複数のクラウドプロバイダーをまたがり一貫して機能するマイクロセグメンテーションアプローチを選択することが重要です。合併・買収を経てクラウド環境が混在している場合、組織はセキュリティをクラウド・インフラ・プロバイダーから分離することでベンダーの囲い込みを防ぎ、コスト上昇と無用な複雑さを排除できます。
マイクロセグメンテーションの説明
マイクロセグメンテーションとは、セキュリティにおける新たなベストプラクティスです。ネットワークセグメンテーションやアプリケーションセグメンテーションなど、すでに確立されたアプローチを上回るメリットがいくつもあります。従来の手法が深く依存しているネットワークベースの制御は、洗練度が低く、管理が煩雑になりがちです。しかし、マイクロセグメンテーションでは、ソフトウェアベースのセグメンテーション要素により、セキュリティ制御を基盤インフラから切り離すことができ、保護と可視性をあらゆる要素に柔軟に拡張できます。
マイクロセグメンテーションによる緻密な制御は、クラウドサービスや新たな展開オプション(従来の境界セキュリティが通用しないコンテナなど)の普及が進む中、必要不可欠なメリットと言えます。
インフラの可視化は、強固な マイクロセグメンテーション戦略を策定するうえで欠かせません。可視化を適切に導入することで、IT チームは、環境内の活動が認められたものなのか、そうでないのかを容易に識別し把握できるようになります。
このように可視性を高めることで、IT チームは、認められていない活動の通知とブロックの両方を設定できるマイクロセグメンテーションポリシーを定義して微調整できます。マイクロセグメンテーションポリシーには、環境タイプ、規制の範囲、アプリケーション、インフラ層に基づく制御など、さまざまな形態があります。また、マイクロセグメンテーションでは、最小権限という原則をデータセンターやクラウド環境にまで広げて適用することができ、その結果、従来のネットワークレイヤー単独で制御する方法よりも効果的な防御体制を確立できます。
マイクロセグメンテーションは複数クラウドプロバイダーをまたがって導入できるのか?
マイクロセグメンテーションはコスト削減につながるのか?
多くの企業は、セグメンテーション推進プロジェクトのためにファイアウォールにかかるコストを計算すると、ライセンス費用の高さ、タイムラインの長さ、ダウンタイムの必要性に伴って、コストがとんでもない額になるのを目の当たりにしています。しかし、ソフトウェアベースのマイクロセグメンテーションソリューションは、ファイアウォールアプリケーションと追加ハードウェアを購入する場合よりも、はるかに少ない設備投資(CapEx)で迅速に導入できます。さらに、必要な保守管理作業が減るため、少ない労力とリソースで維持することができ、運用コスト(OpEx)も徐々に削減できます。
マイクロセグメンテーションは、多くの組織にとって新たな取り組みです。しかし、今日の動きの激しいデータセンター環境、クラウド環境、ハイブリッドクラウド環境は変化のペースが速く、そのペースに合わせてセキュリティポリシーとコンプライアンスの維持を迫られている IT チームにとって、ますます重要なツールになっています。
アプリケーションセグメンテーションとは?
