最新のアプリケーションのための 6 つのマイクロセグメンテーション要件

セキュリティを強化する方法としてネットワークをセグメント化するというアイデアは新しいものではありません。しかし、コンピューティングとセキュリティが結びついているため、きめ細かなセグメンテーションを実現することは困難でした。つまり、望ましいセキュリティ体制を達成するために行われた変更には、基盤となるネットワークトランスポートを変更するか、粒度を犠牲にする必要があります。さらに、IT チームとセキュリティ チームは競合する優先事項をやりくりすることが多く、セグメンテーションが常に最も人気のある戦略であるとは限りません。

サイバー攻撃の規模と範囲の拡大により、状況は変わりつつあります。

"...今では、企業やインフラストラクチャのマイクロセグメンテーションを有効にしない言い訳はありません。」

マイクロセグメンテーションは、ハッカーにとって大きな抑止力です。多層防御戦略の重要な部分としてマイクロセグメンテーションを実装する組織が増えています。300人以上のITプロフェッショナルを対象とした最近の調査によると、45%が現在セグメンテーションプロジェクトを持っているか、セグメンテーションプロジェクトを計画しています。Forrester Researchの2020年第3四半期の ゼロトラストウェーブレポート では、「...今では、企業やインフラストラクチャでマイクロセグメンテーションを有効にしない言い訳はありません。」

しかし、他のセキュリティ管理と同様に、ビジネス戦略とセキュリティ保護の必要性のバランスを取ることが重要です。ネットワークのセグメント化は主要なプロジェクトであり、ネットワークを管理するまったく異なる方法です。通信が広く開かれるフラットなネットワークインフラストラクチャから、境界インフラストラクチャと同じようにファイアウォールルールセットを必要とするネットワークに移行する可能性があります。攻撃者にとっては困難でありながら、ユーザーにとっては管理可能なネットワークの望ましい結果を達成するには、慎重な計画が必要です。

では、どうすればそこにたどり着くのでしょうか?

マイクロセグメンテーションを効果的に展開するために、ソリューションが提供する必要のある6つの主要な機能のリストを次に示します。

1. アプリケーションコンテキストによる可視性

「見えないものは守れない」という格言は、これ以上ないほど真実です。組織はビジネスを運営するためにさまざまなアプリケーションを実行し、それぞれが相互に通信し、データを共有します。そこに課題があります。可視性がなければ、権限のないユーザーは、検出の兆候が現れる前に、ビジネスに侵入し、保護されていない資産や脆弱な資産にたどり着き、重要な資産に向かって横方向に移動する十分な機会があります。

アプリケーション資産の適切なマイクロセグメンテーションは、侵害の拡大を最小限に抑えたり防いだりすることができますが、アプリケーション層での可視性が必要です。これは、ネットフロー トラフィックを取得したり、L2 および L3 のネットワーク フローに関する情報を提供するスイッチの SPAN ポートをタップしたりすることとは異なります。アプリケーション・コンポーネントがさまざまな層 (Web、処理、データベース) にわたって相互にどのように通信するか、およびアプリケーションが相互にどのように対話するかを確認できる必要があります。

アプリケーションは島に座っているわけではありません。彼らは互いに話し合い、それがビジネスプロセスの仕組みです。たとえば、販売時点管理 (POS) システムは、顧客の注文を履行する前に在庫管理アプリケーションと通信する可能性があります。これは理にかなっています。POSシステムからのトラフィックは、在庫アプリケーションと通信できるように する必要があります 。一方、パブリック向け Web サーバーは、データベースと直接通信するのではなく、アプリケーション処理サーバーを経由してトランザクションまたはクエリを完了する必要があります。

しかし、これらのフローは必ずしもよく知られているわけではなく、ネットワークチームやセキュリティチームにも知られていません。アプリケーション開発者は、このレベルの明確さを持っているかもしれませんが、常にそうとは限りません。組織は、マイクロセグメンテーションを正しく行うために、アプリケーションの依存関係を示す組み込みの可視性を必要としています。理想的には、これは、さまざまなアプリケーションが層間で、また相互に通信する方法を示すマップの形式で表示されます。このマップには、開発、ステージング、生産、規制などのさまざまな環境がどのようにレイアウトされ、それらの間の通信フローの種類も示されている必要があります。これにより、組織は希望するセキュリティ体制に基づいて「何が起こっているのか」と「何が起こるべきか」を理解することができます。

