攻撃者の「横移動」を抑え込め!マイクロセグメンテーション
はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております
今回のテーマは、「マイクロセグメンテーション」(Micro Segmentation)です!この仕組みは、「企業のネットワークの内側だって油断しません!」というゼロトラストの考え方を体現するものです。一体どういうものでしょうか?
早速見ていきましょう!
マイクロセグメンテーションとは?
マイクロセグメンテーションの概要を掴むことから始めますか!言葉を見る限り、「なんか細かく分割することなんだろうな…」と想像できますね。
マイクロセグメンテーションは、簡単に言えば、「ネットワーク内のリソースを細かく分割することで、セキュリティを強化しよう」という技術です。
ポイントは、「物理機器でなく、仮想化技術を使ってソフトウェア的に分割」という点です。
仮想化されたサーバ機を一台ずつ異なる区画に分離し、各サーバが他の機器との間に仮想的なファイアウォールを設けることで、サーバ内の仮想マシンが何らかの被害に遭っても、マルウェアの拡散や攻撃者の横展開(ラテラルムーブメント)を防げます。
一方、従来のネットワークセキュリティ対策は、どうだったでしょうか?インターネットとLANの間など異なるネットワークの境界にファイアウォール機器を設置し、ネットワーク単位で攻撃の検知や防御を行っていましたね。
しかし、内部の機器が乗っ取りやウイルス感染の被害に遭うと、内部からの攻撃に対して無防備になるという問題がありました…。
マイクロセグメンテーションは、この問題を解決するために開発されたものです。
よしここまでOK!
マイクロセグメンテーションが注目される背景
マイクロセグメンテーションは、2010年代初頭に仮想化技術が普及し始めた頃から、データセンターのセキュリティ強化に利用されてきました。
他方、近年では、一般企業でも、マイクロセグメンテーションが導入され始めています。それは、やはり「ゼロトラスト」アーキテクチャへの移行が背景にあります。
クラウドへの移行やテレワークの普及により、従来の「境界防御」では足りないという危機感があるのでしょうね。
製品の特徴
マイクロセグメンテーションは、大きく「エージェントを導入する」ものと、「エージェントを導入しないもの」があります。細かく見てみましょう。
1)エージェントベース
エージェントを導入する場合は、マイクロセグメンテーションは、コントローラとエージェントで構成されます。エージェントは、サーバなどにインストールされて使われます。このエージェントがグループを構成して、このグループ単位でポリシーが適用されます。
さらに、このエージェントがホストベースのファイアウォールとして機能する場合と、ホストOSのファイアウォールを利用して機能する場合があります。製品によっていろいろ異なるようです。
代表的な製品には、アカマイ・テクノロジーズの「Akamai Guardicore Segmentation」です(エージェントレスも選べるようですが)。ポリシーの定義や管理を直感的なGUIで、しかもAIも活用して行えるため、さらにテンプレートもあるので管理が容易です。
2)エージェントレス
エージェントを導入しない製品もあります。VMware vDefend Distributed Firewall (以前はVMware NSX Distributed Firewallと呼ばれていた。現在はVMware Cloud Foundationのアドオンとして利用できる)が代表的サービスです。
VMwareの仮想化環境を使っていることが前提ですが、エージェントの配布や管理が要らないのは助かりますね。
はい、本日はここまで。今回は「マイクロセグメンテーション」をご紹介しました。ハードウェアに依存する防御だけでは、柔軟さ迅速さに欠けるし、コスト面も不利ですから、ソフトウェア的な防御の重要性は増していますね!
では!