クラウドの普及が進み、アプリケーションの展開および更新ペースが加速する中、多くのセキュリティチームはアプリケーションセグメンテーションを重視するようになっています。アプリケーションセグメンテーションには複数のアプローチがあります。セキュリティチームは、従来のアプリケーションセグメンテーションの手法とマイクロセグメンテーションなどの新たなアプローチを比較した場合、混乱するかもしれません。
アプリケーションセグメンテーションには、往々として、アプリケーション内セグメンテーションと、アプリケーションクラスターの他の IT インフラからの分離が入り混じっているのです。いずれの手法にも、異なるセキュリティ効果があります。従来のアプリケーションセグメンテーションのアプローチは主にレイヤー 4 の制御に依存していますが、環境とアプリケーション展開プロセスが動的になるにつれ、効果が薄れ、管理が困難になっていきます。
マイクロセグメンテーションテクノロジーにより、セキュリティチームは環境を詳細に可視化して、より緻密にポリシー制御を設定できるため、より効果的なアプリケーションセグメンテーションが実現します。最も効果的なマイクロセグメンテーションテクノロジーは、レイヤー 7 まで拡張するアプリケーション中心のアプローチとなります。個々のプロセスレベルで可視化して制御することで、アプリケーションセグメンテーションの効果が高まり、管理しやすくなります。認可された活動は、IP アドレスのスプーフィングや許可されたポートを使用した攻撃の影響を受けることがない、その活動に高度に特化したポリシーで制御することができます。
ハイブリッドクラウド環境と変化の激しい DevOps プロセスが常態化したことで、アプリケーションセグメンテーションはかつてないほど重要になり、高度化が進んでいます。アプリケーション中心のマイクロセグメンテーションを使用してアプリケーションセグメンテーションを推進することで、環境とその環境で稼動するアプリケーションの急速な変化に合わせてセキュリティの可視性を確保し、ポリシーを管理できるようになります。
ネットワークポリシーはマイクロセグメンテーションとどのように連携するか?
ネットワークポリシー適用ルールは、アクセスと通信を制御するために IT 環境全体に適用する一連のルールです。実稼動環境と開発環境を互いに分離して人的ミスを回避できるため、非常にシンプルです。具体性の高いポリシー適用ルールは、コンプライアンスのニーズを満たすうえで役に立ちます。たとえば、CDE を分離することで、それ以外のネットワーク要素を PCI DSS コンプライアンスの対象から外すことができます。
従来のデータセンター・ポリシー・エンジンは、柔軟性に欠ける厳格なオール・オア・ナッシングのアプローチや、例外を設けないグローバル拒否リストを多用してきました。ワークロードがますます動的になり、より多くのビジネスがハイブリッドクラウドに移行する中、柔軟なポリシーエンジンが必須となっています。このポリシーエンジンでは、自動拡張、ワークロードに合わせたポリシー、プラットフォームに依存しないポリシー作成が可能になります。
ポリシー作成プロセスは、ビジネスとセキュリティの双方の目的を確実に把握することから始めます。マイクロセグメンテーションポリシーの最適なバランス点を見出す必要があります。強すぎると、柔軟性に欠けた環境となり、スタッフが自由かつ自律的に仕事をすることが難しくなります。弱すぎると、アタックサーフェスが危険なほど大きいまま放置されることになります。
IT 環境をリアルタイムで完全に表現したマップを利用できるようにすることで、セグメンテーションポリシーの設定内容と適用対象に関する知見を得ることができます。ポリシーを従来のレイヤー 4 を超えてレイヤー 7 まで適用できるソリューションを選択することで、セキュリティ効果がさらに高まります。境界を突破されたとしても、適切なポリシーを導入しておけば、攻撃者をブロックしたり、迂回させることができ、ネットワーク内のラテラルムーブメント(横方向の移動)を阻止できます。
マイクロセグメンテーションとアプリケーションディスカバリー - 状況に応じて正しく対処する
アプリケーションを配信するインフラと手法は大きな転換期を迎えており、IT チームとサイバーセキュリティチームは、すべてのアプリケーションアクティビティを特定の時点でどうなっていたのか、履歴上どうなっていたのかを把握することがかつてないほど困難になっています。最高のセキュリティ保護、コンプライアンス体制、アプリケーション・パフォーマンス・レベルを達成するためには、組織の環境とアプリケーション配信テクノロジーのすべてを網羅するアプリケーション配信プロセスが不可欠です。