イルミオがどのように役立つか: イルミオのアプリケーション依存関係マップは、アプリケーションコンポーネントがどのように相互作用し、さまざまなアプリケーションが相互にどのように通信するかを明確に示しています。イルミネーションとして知られるこのマップは、比類のない可視性を提供するだけでなく、必要な粒度に基づいてポリシーを推奨します。ポリシーはラベルを使用して自然言語で定義され、ポリシーを定義するためにネットワーク層情報は必要ありません。このアプローチでは、これらの自然言語ポリシーに基づいて、面倒な作業を行い、正確な L2/L3/L4 ルールを計算します。これにより、組織の目標に沿ったセキュリティ体制を簡単に構築できます。

2. スケーラブルなアーキテクチャ

マイクロセグメンテーションを実現するには複数の方法があります。それぞれのアプローチにはメリットがありますが、スケーラビリティ、ソリューションの有効性と粒度、使いやすさ、そして最後になりましたが、費用対効果を考慮する必要があります。

一般的なアプローチは次のとおりです。

• ネットワークを使用したセグメント化: ネットワークデバイス(スイッチ、ルーター、ファイアウォールなど)のアクセス制御リスト(ACL)をプログラミングします。このアプローチでは、ある程度の粗いレベルの分離が提供されますが、非常に面倒で、エラーが発生しやすく、コストがかかります。ネットワークは、ポイント A からポイント B にパケットをできるだけ速く転送することを目的としており、セグメンテーションに ACL を割り当てることは、すべてのパケットを停止して許可する必要があるかどうかを確認するようなものです。この 2 つは正反対の目標であり、これらを混ぜ合わせると、物事が壊れ始めます。
• SDNによるセグメント化: ソフトウェア定義ネットワーキング(SDN)で上記を自動化すると、ユーザーは集中コントローラーにアクセスして、適切なネットワークデバイスにプッシュされるルールを定義できます。このアプローチは構成をある程度軽減しますが、多くの点で、ネットワーク デバイスを使用するよりも優れているわけではありません。さらに、ほとんどのSDNシステムは、セキュリティ機能ではなく、ネットワークの自動化を提供するように設計されています。ベンダーがセキュリティのユースケースに気づき、SDNシステムを再利用してマイクロセグメンテーションを提供しようとしたのはごく最近のことですが、わずかな成功を収めています。
• ホストベースのマイクロセグメンテーション: アーキテクチャ的には、このアプローチは異なります。ポリシーの適用がネットワーク内のどこかで行われる代わりに、組織は 組み込みのステートフルファイアウォール の機能を使用して、パフォーマンスを低下させることなくラインレートでルールを適用できます。さらに、これは唯一のスケールアウトアーキテクチャであり、ワークロードを追加するときに容量を追加します。スケールアウトアーキテクチャは、パフォーマンスを犠牲にすることなく、システムコンポーネントの成長に合わせてうまく追跡できることが証明されています。適用を行うには、執行エンティティがトラフィックを確認する必要があることに注意してください。ファイアウォール(またはネットワークデバイスが仕事をしている)の場合、トラフィックを確認する必要があります。ある時点で、トラフィックの量がエンフォーサーの能力を超え、組織は保護されずに露出したままになります。トラフィック ステアリングは大きな課題を引き起こし、ネットワーク層で物事を壊したり、非常に複雑になったりすることがあります。

ネットワークのエッジは境界ファイアウォールではなく、内部セグメントにあるため、セグメントが細かいほど、より優れた保護が得られます。この概念をさらに進めると、最適なセグメントは 1 つのセグメントであり、ワークロードが新しいエッジになることがわかります。ワークロードの外部にあるものはすべて信頼されず、トラフィックの許可または停止に関するすべての適用は、パフォーマンスを犠牲にすることなくワークロードで行われます。ホストベースのシステムはまさにそれを行います。

