マイクロセグメンテーション:ゼロトラストセキュリティへの第一歩【日本語翻訳】
世界中の企業はデジタル化が進み、ワークロード、アプリケーション、データがクラウドに移行しています。
リモートユーザーやグローバルなビジネスパートナーが企業のアプリケーションとデータにアクセスする必要があり、これによりセキュリティチームが境界を定義することが難しくなっています。
近年、企業は境界型防御のソリューションに多額の投資をしてきました。その仮定は、脅威は常にネットワークの外にあり、城壁が強固であればあるほど侵入が難しいとされていました。
しかし、デジタル、リモート、グローバルアクセスへのシフトにより、企業は通常の境界コントロールと従来のセキュリティモデルのセキュリティだけでは不十分です。
最近の侵害と情報漏洩の増加が、その証拠です。
Yahoo、Equifax、Targetなど、サイバー攻撃の被害に遭った主要企業はすべて何らかのセキュリティコントロールを導入していました。
しかし、侵害はそれにもかかわらず発生し、既存のほとんどのコントロールはランサムウェア、マルウェア、フィッシング、または巧妙な横展開の脅威に対して不十分であるため、今後も侵害は続くでしょう。
洗練された脅威に対抗するためのゼロトラスト
セキュリティの脆弱性に対する一般的な対策は、異なるネットワークレイヤーにさらに多くの製品を投入することでした。
しかし、この従来の応急処置のアプローチでは不十分です。
複数の製品の導入は盲点を生み出し、アタックサーフェスを拡大させます。
最新の洗練された脅威に対抗するには、セキュリティアプローチにおいてパラダイムシフトが必要です。
ゼロトラストは、組織がアプリケーションとデータへのアクセスを許可する前に、境界内外のすべてのユーザーとデバイスを認証および承認するセキュリティフレームワークです。
このマイクロレベルの境界コントロールは、ネットワーク内のすべてを「信頼する」既存のセキュリティモデルとは対照的です。
ゼロトラストフレームワークは、最小権限アクセスに基づいており、意図的または過失によるラテラルムーブメントを防ぎます。
ゼロトラストは、セキュリティを実現するためにマイクロセグメンテーションを使用するデータ中心のアプローチを採用しています。
このアプローチは、難読化技術を使用してセキュリティを向上させ、攻撃の影響範囲を制限し、迅速なインシデント対応と是正を支援します。
ゼロトラストを実現するために、フレームワークはワークロード、ネットワーク、デバイス、人、およびデータを包括し、統一された可視性と分析レイヤー、マルチクラウドおよびベアメタルサーバー向けに構築されたポリシーオートメーションとオーケストレーションが必要です。
なぜマイクロセグメンテーションがゼロトラストセキュリティの第一歩なのか
マイクロセグメンテーションは、ネットワークセグメントを論理的に作成し、セグメント内およびセグメント間のトラフィックを完全に制御する方法です。
これにより、データセンターやマルチクラウド環境でのワークロードを細かいポリシーコントロールで制御し、データセンター内での横方向の脅威の拡散を制限する能力を提供します。
ネットワークセグメンテーションの概念は新しいものではなく、従来はネットワークファイアウォールやVLAN ACLを導入して固定IPとサブネットでセグメンテーションを実行しました。
しかし、このアプローチには課題と制限があり、クラウドワークロードをセグメント化および保護することができませんでした。
幸いなことに、ソフトウェア定義型のマイクロセグメンテーションの登場により、ホストレベルでの細かいセグメンテーションが実現しました。
ソフトウェア定義型のフレームワークでは、ハイブリッドマルチクラウド環境でのワークロードのセグメンテーションも可能にし、セキュリティチームがネットワーク全体で一貫したセキュリティ体制を維持できるようにします。
この粒度の細かいホストレベルでセキュリティポリシーを定義できる前例のない機能により、企業はクラウド内のワークロード/アプリケーションがデータセンター内にあるのか、クラウド内にあるのかに関わらず、セキュリティインフラストラクチャ内にでゼロトラストセキュリティを実装することが可能になります。
ゼロトラストアーキテクチャを使用してセキュアなアクセスを実現
ゼロトラストアプローチの主要な原則の1つは、信頼せず、常に最初に検証することです。
ホストレベルのマイクロセグメンテーションにより、セキュリティチームは環境を分離し、分散しているワークロードやアプリケーションをセグメント化できます。
一度セグメント化されると、ゼロトラストアプローチに基づいて細かいセキュリティポリシーを適用できます。
適切なマイクロセグメンテーションソリューションを使用すると、ユーザーグループ、アクセスグループ、ネットワークグループなどの現実世界の構成要素に基づいて高レベルなポリシーを定義し、複数のアプリケーションに適用できます。
従来のセグメンテーションではほぼ不可能だった、動的なVM環境でも一貫したポリシーを適用できます。
ソフトウェア定義のマイクロセグメンテーションを使用すると、アプリケーションは不明瞭になり、認証されたユーザーのみがアクセスできます。
ポリシーパラメータで確認できない接続はすべてブロックされるため、横方向の動きや不正アクセスを確実に防止できるだけでなく、調査と改善のためのフラグが即座に立てられます。
これにより、アプリケーションの周囲にゼロトラストセキュリティのマイクロ境界が構築され、アタックサーフェスを最小限に抑えられます。
あなたのビジネスのためのマイクロセグメンテーション
日々変化するITの環境では、従来のセキュリティソリューションがネットワークをサイバー脅威から保護するのがますます難しくなっています。
ビジネスでデジタルトランスフォーメーションとクラウド導入が進む中、セキュリティは主要な関心事となり、特に厳格な規制と世界中で導入されているコンプライアンス要件が施行されるようになっています。
ソフトウェア定義のマイクロセグメンテーションは、既存のインフラ内でゼロトラストの実現を可能にし、将来のビジネスの動向に対応するために精緻で一貫性があり、かつスケーラブルなセキュリティを実現することができます。
■公式サイト(日本語)
https://de-denkosha.co.jp/product/cyber-sec/colortokens/
■公式サイト(英語)
https://colortokens.com/
翻訳元記事
「Micro-Segmentation: The First Step to Zero-Trust Security」
最終更新日:2023/4/13
著者:ColorTokens
#電巧社 #ゼロトラストセキュリティ情報局 #ColorTokens #ゼロトラスト #ゼロトラストセキュリティ #ゼロトラストアーキテクチャ #マイクロセグメンテーション #セキュリティ #サイバーセキュリティ #サイバー攻撃 #企業