効果的なアプリケーション・ディスカバリー・プロセスには、4 つの基本要素があります。
1 つ目はデータ収集です。さまざまなエージェントおよびネットワークベースの手法を駆使して、オンプレミスとクラウド環境をまたがってアプリケーションがどのように稼動していたのかの詳細な情報を収集します。どちらも価値ある情報をもたらしますが、エージェントベースは特に重要です。より充実したレイヤー 7 の詳細を収集できるからです。
生データ自体にはコンテキストがなく、価値は限られています。そのため、アプリケーションディスカバリーの 2 つ目の要素は、組織化とラベリングになります。Akamai Guardicore Segmentation のようなソリューションで、このプロセスを合理化できます。それは、既存のデータソースとの調整役として機能し、他の自動化手法を利用できるようになるからです。
効果的なアプリケーションディスカバリーのための 3 つ目のステップは、視覚化です。視覚化により、コンテキストを含むデータをまとめて、セキュリティチームや他のアプリケーション関係者にとってわかりやすい柔軟な視覚インターフェースを構築できます。アプリケーションアクティビティのリアルタイムビューと履歴ビューは、それぞれ固有の目的があります。この両タイプのデータをサポートする視覚化アプローチを導入することが重要です。
アプリケーション・ディスカバリー・アプローチの最後の 4 つ目の要素は、アプリケーションの可視性を高めることで得られた知見に基づいて、明確かつ直感的に行動する手法です。これは、アプリケーションディスカバリーとマイクロセグメンテーションが戦略的に交わるポイントになります。
マイクロセグメンテーションのメリットとは?
IT インフラの動きが激しくなり、 クラウドインフラ やコンテナなどの新たな展開アプローチが主流になる中、従来の境界セキュリティの価値が大幅に低下しています。IT チームに対して、異種混在のデータセンターやクラウドアセット内のラテラルムーブメントを検知・防御する能力の強化を求める声が高まっています。マイクロセグメンテーションとレイヤー 7 によるきめの細かい制御は、この課題に直面している組織にいくつかの重要なメリットをもたらします。
マイクロセグメンテーションを導入することで、さまざまな展開モデルが混在し、変化のペースも速い環境でもアタックサーフェスを大幅に縮小できます。DevOps スタイルのアプリケーション開発および展開プロセスが頻繁に変更される状況で、マイクロセグメンテーションプラットフォームは継続的な可視性を提供し、アプリケーションの追加や更新に応じてセキュリティポリシーを設定することができます。
事前対策を講じてアタックサーフェスを縮小しても、データ侵害が発生する可能性をゼロにはできません。しかし、マイクロセグメンテーションを導入すれば、データ侵害を速やかに検知して阻止する能力を大幅に高めることができます。たとえば、ポリシー違反を検知したときにリアルタイムのアラートを生成し、侵害されたアセットを起点とするラテラルムーブメントの試みを積極的にブロックします。
もう 1 つの重要なマイクロセグメンテーションのメリットは、組織がクラウドサービスの使用範囲を拡大している状況でも、規制コンプライアンス体制の強化をサポートできることです。規制対象のデータを含むインフラのセグメントを隔離すれば、規制に沿った使用を徹底させ、監査を大幅に簡素化できます。
マイクロセグメンテーションのアプローチを、組織のより広い範囲のインフラ(オーケストレーションツールなど)と統合することで、マイクロセグメンテーションのメリットを最大限に発揮できます。さらに、物理的なサーバー、仮想マシン、複数のクラウドプロバイダーのいずれでも、最大限の効果と柔軟性を発揮できるマイクロセグメンテーションアプローチを選択することも重要です。
ブログ記事を読む: ネットワークセグメンテーションの 5 つのメリット
ラテラルムーブメントに対するセキュリティ対策
IT セキュリティチームは境界保護にこだわる傾向がありますが、水平方向のトラフィックは、ボリューム面でも戦略的な重要性においても、垂直方向のトラフィックを大きく凌駕します。この傾向は、データセンターの拡張アプローチの変化、新たなビッグデータ分析ニーズ、定義があいまいな境界でのクラウドサービスの使用拡大などが要因となっています。IT セキュリティチームは、こうした環境でラテラルムーブメントを阻止する能力を育てる必要があり、その重要度はかつてないほど高まっています。
