ネットワーク セグメンテーションの概念はしばらく前から存在しています。 ネットワーク セグメンテーションの最も単純な形式は、組織の内部ネットワークをインターネットの他の部分から分離することです。
この境界を定義することで、組織の機密データをネットワーク内に残すと同時に、潜在的な脅威をネットワーク外に保持するように設計された、境界に重点を置いたセキュリティポリシーを構築できます。 ただし、組織は、ネットワーク内に追加の内部境界を定義することで、セキュリティとアクセス制御を向上させることができます。
ネットワーク セグメンテーションは、いくつかの異なる方法で実行できます。 一般的なアプローチの 1 つは、ファイアウォールのセグメンテーションです。 このアプローチでは、組織は目的のネットワーク境界にファイアウォールを展開し、物理リンクまたは仮想ローカル エリア ネットワーク (VLAN) を介してネットワークを設計し、境界を越えるすべてのトラフィックがそのファイアウォールを介してルーティングされるようにします。
境界を越えるトラフィックに対する完全な可視性と制御をファイアウォールに提供することで、組織はその境界に対してアクセス制御を適用できます。 事前定義されたルールに基づいて、ファイアウォールはさまざまな種類のトラフィックを許可またはブロックできます。 これらのルールは、ネットワーク セグメントへのアクセスを特定のユーザーまたはアプリケーションに制限したり、特定の種類のトラフィックが境界を越えるのをブロックしたりできます。
ソフトウェア定義ネットワーク (SDN) を使用すると、組織はマイクロセグメンテーションを実装することもできます。 マイクロセグメンテーションは、従来のネットワークセグメンテーションのように複数のエンドポイントの規模で作業するのではなく、個々のワークロードを互いに分離することで、セグメンテーションの粒度を高めます。 この追加の粒度により、組織により高いレベルのネットワークの可視性と制御が提供されるため、ネットワーク セグメンテーションの利点が増幅されます。
すべてのトラフィックが企業ネットワークに出入りすることを許可された場合、サイバー攻撃が成功する確率は指数関数的に増加します。 組織の境界ファイアウォールは、外部からの攻撃に対する防御の最前線として機能します。
ただし、組織は内部ネットワークセグメンテーションを実装することで大きなメリットを享受することもできます。 ネットワーク セグメンテーションの主な利点には、次のようなものがあります。
ネットワーク セグメンテーション ポリシーの実装は、 ゼロ トラスト セキュリティ ポリシーに向けた重要なステップです。 ゼロトラストセキュリティは、従業員の職務に基づいてアクセス制御ポリシーを適用する機能に依存しています。 ネットワーク セグメンテーションは、トラフィックを検査し、これらのアクセス制御を適用および適用できる境界を作成します。
チェック・ポイントの次世代ファイアウォール は、ネットワーク セグメンテーションを実装するための理想的なソリューションです。 コンテンツ検査やアクセス制御の実施を提供するだけでなく、セグメント境界を越えようとする悪意のあるトラフィックを特定してブロックするためのさまざまな脅威検出ソリューションも組み込まれています。 チェック・ポイントのソリューションの詳細については、 お問い合わせください。 次に、 デモをリクエスト して、チェック・ポイントのNGFWの機能をご自身でお確かめください。