Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

ネットワークとセキュリティのセグメンテーション

Illumio Editorial
Illumio Editorial
4月 5日、 2017
23分読む

セキュリティ戦略としてのセグメンテーションの必要性は、かなり進化しています。ネットワークの黎明期から今日の複雑なデータセンターやクラウド環境に至るまで、組織がセグメンテーションに対して採用するアプローチは追いついていません。従来のセグメンテーションアプローチを使用して新しいセキュリティ課題に対処しようとすると、期待とセキュリティ要件の両方を満たしていないことにすぐに気付くでしょう。

しかし、これはベンダーや一部の組織が、ことわざにある四角いネットワーキングペグを丸いセキュリティホールに収めようとするのを止めていません。ネタバレ注意:それは収まりません。

本当に必要なのは セキュリティセグメンテーションです。

ill_blog_hero_img_network_vs_security_seg_v3.jpg


この投稿では、ネットワークとセキュリティのセグメンテーションの違いを探り、データセンターに焦点を当て、セキュリティ要件に対処するために ネットワークセグメンテーション がどのように誤った方向に向けられてきたかを探っていきます。

主要用途の地上制御

私が初めてネットワーキングに「夢中」になったとき、セグメントはRG-58 COAXのストランドでした。私は自分自身と付き合っているのでしょうか?はい。

キャリアが進むにつれて、私は「新興」 VLAN テクノロジーのパイオニアである Xylan で働きました。当時の課題は、あらゆるメディア(トークンリング、FDDI、ATM、イーサネット)をあらゆるメディアにインターワーキングし、VLANを拡張することでした - 主にセキュリティのためではなく、むしろブロードキャストドメインを減らすために - ネットワークパフォーマンスを維持し、ネットワークを拡張できるようにすることでした。レイヤー 3 スイッチはなく、ネットワーク内で最も高価な要素はソフトウェアベースのルーターでした。¬†基本的に、セグメントは論理的な (物理的ではない) ブロードキャスト ドメインに進化し、VLAN がセキュリティと混ざり合うようになるまで、ほとんどその状態が続きました。

今日、組織が「検出」テクノロジーにどれだけの費用を費やしているにもかかわらず、ほとんどの組織は、何らかの形の侵害は避けられないと考えています。

侵害の必然性に直面して、唯一の現実的な保護は、重要なアプリケーションの周囲により多くの壁を構築するか、悪意のある行為者がデータセンターやクラウド内を自由に動き回れないように「地形を制御」することです。

地形を制御するには、新しい形式のセグメンテーションが必要です。

これは、 セキュリティセグメンテーションと呼ばれるもので、組織はトラフィックをフィルタリングして、悪意のある行為者がデータセンター内で横方向(東/西)に移動できないようにする必要があります。これは、新しいIP、新しいVLAN、および新しい機器を必要とするネットワークを介した「レトロセグメンテーション」よりもはるかに優れています。

できるのか、それともすべきなのか?大変なことだ

セキュリティ セグメンテーションは、レイヤー 2 およびレイヤー 3 ネットワーキングに関連するため、パケット転送に関するものではありません。セキュリティセグメンテーションは、 パケットフィルタリング 、つまりネットワーク上の2つのポイント間で許可すべきものと許可すべきでないものを強制することです。

私はいつも、 これがcan (パケット転送)と should (パケットフィルタリング)の違いだと言っています。レイヤー 2 およびレイヤー 3 ネットワーキングで行われたすべてのプロトコルと作業は、信頼性の高いパケット配信に関するものでした。

  • レイヤ 2/3 ネットワーキングは、2 つのロケーション間でパケットを転送するパスを見つける ことができます (存在する場合)。
  • レイヤー 2/3 ネットワークは、パケットを転送 する必要がある かどうかを認識しません。そのように機能するように作られたわけではありません。