ラテラルムーブメントとは、攻撃者がアクセスレベルの拡大を意図して、信頼できる環境で足がかりを確保し、他の信頼できるアセットへと移動して、最終的なターゲットに向かって近づくという一連の手順を表します。この攻撃は、環境内を大量に流れる水平方向の正規トラフィックに紛れ込むため、検知するのが困難です。
他にも、組織がラテラルムーブメントのセキュリティを強化するために導入できる高度な手法がいくつかあります。たとえば、Akamai のソリューションは、現在と過去の水平方向の全トラフィックを可視化できます。この知見を使用することで、IT チームはラテラルムーブメントを阻止する事前対策型のポリシーを作成できます。
アタックサーフェスを縮小する
従来のオンプレミスのデータセンターからクラウドへと移行が進み、マルチクラウドやハイブリッドクラウドのモデルが多くのビジネスメリットをもたらしています。その一方で、セキュリティチームが防御すべきアタックサーフェスも大幅に拡大しています。この課題は、インフラの変化のペースが加速し、多くの組織がより動的なアプリケーション展開モデルを導入することで、さらに悪化しています。
システム強化、脆弱性管理、アクセス制御、ネットワークセグメンテーションなど、アタックサーフェスを縮小する多くの既存の手法は、 クラウドプラットフォーム が普及する中、依然として有効ですが、アタックサーフェスの縮小を目指すセキュリティチームは、データセンターからクラウドまで一貫して適用できる高い可視性と緻密なポリシー管理を効果的に利用できます。
アタックサーフェスを詳細に可視化することで、そのサイズを縮小する戦略をより実践的に練ることができます。すべてのアプリケーションとその依存関係を、それらをサポートする基盤インフラとともに視覚的に詳しく表現することで、セキュリティチームは、それらが攻撃にさらされるレベルを容易に評価し、侵害の兆候を見出すことができます。
さらに、こうした知見を活用して、アプリケーションアクティビティをプロセスレベルで管理するマイクロセグメンテーションポリシーを策定できます。こうした緻密な管理により、アプリケーションのロジックに合わせてセキュリティポリシーを策定することができ、認められたアプリケーションアクティビティのみを確実に実行できるゼロトラスト・セキュリティ環境を実現できます。
ハイブリッドクラウド・モデルに移行する際に、組織はこの変化によってアタックサーフェスがどれほど拡大するか見落としがちです。新しい物理環境、プラットフォーム、アプリケーション展開モデルは、多くの潜在的なリスク領域を生み出します。ハイブリッドクラウド環境でアタックサーフェスを効果的に縮小するために、マイクロセグメンテーションソリューションは、分散したデータセンター環境やクラウド環境とともに、混在したオペレーティングシステムや展開モデル全体で一貫してポリシーを適用する必要があります。
重要なアプリケーションのセキュリティを確保する
今日の情報セキュリティチームは 2 つの大きなトレンドに直面しており、その結果、重要なアプリケーションのセキュリティ確保がかつてないほど困難になっています。1 つ目は、IT インフラが急速かつ継続的に進化していることです。2 つ目は、攻撃者がより標的型へと進化し、その手口が次第に巧妙になっていることです。
健全なマイクロセグメンテーションアプローチの導入は、セキュリティチームにとって最善策の 1 つです。以下のようなマイクロセグメンテーションの効果により、インフラの可視性が高まり、重要なアプリケーションのセキュリティを確保できます。
セキュリティポリシーとアプリケーションロジックを一致させて、プロセスレベルできめ細かく制御できる
データセンターからクラウドまで、セキュリティポリシーを一貫して導入できる
基盤プラットフォームの差異にかかわらず、一貫したセキュリティを確保できる
このパワーと柔軟性は、ドメインコントローラー、特権アクセス管理システム、ジャンプサーバーなど、価値の高い標的を守る最善策を模索しているあらゆる組織に役立ちます。さらに、クラウド・セキュリティ・サービスやコンテナなどの新しいアプリケーション展開アプローチを導入している組織にとっても貴重です。
