VLAN ネットワーク セグメンテーションと SDN ネットワーク セグメンテーション
VLANは、ネットワークセグメントを分離する最初の方法の1つであり、最も単純な方法の1つです。
VLANの仕組みをより深く理解するために、より現代的なネットワークセグメンテーションアプローチであるソフトウェア定義ネットワーク(SDN)と比較してみましょう。
VLAN セグメンテーション
VLAN セグメンテーションの仕組みは次のとおりです。
VLAN への接続
ホストがVLANサブネットに接続しようとすると、デバイスのリクエストはインターネット経由でルーターに移動し、ルーターはリクエストをソートして関連するスイッチに送信します。
ポート&スイッチ
このスイッチは、対応するネットワークセグメントとの間でデータを転送します。
どのユーザーがどのVLANにアクセスできるかを制御することは、安全なネットワークセグメンテーションの鍵です。 多くの組織では、アクセスは特定のVLANメンバーシップをポートまたはMACアドレスに割り当てることによって管理されています。 これらのスイッチは、正しいポートへのデータの送受信のみを許可するため、ネットワーク管理者は組織全体でVLANアクセスを強制できます。
VLAN タギング
ただし、ポートだけが方法ではなく、VLANタギングを使用してシングルVLAN接続を実現することもできます。
これにより、送信されるイーサネットフレームに小さなヘッダーが追加されます。これらのパケットを転送するとき、スイッチはタグを再確認し、他のVLANサブネットへのデータ漏洩を防ぎます。 さらに良いことに、VLANタグは レイヤー2であり、IPアドレス とは別のものであり、デバイスは異なるIPアドレス範囲にあっても、同じVLAN構造まで接続できます。
スケーラブルで非常に柔軟性が高い一方で、スイッチはVLANの実装に不可欠です。 しかし、この物理的な形式のネットワークセグメンテーション戦略は、もはや唯一の選択肢ではありません。
ソフトウェア定義ネットワーキング(SDN)セグメンテーション
SDN は、コントロール プレーンを物理ハードウェアから完全に抽象化します。 つまり、SDNは物理的なセグメンテーションに頼るのではなく、論理的なセグメンテーションを使用して同様の効果を得ることができます。
特徴
ただし、ネットワークセグメンテーションに関しては、重要な違いは、VLANがデバイスの静的グループを物理サブネットに分割する方法にあるのに対し、SDNは、中央のコントロールパネルからネットワークグループ、デバイス、およびワークロードのネットワークアクセスを管理できるより広範なアプローチです。
VLANセグメンテーションの利点
ネットワーク全体をセグメント化する主な利点は、横方向または東から西への移動が制限されることです。
これにより、悪意のあるアクターやマルウェアが組織を攻撃する際に使用する可能性のある動きが明示的に制限されます。 これに加えて、VLAN セグメンテーションには、そのシンプルさに特有のいくつかの利点があります。
ネットワークパフォーマンスの向上
LAN内では、すべてのデバイスが常に頻繁にブロードキャストを送信し、通信し、ネットワークリソースを配置しています。 LANのサイズが大きくなると、このバックグラウンドトラフィックはすぐに問題になる可能性があります。
VLANは、大規模なネットワークを関連する部分に単純に分割することで、ネットワークの輻輳を削減します。
これにより、VLANは、これらの無限のバックグラウンドクエリに応答するための各デバイスの要求を減らし、したがって、関連するトラフィックにのみリソースを集中させることができます。 最後に、管理者の視点から見ると、各サブネットの帯域幅使用量を制限または制限するように設定できるため、有料リソースの使用を緩和するのに役立ちます。
簡単なスケーリング
組織が単純なLANを超えてVLANの領域に成長するにつれて、将来に向けてはるかに拡張できるアーキテクチャを選択することが重要です。 VLANは、より広範な構造をオーバーホールすることなく新しいサブネットを迅速に設定できるため、さらなる成長に適しています。
ネットワーク管理の簡素化
デバイスをより戦略的な方法でグループ化することで、ネットワーク管理は大幅な効率化の恩恵を受けることができます。 これを実現するために、VLANインフラストラクチャは、管理VLANによるハンズオン管理をサポートしています。 これはデフォルトで VLAN 1 であり、SSH、Telnet、および syslog を介して各サブネットワーク内のデバイスをリモートで監視します。
一般的なLANアーキテクチャに比べて無数の利点を持つVLANは、より安全なアーキテクチャに向けた非常にアクセスしやすい第一歩です。
VLANのデメリット
ただし、そのアクセシビリティには、セキュリティとパフォーマンスに関する多くの懸念が伴います。
本質的にゼロトラストではない
各デバイスとユーザーがグループVLANを持つことで、攻撃者が侵入してすべての企業秘密にアクセスする脅威は減少します。 しかし、このリスクは永久になくなったわけではなく、VLAN内のすべてのデバイスは依然として信頼できると想定されています。
つまり、攻撃者にとっては、一部の役割は本質的に標的に価値が高くなります - DevOps は、彼らが受ける悪意のある注目に対して名誉ある言及に値します。
より厳密なマイクロセグメンテーションアプローチと比較すると、VLANの比較的基本的な設計は、追加のツールなしでは、セグメント化されたネットワーク条件やデバイスの動作の変化に対応することができないことを意味します。
非ユニバーサルセグメンテーション
VLANは ネットワークをセグメント化する方法を絶対に提供しますが、単一の物理ネットワークをセグメント化すると考えると、大規模な組織への適合性が低下し始めます。
したがって、2 つのオフィスがあり、それぞれに独自の IT チームと別々のネットワークがある場合、VLAN セグメンテーションでは、両方の IT チームが共同でアクセスする必要があるサブネットを処理できません。 結局のところ、VLANはネットワークトラフィックを分離するように構築されています。2つのVLAN間のアクセスを許可する場合は、VLAN間ルーティングが必要になりますが、これは本質的にリスクが高く、VLAN間のアクセス制御リストの定期的なレビューが必要です。
脆弱性をもたらす可能性があります
VLANインフラストラクチャが非常に確立されているという事実は、攻撃者がそれに対する攻撃を利用した数十年の経験を持っていることを意味します。 これにより、わずかな管理ミスがVLANホッピングにつながるリスクが生じます。
VLAN 1 からのスプーフィングされたトラフィックは、トランク ポート、つまり残りのネットワーク セグメントへの悪意のあるアクセスを許可します。
チェック・ポイントによる将来性のあるトポロジーの構築
ゼロトラストは、単なる企業の流行語ではなく、各デバイスが必要とする個々のシステムやリソースに制限するセキュリティ哲学です。 VLANサブネットなどのマクロセグメンテーションは、このアプローチを実装するための優れた最初のステップですが、各サブネットの周囲にさらなる保護を導入することが重要です。
オンプレミス・デプロイメントの場合、チェック・ポイントの次世代ファイアウォール(NGFW)は、サブネットに流入するトラフィックとリクエストを完全に可視化し、制御します。 高帯域幅のスループットオプションにより、NGFWのディープパケットインスペクションにより、悪意のあるリクエストを間一髪で捕捉して停止することができます。 デモで方法を見つける 詳細を見る.
一方、クラウドベースのセットアップには、CloudGuard Infrastructure as a Service(IaaS)が提供するネットワーク仮想化とセキュリティが必要です。 パブリッククラウド、プライベートクラウド、ハイブリッドクラウドに自動セキュリティを実装する方法を確認し、 ゼロトラストネットワークトポロジのアクションを今すぐ開始しましょう。
フィードバック