イルミオがどのように役立つか: 早い段階で、粗粒度のセグメンテーションときめ細かなマイクロセグメンテーションの両方を実現する唯一のスケーラブルな方法は、ホストベースのアーキテクチャを使用することであると認識していました。このアプローチにより 、セキュリティはアクションが行われる場所に非常に近づき、制御はネットワークから独立しています。ホストの機能と容量を活用して、OS カーネルのラインレート ステートフル ファイアウォールの使用を強制することで、セグメンテーションをネットワークから切り離し、ファイアウォールに存在するチョークポイントを排除し、新しいワークロードがオンラインになったときに容量を追加することで、スケーラブルなセグメント化方法を提供します。

3. 抽象化されたセキュリティポリシー

従来、セキュリティはネットワークに関連付けられてきましたが、両方のエンティティには異なる目的があります。ネットワークは速度とスループットが重要です。セキュリティとは、隔離と予防に関するものです。この 2 つを混ぜ合わせると、両方の最悪の結果が得られます。それは、両方の参加者が異なる方向に向かっている三本足のレースに参加しているようなものです。シナリオは言うまでもなくうまく終わらない。セキュリティポリシーは、基盤となるインフラストラクチャから独立して望ましいセキュリティ体制を達成できるように、ネットワークから抽象化する必要があります。

イルミオがどのように役立つか: セ グメンテーション をネットワークから切り離すことで、組織が理解しやすいビジネス中心のラベルに基づいてポリシーを構築するためのワークフローを提供します。ワークロードはラベルの 4 つの次元に基づいて編成され、ポリシーはこれらのラベルを使用して記述されます。抽象化されたポリシーをネットワークレベルの適用にマッピングするという面倒な作業はすべて、ポリシーを適用する前にテストできるモデルを通じて行われます。これにより、アプリケーションを壊すことなく、望ましい結果(マイクロセグメンテーション)を達成できます。

4. きめ細かなコントロール

組織には、ビジネス上の重要性が異なる多くのアプリケーションがあります。そのため、セキュリティ要件は重要度や、場合によってはそのアプリケーションに関連する規制要件によって異なります。固有のコンピューティング環境に対してさまざまなセキュリティ体制を定義するメカニズムが必要です。場合によっては、単に異なる環境を分離しても問題ない場合があります (たとえば、開発と本番環境を分離したり、対象となる規制資産を他のすべてから分離したりします)。より厳密な制御を行うには、アプリケーション層 (Web、処理、データベース) をロックダウンし、どの層がどの層と通信できるかを制御する必要がある場合があります。これらのオプションはポリシー ワークフローの一部であり、ネットワークを変更せずに簡単に実装できる必要があります。

イルミオがどのように役立つか: 当社のポリシーモデルはシンプルでありながら強力で使いやすいです。アプリケーション依存関係マップは、アプリケーション層の可視性を提供するだけでなく、単純なリングフェンシングから層ベースの分離、ポート、プロセス、サービスに基づくセグメント化まで、さまざまなオプションを推奨することでポリシーの作成を促進します。

5. コンピューティング資産全体で一貫したポリシーフレームワーク

企業はますますハイブリッド マルチクラウド化を進めており、アプリケーションのフットプリントは、回復力、機能、パフォーマンス、データ レジデンシーの要件に基づいて、さまざまなオンプレミスの場所、ホスティング施設、パブリック クラウドに分散することがよくあります。特定の環境に適用できる互換性のない個々のソリューションを超越した一貫性のあるセキュリティ メカニズムを開発する必要があります。

パブリッククラウドでは、オンプレミスの展開と比較してセキュリティモデルが異なります。パブリッククラウドは、共有セキュリティモデルで動作します。クラウドベンダーは基本的なインフラストラクチャセキュリティを提供し、顧客は資産とアプリケーションを保護する責任があります。さらに、オンプレミスのデプロイを保護するために使用されるツールは、パブリッククラウドで利用可能なものとは異なります。ほとんどのパブリッククラウドは、仮想プライベートネットワークごとに基本的なファイアウォールを提供するセキュリティグループ(ベンダーによってさまざまな名前で呼ばれます)を提供します。これらのセキュリティ グループは規模が制限されており、構成の複雑さの点でファイアウォールと同じ問題を抱えており、クラウド間で互換性がありません。これは、真のハイブリッド マルチクラウドであり、一貫したセキュリティ メカニズムを必要とするお客様にとっては課題となる可能性があります。