マイクロセグメンテーションは、保護医療情報(PHI)を保持するヘルスケアアプリケーション、PCI DSS や他の規制を対象とした金融サービスアプリケーション、クライアントの機密情報を扱う法務アプリケーションなど、各業界(バーティカル)固有の主要なアプリケーションのセキュリティを確保するうえでも重要な役割を果たします。マイクロセグメンテーションがもたらす緻密なポリシーにより、機密データや規制データが複数の環境やプラットフォームにまたがる場合でも、その周囲にセキュリティ境界を容易に構築できます。マイクロセグメンテーションによって強化される可視性も、規制監査プロセスで非常に高い価値を発揮します。
IT インフラの進化はセキュリティチームに新たな課題を突き付けますが、セキュリティの可視性とポリシー制御を基盤インフラから切り離すことで、変化の速い異種混在の環境で重要なアプリケーションのセキュリティを効果的に確保できます。
マイクロセグメンテーションの最善の手法とは?
マイクロセグメンテーションは、急速に進化するデータセンター、クラウド、ハイブリッドクラウド IT インフラのセキュリティ確保を進める組織にとって不可欠な機能です。しかし、マイクロセグメンテーション特有のパワーと柔軟性が、いざ始めようとしたときに、どの組み合わせが最善なのか決めづらくしているという側面もあります。よく使用されるマイクロセグメンテーション手法を事前に把握することで、その組織固有のセキュリティ要件やコンプライアンス要件に合わせて段階的なアプローチを構築できます。
多くの組織にとって、VLAN や他のネットワークセグメンテーション形態は馴染み深いものです。ネットワークセグメンテーションはセキュリティ効果をもたらしますが、マイクロセグメンテーションでは、さらに緻密な制御が可能になります。また、展開もはるかに効率的で、大規模な管理も可能です。マイクロセグメンテーションは、VLAN よりも実践的な上に、データセンターの枠を超えてクラウドインフラに導入することもできます。
マイクロセグメンテーションポリシー策定の第一歩としては、環境内のアプリケーションとサービスのうち、アクセスするリソースの数が多いものを特定することがお勧めです。たとえば、ログ管理システム、監視ツール、ドメインコントローラーなどです。こうしたシステムは幅広いアクセスが許可されますが、マイクロセグメンテーションポリシーでは、そうしたアクセスの利用を認可できるかどうかという目的に限定できます。
マイクロセグメンテーションアプローチの構築には、他にも以下のような多くの手法があります。
環境別のマイクロセグメンテーション
規制境界の確立
アプリケーションタイプ別のマイクロセグメンテーション
階層別のマイクロセグメンテーション
マイクロセグメンテーションに着手する際は、各組織のセキュリティやポリシーの対象物に最適な手法を明らかにし、重点分野のポリシーからスタートすることをお勧めします。その後は、マイクロセグメンテーション手法を段階的に追加していきます。
ブログ記事を読む: マイクロセグメンテーションを正しく行う方法
マイクロセグメンテーションに着手するためには
マイクロセグメンテーションは、明らかにネットワーク保護の進むべき道です。効果が薄れている境界保護に対する打開策であり、コストや人的資源を効果的に活用するためのテコ入れでもあります。しかし、マイクロセグメンテーションを確実に導入するためには、綿密な計画が必要です。最初からすべてを順調に進めるには、慎重に細部まで考慮する必要があります。
マイクロセグメンテーションを確実に展開する基盤を構築する際は、熟考すべきことがいくつかあります。
まず、セグメンテーションが必要な要素を明らかにします。マイクロセグメンテーションの展開には組織のニーズを反映させます。セグメンテーションの目的が一般的なリスク軽減なのか、コンプライアンス確保なのかを見極める必要があります。次に、アセットを保護するマイクロセグメンテーションの基盤を確立したら、短期的な目標に取り組み、長期的な目標に移行します。
これが完了したら、環境の全体像を構築します。ただし、初期段階の全体像はまだ不完全です。つながりに対する理解が深まるにつれて、その情報を追加していきます。アセットの適切なラベリングも重要です。また、ラベリングプロセスの柔軟性も鍵になります。ラベルには環境をできるだけ反映する必要があります。最後に、情報源を明らかにし、そこから情報を抽出する方法を計画します。
こうした手順を踏まえることで、強固かつ充実した形でマイクロセグメンテーションを展開でき、成功へと導くことができます。
マイクロセグメンテーションのセキュリティのベストプラクティスとは?
