これまで企業は、すべてのセキュリティソリューションをネットワーク境界に展開し、境界内にあるものはすべて「信頼できる」と見なす、境界に重点を置いたセキュリティ戦略を一般的に使用していました。 しかし、これにより、組織はこの境界内の脅威に対して脆弱なままになり、ゼロトラストセキュリティモデルの開発につながりました。
ネットワークのセグメント化 は、ゼロトラストセキュリティポリシーの重要な要素であり、企業がサイバーリスクを軽減するのに役立ちます。 ネットワークセグメンテーションは、企業ネットワークをゾーンに分割し、ゾーン間の境界にセキュリティソリューションを導入することで、攻撃者が検出されずに水平移動することをより困難にし、ゼロトラストポリシーを可能にします。必要に応じてのみアクセスを許可します。
ネットワーク セグメンテーションでは、企業ネットワークをゾーンに分割します。 ゾーン間の境界を越えようとするトラフィックは、 次世代ファイアウォール (NGFW)です。 これにより、組織はネットワークの可視性を高め、攻撃者によるラテラルムーブメントの試みを特定してブロックすることができます。
ネットワークセグメンテーションは、組織のセキュリティおよび規制コンプライアンス戦略の重要な要素です。 ネットワーク内のトラフィックを検査する機能がなければ、組織は攻撃者の水平移動をブロックしたり、アクセス制御を効果的に実施したりすることはできません。 多くの規制では、機密データへのアクセスとそれらを処理するシステムを管理することが組織に義務付けられています。 これらのデバイスをネットワークの他の部分からセグメント化することで、組織は保護されたデータへの不正アクセスを検出してブロックできます。
ネットワーク セグメンテーションは、通常、複数のデバイスとそれらがホストするアプリケーションで構成されるゾーンにネットワークを分割します。 マイクロセグメンテーション これをさらに一歩進めて、各デバイスまたは各アプリケーションを独自のセグメント内に配置します。 デバイスまたはアプリケーション間のすべてのトラフィックは、潜在的な悪意のあるコンテンツや、企業のセキュリティまたはアクセス制御ポリシーの違反がないか検査されます。
マイクロセグメンテーションは、ソフトウェア定義ネットワーク(SDN)を使用して実装されます。 SDNのネットワークインフラストラクチャの仮想化により、すべてのトラフィックをNGFWなどの検査ポイント経由でルーティングできます。 このNGFWは、攻撃者による潜在的なラテラルムーブメントを特定し、企業リソースへの不適切なアクセスをブロックできます。
組織がゼロトラストセキュリティポリシーを真に実装するには、マイクロセグメンテーションが不可欠です。 ゼロトラストでは、アプリケーションやデバイスへの不正アクセスをブロックする機能が必要であり、そのトラフィックの発信元に関係なく、そのリソースへのすべてのトラフィックを検査する必要があります。
マイクロセグメンテーションは、アプリケーションの理解とパフォーマンス、およびセキュリティにメリットをもたらします。 マイクロセグメンテーションにより、組織はアプリケーションの使用方法と企業ネットワーク全体のトラフィックフローを詳細に可視化できます。 この可視性は、企業アプリケーションのパフォーマンスを向上させるために使用できます。 たとえば、特定のデータベースからデータを要求するアプリケーションを、これらの要求の待機時間を最小限に抑えるために再配置できます。
マイクロセグメンテーションは、ネットワークセグメンテーションのより詳細な形式であり、 マクロセグメンテーション.マイクロセグメンテーションは、ネットワークを複数の大きなセグメントに分割する代わりに、各アプリケーションまたはデバイスを独自のネットワークセグメントにします。
その結果、マイクロセグメンテーションは、ネットワークセグメンテーションよりもはるかにきめ細かな可視性とセキュリティ制御を提供します。 ネットワーク セグメンテーションでは、特定のネットワーク セグメント内のデバイスまたはアプリケーション間のトラフィックは、検査のために NGFW を通過しません。 一方、マイクロセグメンテーションでは、企業ネットワークを通過するすべてのトラフィックが検査の対象となります。
組織が過去に採用した境界に重点を置いたセキュリティ戦略は、現代のサイバー脅威から保護するには不十分です。 攻撃者はさまざまな方法で企業ネットワークにアクセスでき、いったん内部に入ると、境界ベースのセキュリティ ソリューションからは見えなくなります。
組織がサイバーリスクを効果的に管理したいのであれば、ゼロトラストセキュリティポリシーが不可欠です。 ゼロトラストセキュリティ 企業のリソースやシステムへのアクセスは、ケースバイケースで許可または拒否する必要があることを義務付けています。 従業員またはアプリケーションは、業務に必要なリソースにアクセスできるだけで、それ以上のものは必要ありません。 ネットワーク セグメンテーションは、企業ネットワーク内の可視性とアクセス制御を提供することで、これを可能にします。
マクロセグメンテーションとミクロセグメンテーションはどちらも、組織の サイバーセキュリティ方針.マクロセグメンテーションは、組織のネットワークのさまざまな領域間を移動するトラフィックを高レベルで制御し、マイクロセグメンテーションは、よりきめ細かなネットワークの可視性と次の機能を提供します ゼロトラストを効果的に実施 アクセス制御。
チェック・ポイントのソリューションは、組織のネットワーク全体にマクロセグメンテーションとマイクロセグメンテーションの両方を実装する機能を提供します。 チェック・ポイントのNGFWにより、組織はスループットやパフォーマンスを低下させることなく、ネットワークセグメント間のトラフィックを効果的に検査し、保護することができます。 ネットワークにマクロセグメンテーションを実装する方法を学習するには、 チェック・ポイント NGFWのデモを申し込む.
チェック・ポイントは、組織のプライベート・クラウド・インフラストラクチャのマイクロセグメンテーション・サポートも提供します。 チェック・ポイントのCloudGuard Infrastructure as a Serviceは、クラウドネイティブなセキュリティポリシーの適用と脅威対策機能を提供します。 組織のクラウドデプロイメントを効果的に保護する方法の詳細については、こちらを参照してください セキュアなクラウドブループリント.次に、CloudGuard IaaSの動作を確認します。 今すぐ無料デモを申し込む.