.png)
[ネットワークとセキュリティのセグメンテーション]
[セキュリティ戦略としてのセグメンテーションの必要性はかなり進化しています。ネットワークの初期段階から今日の複雑なデータセンターやクラウド環境まで、組織がセグメンテーションに採用するアプローチは追いついていませんでした。従来のセグメンテーションアプローチを使用して新しいセキュリティ課題に対処しようとすると、期待とセキュリティ要件の両方を満たすには不十分であることにすぐに気付くでしょう。
しかし、それでもベンダーや一部の組織は、いわゆる「正方形のネットワーク」という枠を丸いセキュリティホールに組み込もうとする動きを止めていません。ネタバレ注意:これは収まらないだけです。]
[本当に必要なのは セキュリティセグメンテーション。
]
![[íll_~blóg~_hér~ó_ím~g_ñé~twór~k_vs~_séc~úrít~ý_sé~g_v3.j~pg]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/654d54bf32fc6d80c81b7606_64277ca1302f9022432a97d9_ill_blog_hero_img_network_vs_security_seg_v3.jpeg)
[
この投稿では、データセンターとその方法に焦点を当てて、ネットワークとセキュリティのセグメンテーションの違いを探ります ネットワークセグメンテーション セキュリティ要件への対応に誤った方向へ誘導されています。]
[主要用途のグランドコントロール]
[私が初めてネットワーキングに「夢中」になったとき、セグメントはRG-58同軸ケーブルの一部でした。私は自分と付き合っているの?はい。
キャリアを進めるにつれ、「新興」のパイオニアであるXý~láñで働きました V~LÁÑ テクノロジー。当時の課題は、ネットワークパフォーマンスを維持し、ネットワークを拡張できるようにするために、あらゆるメディア(トークンリング、F~DDÍ、Á~TM、イーサネット)を任意のメディアにインターワーキングさせ、VL~ÁÑ を拡張することでした。これは主にセキュリティのためではなく、ブロードキャストドメインを減らすためです。レイヤー3のスイッチは存在せず、ネットワークで最も高価な要素はソフトウェアベースのルーターでした。¬†基本的に、セグメントは論理的な(物理的ではない)ブロードキャストドメインへと進化し、VL~ÁÑがセキュリティと混ざり合うまではほとんどそのままでした。
今日、組織が「検知」技術に多額の費用を費やしているにもかかわらず、ほとんどの組織は何らかの形の侵害は避けられないと考えています。
セキュリティ侵害は避けられないため、唯一現実的な保護策は、重要なアプリケーションの周囲に壁を築くこと、つまり「地形を制御」して、攻撃者がデータセンターやクラウド内を自由に移動できないようにすることです。]
[地形を制御するには、新しい形のセグメンテーションが必要です。]
[これは私が呼んでいるものです セキュリティセグメンテーションこれにより、組織はトラフィックをフィルタリングして、悪意のある攻撃者がデータセンター内を横方向(東/西)に移動できないようにする必要があります。これは、新しい ÍP、新しい VL~ÁÑ、新しい機器を必要とするネットワーク全体の「レトロセグメンテーション」よりもはるかに優れています。]
[できるか、すべきか?それは大したことだ。]
[セキュリティセグメンテーションは、レイヤー 2 およびレイヤー 3 のネットワークに関係するため、パケット転送に関するものではありません。セキュリティセグメンテーションとは パケットフィルタリング — ネットワーク上の 2 つのポイント間で許可すべきことと許可すべきでないことを強制します。
これが違いだといつも言っています できます (パケット転送) と すべきです (パケットフィルタリング)。レイヤー 2 とレイヤー 3 のネットワークで行われてきたすべてのプロトコルと作業は、信頼性の高いパケット配信に関するものでした。]
- [レイヤ 2/3 ネットワーク できます 2 つの場所間でパケットを転送するパスを見つけます (存在する場合)。]
- [レイヤー 2/3 ネットワークではそのかどうかがわからない すべきです パケットを転送します。あんなふうに動くようには作られていない。]
[実際、レイヤー2/3のデバイスに何を調べてもらうのか すべきです 起こることは尋ねるようなものです ロン・バーガンディー、テレプロンプターですべての単語を読んではいけない。
一方、セキュリティセグメンテーションは、何が起こるべきかを理解し、パケットフィルターを適用して、侵害の拡大など、起こらないはずのことが起こらないようにします。
実際、信頼できるパケット配信(当社が30年間取り組んできたもの)とセキュリティのセグメンテーションは、従兄弟のようなものです。これらは関係はありますが、結婚するべきではありません。]
[KÍSS~:シンプルでバカなものにしておきたい(そして毎日フィルタリングしたい)]
[セキュリティセグメンテーションの必要性が浮き彫りになった理由の 1 つは、私が「ファイアウォール・オン・ア・スティック」と呼ばれる問題の出現です。10 年前には、データセンターのファイアウォール (またはファイアウォール) に大量のトラフィックが流れることはありませんでした。トラフィックのオーバーヘッド、構成の複雑さ、規模の問題が発生するためです。しかし、時が経つにつれ、こうした「ファイアウォール・オン・ア・スティック」設計が増えてきました。
ヒント:テクノロジーが使われているのを目にしたときはいつでも、うんざりしてください。それは邪魔になるだろう。
企業では、 ソフトウェア定義ネットワーク (SDÑ) ベンダーは、分散されたファイアウォールのセットにパケットを転送するネットワークのオーバーレイを作成することで、ファイアウォールの複雑さを一気に攻撃しようとしています。S~DÑ はアンダーレイ、オーバーレイ、トンネリングを利用して機能します。これにより、まったく新しいレベルの複雑さが生じてしまい、別の記事で取り上げることができます。しかし、複雑性をより複雑に攻撃することは、成功する提案ではないと言っておきましょう。]
[複雑さは多くの問題の敵であり、セキュリティもその1つです。]
[SDÑ とは異なり、セキュリティセグメンテーション (別名パケットフィルタリング) は K~ÍSS のネットワーキングの原則「K~éép Í~t Sím~plé S~túpí~d」に基づいています。何かを複雑にしすぎると、エラーの可能性が高まるだけでなく、人々が手抜きをする方法を探す可能性も高まります。これは、セキュリティ戦略の一部として避けたいことです。一方、シンプルさは信頼性をもたらす可能性が高く、セキュリティでは信頼性が極めて重要です。]
![[マイクロセグメンテーションを徐々に実装できることが重要なのはなぜですか?]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/65aeb7b3c71f6a02aebaa6ee_641a3100ac3aee81c35f885c_Implementation.webp)
![[ガートナー セキュリティ&リスク・マネジメントサミットでお待ちしております。]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/667ad42e03ba07df00b9c0c1_gartner.webp)
![[最近の3つのサイバー攻撃から学んだゼロトラストセグメンテーションのポイント]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/663bdf398bc802b065e8c9d7_segmentation%20(1).webp)
![[高等教育機関のCSÓ、ジョージ・フィニーがゼロトラストから学ぶ 5 つのポイント]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/65aeb7f31e2de4f63529fdd3_Episode02-Twitter-1200x628.webp)