ハイブリッドクラウド・データセンター、SaaS、IaaS、仮想化への動きが高まるにつれて、IT インフラが複雑になり、セキュリティの確保が難しくなっています。マイクロセグメンテーションは、こうした変化が多い環境で活動するビジネスが実践するセキュリティ対策のベストプラクティスとなっています。このテクノロジーがもたらす価値は、ゾーンセグメンテーションから、アプリケーションの隔離やサービス制限まで、多岐にわたります。
ここで考慮すべき重要な点は、ネットワーク中心のアプローチを選択するべきか、あるいはアプリケーション中心のアプローチを選択するべきかということです。ネットワーク中心のアプローチでは、ネットワークの渋滞ポイント、サードパーティのコントロール、ネットワークエンフォースメントという単位でトラフィックを管理するのに対し、アプリケーション中心のアプローチでは、ワークロード自体にエージェントを展開します。後者のアプローチは、可視性の向上や拡張機会の拡大などのメリットをもたらし、全体としてインフラに依存しないテクノロジーと言えます。将来に備えて適切な選択をすることで、レガシーシステム、ベアメタルサーバー、仮想環境から、コンテナやパブリッククラウドまで、あらゆる環境に対応できます。
アプリケーション中心のモデルで卓越した可視性を得ることで、アプリケーションのオーバーセグメンテーションというマイクロセグメンテーションで陥りやすい失敗を回避できます。いわゆる「早い段階での成功」から始めることが、ベストプラクティスと言えるでしょう。明確なビジネスニーズを中心に据えて、シンプルなセグメンテーションポリシーを導入し、短期間で価値を形にします。実稼動環境や開発環境のような環境を分離したり、重要なデータやアプリケーションのセキュリティを確保することでコンプライアンス規制を満たしたりするなど、できるだけシンプルな内容がお勧めです。
最後に、ベストプラクティスでは、マイクロセグメンテーション単独ではなく、その外側にも目を向けて、補完的な制御としてセキュリティ体制全体を強化できるように配慮します。侵害検知やインシデント対応は、マイクロセグメンテーションとシームレスに連携する事例であり、いずれもオールインワンパッケージでパワフルに活用できます。こうした連携がない場合は、ギャップが生じたり、リスクが高まったりすることなく、サードパーティソリューションをうまく協調させようと試行錯誤するしかなくなりますが、これは、まさに無理な注文であり、必要のない面倒な管理作業を強いられることになります。
こうしたマイクロセグメンテーションのベストプラクティスを最初に検討することで、このゲームチェンジャーとなるテクノロジーの導入負荷を軽減することができ、ありがちな障害を最初から確実に避けることができます。
マイクロセグメンテーションはファイアウォールの代替として機能するか?