イルミオがどのように役立つか: 当社のソリューションは、場所とワークロードのフォームファクターにとらわれません。ワークロードはどこにでも配置できます。完全な可視性と、コンピューティング資産全体に適用できる一貫したセキュリティモデルを提供します。

6. セキュリティエコシステムとの統合

セキュリティ体制を定義し、そのルールを適用することは、組織のビジネスを継続するのに役立ちます。この部分は、組織が新しい資産の作成、アプリケーションのデプロイ、システムの運用などに使用するプロセスやツールとしっかりと統合する必要があります。ほとんどの企業組織には、日常業務を支援するシステムがあります。たとえば、SecOpsはSplunkをメインコントロールセンターとして使用し、他のシステムはこのシステムに通知とアラートをフィードする必要があります。SecOps が複数のツールを日常的に監視して、物事を稼働させる可能性は低いです。セキュリティがこれらのプロセスと統合されない限り、常に課題となり、サイロと複雑さが生じます。

イルミオがどのように役立つか:当社のソリューションは完全にAPI駆動型であるため、組織のより大きなエコシステムと簡単に統合できます。イルミオGUIでできることはすべて、選択したシステムからのAPI呼び出しを介して実行できます。さらに、機能を強化するための統合もサポートしています。注目すべき統合には次のようなものがあります。

• サービスナウ: Illumioは、 ServiceNow からホスト属性を取り込み、それを使用して、各ワークロードに割り当てられ、ポリシーの定義に使用されるラベルを作成できます。さらに、イルミオは、(リアルタイムマップに基づく)不一致に関する情報をServiceNowに送信し、情報を修正してCMDBをより正確にすることができます。
• Splunk: Illumioは、すべてのアラートと通知を SplunkなどのSIEMに送信し、ブロックされたトラフィック、改ざんイベント、ルール違反などについて報告できます。
• 脆弱性スキャナー (Qualys、Tenable、Rapid7): イルミオ独自の脆弱性情報を取り込み、その情報をアプリケーションの依存関係マップに重ねてリスクを視覚化および定量化し、 脆弱性マップを提供できます。その情報を使用して、脆弱性を説明するマイクロセグメンテーションポリシーを導き出すことができ、基本的には、即時パッチ適用がオプションでない場合に、マイクロセグメンテーションを補正制御として使用します。
• AWS Security Hub: Splunkと同様に、Illumioはクラウド展開にSIEM機能を提供するAWS Security Hubと統合されています。
   

要約すると、マイクロセグメンテーションの主な利点は次のとおりです。

• セキュリティの向上:ネットワークトラフィックを分離またはフィルタリングして、ネットワークセグメント間のアクセスを制限または防止できます。
• より良い封じ込め: ネットワークの問題が発生すると、その影響はローカル サブネットに限定されます。
• より優れたアクセス制御:ユーザーが特定のネットワーク リソースにのみアクセスできるようにします。
• コンプライアンス： 規制またはクライアントが義務付けたコンプライアンス要件の下にある組織は、適切な措置が講じられたことを証明し、タイムリーに監査に合格することができます。
• 監視の改善:イベントをログに記録し、許可された内部接続と拒否された内部接続を監視し、不審な動作を検出する機会を提供します。

マイクロセグメンテーションは、組織内での不正な横方向の移動を防ぐための非常に効果的なアプローチであり、ゼロトラストフレームワークの重要な信条となっているのは偶然ではありません。侵害は損害を与える可能性がありますが、内部セグメント化されたネットワークがないことも同様に有害になる可能性があります。

注目を集める侵害のほとんどは、侵入者が数週間または数か月間検出されずにネットワークを通過し、価値の高い資産にアクセスするために横方向に移動したため、組織を機能不全に陥れます。マイクロセグメンテーションは、その動きを防ぎ、組織が次に攻撃を受ける見出しを壊すビジネスになることがないようにします。

セグメンテーションの第一歩を踏み出す準備はできていますか?30日間の無料トライアルにサインアップしてください。