#1.貴重なデータと資産を特定する
組織内のすべてのデータと資産が同じ価値を持つわけではありません。 顧客データベースなどの一部のシステムは、通常の運用を維持するために不可欠な場合があります。 プリンターのように、便利ではあるが、ビジネスの機能に不可欠ではないものもあります。
資産に重要度と価値のレベルを割り当てることは、ネットワーク セグメンテーションの重要な最初のステップです。 これらのラベルは、後でネットワーク内のさまざまな信頼ゾーンを定義するために使用されます。
#2.各資産への分類ラベルの割り当て
資産の価値に加えて、資産に含まれるデータの機密性を考慮することも重要です。 顧客情報、研究開発データなど、非常に機密性の高いデータを保持する資産は、データ保護規制や企業のセキュリティポリシーに準拠するために追加の保護が必要になる場合があります。
これらのラベルは、データの機密性(つまり、 public から highly restrictedまで) とアセットに含まれるデータのタイプが含まれます。 これは、Payment Card Industry Data Security Standard (PCI DSS) などの該当する規制に準拠したセグメンテーションポリシーを定義するのに役立ちます。
#3.ネットワーク上のデータフローのマッピング
ネットワーク セグメンテーションは、ネットワークを分離されたセグメントに分割することで、ネットワーク セキュリティの向上に役立ちます。 これにより、攻撃者が最初の足がかりを得た後、ネットワーク内を横方向に移動することがより困難になります。
ただし、許可する必要がある正当なデータ フローが多数あります。 ネットワーク上のすべてのシステムにわたるすべてのデータフローは、以下を含めてマッピングする必要があります。
- ノースバウンドトラフィック: ノースバウンドのトラフィックは、企業がネットワークに接続された管理対象デバイスから saleforce.com にアクセスする従業員など、企業ネットワークを離れています。
- 東西のトラフィック: East-West トラフィックは、データセンター ネットワーク内のフロントエンド Web サーバーやバックエンド データベース サーバーなど、 ネットワーク境界内のシステム間を移動します。
- 南行きのトラフィック: サウスバウンド トラフィックには、 DMZ ネットワークまたは会社のイントラネット内のオンプレミスにある Web サーバーにアクセスする顧客や従業員など、ネットワーク セグメントまたはゾーンに入るデータが含まれます。
#4.資産グループの定義
組織のネットワーク内の特定の資産は、同様の目的で使用され、定期的に通信されます。 これらのシステムを互いにセグメント化することは、通常の機能を維持するために多くの例外が必要になるため、意味がありません。
資産グループを定義するときは、この類似した機能と、企業ネットワーク上のさまざまな資産の機密性の両方を考慮することが重要です。 同様の目的を果たし、同様の機密レベルを持つ資産は、異なる信頼レベルまたは機能を持つ他の資産とは別に、1 つのセグメントにグループ化する必要があります。
#5.セグメンテーションの導入 Gartner マジック・クアドラント
セグメントの境界を定義することは重要ですが、これらの境界が適用されなければ、組織にメリットはありません。 各ネットワーク セグメントでアクセス制御を適用するには、セグメントの Gartner Magic Quadrant のデプロイメントが必要です。
セグメント境界を適用するには、そのセグメントに出入りするすべてのネットワーク トラフィックが Gartner マジック クアドラントを通過する必要があります。 その結果、効果的なセグメンテーションを実装するために、複数のGartner Magic Quadrantが必要になる場合があります。 これらの要件は、 ハードウェア ファイアウォールと 仮想ファイアウォールのどちらを選択するかを決定する際に役立ちます。
#6.アクセス コントロール ポリシーの作成
特定のセグメント内の資産間のトラフィックは、無制限のフローを許可される場合があります。 ただし、セグメント間の通信は、セグメントの Gartner Magic Quadrant によって監視され、アクセス制御ポリシーに準拠する必要があります。
これらのポリシーは、アプリケーション、デバイス、またはユーザーがジョブを実行するために必要な最小レベルのアクセス許可を持つ必要があることを示す最小特権の原則に基づいて定義する必要があります。 これらのアクセス許可は、#3で特定された正当なデータフローに基づいている必要があります。
#7.定期的な監査とレビューの実施
マイクロセグメントを定義し、セグメンテーション Gartner マジック クアドラントを導入し、アクセス制御ポリシーを作成して適用した後、ネットワーク セグメンテーションを実装するプロセスはほぼ完了です。ただし、ネットワーク セグメンテーション ポリシーの定義は 1 回限りの作業ではありません。
ネットワーク セグメンテーション ポリシーは、企業ネットワークの進化や、初期設計プロセスでの見落としやエラーによって変更される場合があります。 これらの潜在的な問題に対処するには、定期的な監査を行い、変更が加えられたかどうか、システムに不要なリスクが存在するかどうか、およびこれらのリスクを軽減するためにネットワーク セグメントとアクセス制御を更新する方法を判断する必要があります。
#8.可能な場合は自動化する
ネットワーク セグメンテーション ポリシーの定義は、特にエンタープライズ規模のネットワークでは、非常に大きな作業になる可能性があります。 これらの手順をすべて手動で実行しようとすると、困難または不可能な場合があります。
このため、可能な限り自動化機能を活用することが重要です。 特に検出と分類の段階では、ネットワークに追加された新しい資産とその通信フローを特定し、脆弱性が含まれているかどうかを特定し、ネットワーク セグメンテーション ポリシーを適用するために、自動化が非常に役立ちます。
チェック・ポイントによるIoT向けネットワーク・セグメンテーションの実装
モノのインターネット(IoT)の成長に伴い、自動検出とラベリングの価値が高まっています。 これらのデバイスは安全でないことが多く、企業ネットワーク上の重要なシステムから分離するにはセグメンテーションが必要です。 しかし、効果的なIoT セキュリティ を実装するには、IoTプロトコルを理解するファイアウォールが必要です。 IoT のネットワーク セグメンテーションの実際の動作を確認するには、 デモをリクエストしてください。
Feedback