垂直方向のトラフィックを想定して設計された従来の境界ファイアウォールは、今日のアプリケーションや動的なワークロードの保護に必要なだけの制御やパフォーマンスを発揮できません。組織はファイアウォールを境界内で技術的に使用することで、階層型のセキュリティモデルを導入できます。しかし、必要なポリシーの設定と管理にかかるコストと時間を考えると、ほとんどのビジネスとって現実離れしていると言わざるを得ません。そのため、今日のエンタープライズは、水平方向の膨大な量のネットワークトラフィックをサイバー攻撃から保護する、より優れた手法を必要としています。
比較的フラットなネットワークでは、任意のポートやサーバーの相互通信が許可されます。つまり、サーバーのファイアウォールが侵害されると、攻撃者はネットワーク内のあらゆるポートやサーバーに容易に移動できます。
データセンター内のラテラルムーブメントを防ぐことは、境界セキュリティ対策をくぐり抜けた攻撃者に対する強力な防衛策になります。マイクロセグメンテーションによる代替ファイアウォールは、より緻密なポリシー制御を適用して横方向のアクティビティを制御し、データ侵害が成功したとしてもその影響を制限できます。
セグメンテーションポリシーをアプリケーションレイヤー(レイヤー 7)に適用することで、ラテラルムーブメントを効果的に阻止できます。これは、レイヤー 7 では、ネットワークサービスがオペレーティングシステムとまとめて扱われるからです。このレベルにおけるマイクロセグメンテーションの最新機能により、IT セキュリティは、従来のレイヤー 4 アプローチを使用しながら、レイヤー 7 での制御アクティビティを視覚化できます。つまり、組織は IP アドレスとポートに頼ることなく、特定のプロセスを使用して、データセンター内に適用するセグメンテーションポリシーを定義できます。さらに、プロセス、ユーザー ID、完全修飾ドメイン名などの属性をベースとしてポリシーを定義することで、管理者は具体的なセキュリティおよびコンプライアンス要件を満たすことができます。
マイクロセグメンテーションでは、従来の手法を上回る複数のメリットが得られるため、データセンター向けの内部セグメンテーションファイアウォールとして最適です。インフラに渋滞ポイントを作ることなく、各システムでエージェントが稼動します。相互に組織的に動くことができるため、ソフトウェア定義のセグメンテーションポリシーを作成し適用することができます。したがって、現状の基盤インフラが何か、今後の IT 戦略のどうなるかに関係なく、可視化ポイントを多く設けることができ、そのポイントで環境内のアクティビティを検出し、コンテキスト化できるようになります。さらに、インフラの変更やダウンタイムなしでポリシーを作成し、管理することもできます。作業がすばやく容易になるだけでなく、IT セキュリティチームは、どこにでも拡張できる単一の制御セットを確保できます。申請が マイクロセグメンテーション (https://www.akamai.com/ja/our-thinking/microsegmentation へのリンク)による代替ファイアウォールがあれば、ワークロードをデータセンターからクラウドに移行する際もポリシーが自動的に引き継がれます。
マイクロセグメンテーションはゼロトラスト戦略とどのように適合するか?
Forrester が最初に導入したゼロトラストは、従来の「城と堀」によるセキュリティ戦略に取って代わるソリューションです。かつては主流だった、この境界重視の防御手法は、今やその効果が薄れています。脅威は次第に水平方向のトラフィックに潜伏するようになり、エンタープライズは強力なセキュリティ体制を確保するために、新たな階層型のセキュリティアプローチを必要としています。
次に ゼロトラスト・フレームワークは、ネットワークの内外のどちらから攻撃された場合も、あらゆるユーザー、デバイス、システム、接続が初めから侵害されていると想定します。つまり、この原則を基準とするアーキテクチャを構築し、通常の業務活動はそのまま中断や遅延なく継続することができます。この新しいフレームワークは、当初からネットワークセキュリティの専門家の間で反響を呼びました。しかし、インフラの複雑化を招くことなく、このフレームワークを環境で実現する方法を見出すには、ベンダーもエンタープライズも数年を要しています。
