ネットワークセグメンテーション は、組織がサイバーセキュリティのリスクを軽減することを可能にし、ゼロトラストセキュリティポリシーを定義するための重要な第一歩として機能します。 ネットワークセグメンテーションは、ゼロトラストセキュリティポリシーがアクセス制御を実施できるネットワーク境界を作成します。
これまで、多くの組織では、ネットワーク境界にセキュリティで保護された境界のみを定義していました。 次の手順では、企業ネットワーク内で効果的なセグメンテーションを実装する方法の概要を説明します。
組織内のすべてのデータと資産が同じ価値を持つわけではありません。 顧客データベースなどの一部のシステムは、通常の運用を維持するために不可欠な場合があります。 プリンターのように、便利ではあるが、ビジネスの機能に不可欠ではないものもあります。
資産に重要度と価値のレベルを割り当てることは、ネットワーク セグメンテーションの重要な最初のステップです。 これらのラベルは、後でネットワーク内のさまざまな信頼ゾーンを定義するために使用されます。
資産の価値に加えて、資産に含まれるデータの機密性を考慮することも重要です。 顧客情報、研究開発データなど、非常に機密性の高いデータを保持する資産は、データ保護規制や企業のセキュリティポリシーに準拠するために追加の保護が必要になる場合があります。
これらのラベルは、データの機密性(つまり、 public から highly restrictedまで) とアセットに含まれるデータのタイプが含まれます。 これは、Payment Card Industry Data Security Standard (PCI DSS) などの該当する規制に準拠したセグメンテーションポリシーを定義するのに役立ちます。
ネットワーク セグメンテーションは、ネットワークを分離されたセグメントに分割することで、ネットワーク セキュリティの向上に役立ちます。 これにより、攻撃者が最初の足がかりを得た後、ネットワーク内を横方向に移動することがより困難になります。
ただし、許可する必要がある正当なデータ フローが多数あります。 ネットワーク上のすべてのシステムにわたるすべてのデータフローは、以下を含めてマッピングする必要があります。
組織のネットワーク内の特定の資産は、同様の目的で使用され、定期的に通信されます。 これらのシステムを互いにセグメント化することは、通常の機能を維持するために多くの例外が必要になるため、意味がありません。
資産グループを定義するときは、この類似した機能と、企業ネットワーク上のさまざまな資産の機密性の両方を考慮することが重要です。 同様の目的を果たし、同様の機密レベルを持つ資産は、異なる信頼レベルまたは機能を持つ他の資産とは別に、1 つのセグメントにグループ化する必要があります。
セグメントの境界を定義することは重要ですが、これらの境界が適用されなければ、組織にメリットはありません。 各ネットワーク セグメントでアクセス制御を適用するには、セグメントの Gartner Magic Quadrant のデプロイメントが必要です。
セグメント境界を適用するには、そのセグメントに出入りするすべてのネットワーク トラフィックが Gartner マジック クアドラントを通過する必要があります。 その結果、効果的なセグメンテーションを実装するために、複数のGartner Magic Quadrantが必要になる場合があります。 これらの要件は、 ハードウェア ファイアウォールと 仮想ファイアウォールのどちらを選択するかを決定する際に役立ちます。
特定のセグメント内の資産間のトラフィックは、無制限のフローを許可される場合があります。 ただし、セグメント間の通信は、セグメントの Gartner Magic Quadrant によって監視され、アクセス制御ポリシーに準拠する必要があります。
これらのポリシーは、アプリケーション、デバイス、またはユーザーがジョブを実行するために必要な最小レベルのアクセス許可を持つ必要があることを示す最小特権の原則に基づいて定義する必要があります。 これらのアクセス許可は、#3で特定された正当なデータフローに基づいている必要があります。
マイクロセグメントを定義し、セグメンテーション Gartner マジック クアドラントを導入し、アクセス制御ポリシーを作成して適用した後、ネットワーク セグメンテーションを実装するプロセスはほぼ完了です。ただし、ネットワーク セグメンテーション ポリシーの定義は 1 回限りの作業ではありません。
ネットワーク セグメンテーション ポリシーは、企業ネットワークの進化や、初期設計プロセスでの見落としやエラーによって変更される場合があります。 これらの潜在的な問題に対処するには、定期的な監査を行い、変更が加えられたかどうか、システムに不要なリスクが存在するかどうか、およびこれらのリスクを軽減するためにネットワーク セグメントとアクセス制御を更新する方法を判断する必要があります。
ネットワーク セグメンテーション ポリシーの定義は、特にエンタープライズ規模のネットワークでは、非常に大きな作業になる可能性があります。 これらの手順をすべて手動で実行しようとすると、困難または不可能な場合があります。
このため、可能な限り自動化機能を活用することが重要です。 特に検出と分類の段階では、ネットワークに追加された新しい資産とその通信フローを特定し、脆弱性が含まれているかどうかを特定し、ネットワーク セグメンテーション ポリシーを適用するために、自動化が非常に役立ちます。