ、最終的には金銭的な利益をもたらすことが証明されます。
何十年にもわたる技術的負債のある大規模で広大なネットワークがある場合は、マイクロセグメンテーションを実装しなかった可能性があります。 しかし、情報セキュリティの観点から見ると、マイクロセグメンテーションなしで新しいネットワークを今日誰も配備してはなりません。 マイクロセグメンテーションはもはやニッチな新機能ではありません。 これは、今日のネットワークの俊敏性と情報セキュリティの両方の基本的な機能と考える必要があります。
攻撃者は毎年ネットワーク全体に急速に広まるので、IT空間における攻撃者と防御者の闘争に終わりはありません。 デジタル距離を使用してシステム間の接触を最小限に抑えることは、組織が避けられない侵害イベントが発生したときに侵害の範囲を減らすために利用できる明白なツールです。
関連性のあるコンテンツ:
Trevor Pottは、ジュニパーネットワークスの製品マーケティングディレクターです。 Trevorは、システムおよびネットワーク管理者として20年以上の経験があります。 DOSの管理からクラウドネイティブの情報セキュリティまで、Trevorには深いセキュリティの知識があり、… フルバイオグラフィーを見る
推奨書籍:
より多くのインサイト