現在、Forrester のゼロトラスト・フレームワークとそれを支えるマイクロセグメンテーションなどのテクノロジーは成熟度を上げ、組織の規模を問わず、大々的に導入することが現実的になってきています。Forrester のゼロトラスト・フレームワークのすべての要件を満たす単一のセキュリティベンダーは存在しませんが、マイクロセグメンテーションは、ネットワーク・セキュリティ・チームがゼロトラスト・イニシアチブの成熟度を飛躍的に高めるのに役立ちます。
ゼロトラストを実現する第一歩は、保護対象となる環境と重要なアセットを完全に把握することです。優れたマイクロセグメンテーションソリューションには、ワークロード、エンドポイント、ネットワークから詳細な情報を収集する機能があります。情報を収集することで、平時の通信パターンとともに、ワークロードとエンドポイント間の関係と依存を把握できます。
このデータを使用して、最も優先度の高いアセットをベースにゼロトラスト・プログラムの基礎を構築します。緻密なセグメンテーション制御を使用して、特定のアプリケーションや環境の周囲に、チームが明確に承認したアクティビティのみを許可するマイクロ境界を構築できます。ゼロトラストでは、明確に許可および検証されていないすべてのアクションを拒否するポリシーを導入することが主眼となります。しかし、ソフトウェア定義のマイクロセグメンテーションは、新たなセキュリティ・ユースケースや変化するビジネス要件に合わせてポリシーをすばやく変更できる能力を IT セキュリティチームにもたらします。
マイクロセグメンテーションソリューションは、ゼロトラストの可視性とポリシー基盤としての役割だけでなく、環境を継続的に監視し、潜在的な脅威やゼロトラストポリシーの違反を検知できなくてはなりません。これができれば、アプリケーション、システム、環境が次第に変化しても、ゼロトラスト体制を強固に保つことができます。
マイクロセグメンテーションは規制コンプライアンスに貢献するか?
規制コンプライアンスの確保という点で見ると、組織はますます変化していく今日のビジネス環境に苦戦しています。規制自体の厳格化が進んだことで、セキュリティ監査が一般化し、コンプライアンスに違反した場合の代償も大きくなっています。具体的には、罰金、ビジネスの信頼関係への影響、収益の損失などがあり、こうした代償はコンプライアンス体制を確立するまで解消されません。
IT インフラの物理的な隔離だけではもはや不十分です。ワークロードは動的になり、自動拡張や予測できない変化を許可する階層など、CDE も静止状態ではありません。PCI DSS 規制の対象となるネットワークとアプリケーションは複雑です。コンテナや VM などのハイブリッド環境から、複数の物理的な場所やタイムゾーンにまたがる作業まで、何台ものマシンがその対象に入ります。
マイクロセグメンテーションは、PCI DSS などのコンプライアンス規制を満たすための一般的な選択肢になりつつあります。適切なソリューションは、ハイブリッド環境を含むインフラ全体のトラフィックやデータフローをきわめて鮮明に可視化します。その後、ネットワークをセグメント化し、管理対象を減らして、プロセスレベルで通信を制限できます。その結果、CDE は確実に保護され、侵害が発生してもラテラルムーブメントやピボットを阻止できます。ルールを作成するための柔軟なポリシーエンジンにより、マイクロセグメンテーションアプローチを確実に制御して、安全でないプロトコルに対する権限や挙動など、より深いレベルの要件を満たすことができます。
PCI コンプライアンス等についても、マイクロセグメンテーションはすべてのアプリケーションやワークロードをプロセスレベルでパワフルに可視化し、柔軟なポリシーを作成できます。こうした柔軟なポリシーがあれば、ドリルダウンしてコンプライアンス規制を満たすことができ、セキュリティ体制全体に適用して管理し、あらゆる監査に備えることができます。
Akamai が選ばれる理由
Akamai はオンラインライフの力となり、守っています。世界中のトップ企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、いつでもどこでも、世界中の人々の人生をより豊かにしています。 Akamai Connected Cloudは、大規模な分散型エッジおよび クラウドプラットフォームです。ユーザーに近いロケーションからアプリや体験を提供し、ユーザーから脅威を遠ざけます。