Micro-segmentationって何だ?

私がMicro-segmentationという言葉を耳にするようになったのは、VMware社がNicira社の買収を発表した頃でしょうか。

日本語に訳すと細かく分割することかと思いますが、一体何のことでで何故必要なんでしたっけ?

先ずこれまでのSegmentationと問題について整理してみます。これまではVLANと呼ばれる仮想ネットワーク分割のテクノロジーを使っていました。

どのApplicationがどの論理ネットワークに所属するかは人が決めて、運用フェーズに入った後も人が論理ネットワークを管理していました。

このやり方はLayer4と呼ばれる階層で制御するため、Layer4レベルで許可された管理者やSoftwareは同じ論理ネットワーク内に存在するApplicationにアクセスできます。

でも、人やSoftwareが悪意を持っていたらどうなるのでしょうか。人は間違いを犯す生き物ですので、魔が差して悪事を働くかもしれません。

気密性の高いデータを持つApplicationに不正にアクセスして、そのデータをダークウェブで高値で売ろうとする不届き者も現れるかもしれません。

Softwareも善意のあるSoftwareとは限りません。感染症が拡大して企業のデジタルシフトが加速すると同時に、デジタルの世界はMalware(悪意のあるSoftware)だらけになりました。

あるApplicationがMalwareに感染、Malwareが論理ネットワーク内の気密性の高いデータを取り扱うApplicationに不正にアクセスしてデータを破壊、"データを元に戻して欲しかったらxx円(大抵が数奥超え)払え"　といった事件は枚挙にいとまがありません。

Applicationのクラウド化も背景にあるかと思います。

従来型のVLANに手法は物理的な基盤に人手で設定・適用・管理していましたが、Applicationが企業内の専用データセンターだけで稼働しているのであればこれでも何とかなるかもしれません。

しかしながら現代は企業内のApplicationやデータはクラウド上にもあります。各クラウド毎に同じ設定・適用・管理を行っていたら、専門性の高いエンジニアが何人いても追いつきません。人件費もしかり。

Applicationのリリース頻度も見逃せません。

従来まではSofware開発開始から実際に世にリリースされるまでに設計・実装・テスト・パッケージングといった様々な工程があり、開発開始からリリースまでに数ヶ月から数年を要するケースはざらでした。

一度リリースした後に新しい機能をリリースするのも数ヶ月に1度とかもが普通でした。

現代は新しい機能を1日に何度もリリースするのが当たり前です。Applicationに求められる通信やセキュリティの要件は日々変わります。

静的に設定した通信やセキュリティ機能では日々変わるApplicationの属性にミートしませんね。

私はMicro-segmentationとは、Applicationやデータそのものが持つ価値に応じて動的かつ細かい粒度で論理分割することかと理解しています。

Zero Trustで人とデータセンター(クラウドを含む)の通信を、Micro-segmentationでデータセンター内の通信を守るが理想なのかな。