実際、レイヤー 2/3 デバイスに何が起 こるべき かを判断するように頼むことは、 ロン バーガンディにテレプロンプターのすべての単語を読まないように頼むようなものです。

一方、セキュリティセグメンテーションは、何が起こるべきかを理解し、パケットフィルターを制定して、侵害の拡大など、起こってはいけないことが決して起こらないようにします。

実際、私たちが30年間取り組んできた信頼性の高いパケット配信とセキュリティセグメンテーションは、いとこのようなもので、血縁関係にありますが、結婚すべきではありません。

KISS: あなたはそれをシンプルで愚かに保ちたいのです(そして毎日フィルタリングしたいのです)

セキュリティセグメンテーションの必要性を前面に押し出したことの1つは、私が「スティック上のファイアウォール」問題と呼んでいるものの出現でした。10年前は、トラフィックのオーバーヘッド、構成の複雑さ、スケールの問題が生じたため、データセンターのファイアウォールにトロンボンされるトラフィックはあまり見られませんでした。しかし、時間の経過とともに、そのような「スティック上のファイアウォール」設計が増加しています。

プロヒント: スティックにテクノロジーが書かれているのを見るときはいつでも、疲れてください。邪魔になるでしょう。

企業では、 ソフトウェア定義ネットワーク(SDN) ベンダーは、分散されたファイアウォールのセットを介してパケットを集中させるネットワークのオーバーレイを作成することで、ファイアウォールの複雑さをスティックで攻撃しようとしています。SDN は、アンダーレイ、オーバーレイ、トンネリングに依存して機能します。これにより、まったく新しいレベルの複雑さが生じ、別の投稿のために保存できます。しかし、より複雑さで複雑さを攻撃することは、勝利の提案ではないと言えば十分です。

複雑さは多くのことの敵であり、セキュリティもその 1 つです。

SDNとは異なり、セキュリティセグメンテーション(別名パケットフィルタリング)は、KISSのネットワーク原則であるKeep It Simple Stupidに依存しています。何かを複雑にしすぎると、エラーの可能性が高まり、人々が手抜きの方法を探す可能性も高まります。一方、シンプルさは信頼性を生み出す可能性が高く、セキュリティでは信頼性が重要です。

関連トピック

No items found.

関連記事

コンテナセキュリティ:Kubernetesを保護するための重要なガイド
ゼロトラストセグメンテーション

コンテナセキュリティ:Kubernetesを保護するための重要なガイド

侵害が避けられない世界においてコンテナのセキュリティが重要である理由を発見し、イルミオが最新の脅威からKubernetes環境をどのように保護できるかを学びましょう。

Read more
サイバーセキュリティ教育の専門家であるKyla Guruがサイバーセキュリティの不安全をどのように解決しているか
ゼロトラストセグメンテーション

サイバーセキュリティ教育の専門家であるKyla Guruがサイバーセキュリティの不安全をどのように解決しているか

Bits N' Bytes Cybersecurity Education の創設者兼 CEO である Kyla Guru 氏に、アクセシブルなサイバーセキュリティ教育における彼女の革新的な進歩と、デジタル世界をすべての人にとってより安全なものにするための彼女の考えについて話を聞きました。

Read more
CNAPPがクラウドセキュリティを制限する5つの理由
ゼロトラストセグメンテーション

CNAPPがクラウドセキュリティを制限する5つの理由

CNAPPがセキュリティをここまでしか実現できない理由と、ゼロトラストセグメンテーションがどのように役立つかをご覧ください。

Read more
高等教育CSOのジョージ・フィニー氏から得た5つのゼロトラストのポイント
ゼロトラストセグメンテーション

高等教育CSOのジョージ・フィニー氏から得た5つのゼロトラストのポイント

高等教育CSOのサイバーセキュリティの課題は独特です。SMUのCSOであるジョージ・フィニーが、大学環境におけるゼロトラストセグメンテーションの実装について語ります。

Read more

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more