マイクロセグメンテーションとは?
マイクロセグメンテーションとは、データセンターやクラウド環境の中に複数の防火壁を配置することで、細かなゾーンを作成し、各サーバやアプリケーションを隔離することで保護するセキュリティ対策の手法です。マイクロセグメンテーションにより、場所に依存することなく「通信すべきものだけアクセス許可する」というゼロトラストセキュリティのアプローチを実現します。
サーバとアプリケーション間のネットワークトラフィックを制限する「AllowList」のポリシーを作成し、通信を制御します。IPアドレスだけでなく通信ポートもマイクロセグメンテーションで制御することでネットワークの攻撃可能な経路を極限まで極小化し、ネットワーク侵害を抑制することができます。
マイクロセグメンテーションにおける3つの課題
マイクロセグメンテーションは、ワークロードを保護して課題を解決するためのベストプラクティスではありますが、既存の仕組みだけで実現しようとすると以下3つの課題に直面することになります。
1.可視化レベル
マイクロセグメンテーションを効果的に実施するためには、ワークロードレベルではなく、アプリケーション、さらにはグループや個人の通信まで可視化しなければ保護できません。深く可視化してこそ、環境内の状態を理解し、より適切な意思決定をリアルタイムにできるようになります。
2.多様な環境への対応
現在の企業は、オンプレミスや仮想基盤、マルチクラウドなど多様なシステムを持ち、それぞれにワークロードを移設することもあります。そこで必要になるのが、追跡する仕組みです。異種混合のハイブリッドな環境では、個別の環境に特化した仕組みでは十分な機能を果たせません。
3.柔軟なポリシー設定
企業の運用担当者は様々な要請に対応しなくてはなりません。例えば、コンプライアンス上の理由でワークロードと基盤を分離する、本番環境と開発環境を分ける、新たな規制に対するルールを全体に適用するなどです。Guardicoreは、運用担当者にとって負荷の掛かるこうした要請への柔軟な対応を強力に支援します。
複雑な環境でも手間を掛けずにマイクロセグメンテーションを実現
エージェントを全ての端末にインストールするだけ。機器ごとの設定不要です。
1.深いレベルでの可視化
- エージェントが通信ソフトやデバイス情報を収集し、従来のIPアドレス、ポートだけではなく、プロセス/ユーザーレベルで可視化。
2.あらゆる環境をサポート
- 仮想マシン、ベアメタル、IaaSやコンテナなどの環境を選ばず、マルチクラウドに対応。
- Windows 2000-Windows Server 2008、Windows 7、Windows XPといったレガシーもサポート。
3.柔軟なラベル付けが可能
- ラベルによる柔軟なルール設計が可能。
- 複数ラベルの使い分けで、マップの簡素化を実現。
- 手動でのラベル付けの他、AI作成や、CSVファイルの読み込み、ホスト命名規約の利用が可能。
ランサムウェアなどの内部セキュリティ対策に有効
4つの機能で封じ込め、2つの機能で詳細化と制御を行います。
4つの機能で封じ込め
1.可視化
プロトコル、ポート、プロセス情報(パス、ユーザーなど)の可視化。ラベルの階層化とプロセスレベルでの通信の可視化を実現する。
2.検知
プロセスレベルでの不正アクセスを検知。アドレス/ポートが正しくても、実行プロセスが許可されていない場合、通信を遮断しインシデントを発行する。
3.偽装
全ての接続の失敗を、攻撃者がネットワーク内のシステムやサーバを移動してより重要な資産や目的のデータを探索する「ラテラルムーブメント」の試みとして扱い、ハニーポッドが応答するように、失敗したフローを再接続。ネットワーク全体がハニーポッドの入口となり攻撃を捕捉。
4.執行
定義されたポリシーに従い、ネットワークフローの制御(フローの許可、警告、遮断)を提供。プロセスレベルでのアクセス制限も可能。
2つの視点で詳細化と制御
1.情報漏洩の検知
より優れたインテリジェンスで、侵害をより迅速に防止、特定に対応。スケーラブル、マルチ自動分析によるメソッド検出を行い、自動分析IoC抽出。
2.洞察
デバイスの情報を調査の上、OS情報の収集をリアルタイムで実施、スケジュール機能を使用し、自動的にラベリング。用意されたルールと連携し、該当デバイスの隔離を自動的に実施。
Guardicoreの主なキーワード
Akamai Guardicore Segmentationは以下の主要な機能を備えた、業界内でもっとも完全かつ柔軟なマイクロセグメンテーションのソリューションとして提供しています。
| インフラに依存しない | パブリック、プライベートあるいはハイブリッドなクラウド環境に跨って展開されるお客様のすべてのアプリケーションにマイクロセグメンテーションポリシーを適用できます。またWindows 2000やSolarisなどの過去の環境も保護します。 |
|---|---|
| 他にはない現在と過去の可視化 | アプリケーション/ユーザーレベルで可視化された状態は現時点のものだけでなく過去の状態も表示でき、過去のある時点と今を比較することもできます。 |
| きめ細やかなポリシー | レイヤー7のアプリケーションプロセスレベルでルールを設定・適用し、アプリケーションのコンポーネント間のフローを厳密に制御することができます。重要なプロセスを妨げることなく、最強のセキュリティを実現します。 |
| ブラックリスト/ホワイトリストモデル | ホワイトリストのみのモデルでは、アクセスが許可されている通信が特にない限りは何も信頼しません。今日の企業ではこのモデルが許容できるよりもさらに複雑になっています。Guardicoreのお客様はブラックリストとホワイトリストの双方のポリシーを組み合わせて利用できます。 例えば、特定のアクセスニーズに対応する1つの単純な許可ポリシーを作成してから、それ以外のものを包括的にブロックする。この単純化によって作成するポリシーは数千からわずか2つに簡略化できます。 |
| 自動化 | 新しいワークロードは、動的かつ自動的に正しいポリシーが割り当てられます。自動分析によって攻撃者のツール、戦術、ロケーションが特定されます。 |
| インタラクティブな欺瞞機能 | 統合されたマルチメソッドの侵入検知機能の一部として、実在するデータセンターのサーバー、IPアドレス、OS、サービスをおとりに使い、最初の兆候で疑わしい活動を積極的に見つけ、それに関与する脅威の確認と調査を行うため、隔離したエリアへリダイレクトします。 |
| 直感的な設定 | アプリケーションの依存関係のマッピングから、ポリシーの提案と設定、アラートモードでのテストまでの簡単なワークフローを提供し、トラフィックに実際に適用するまでのルールの影響を確認できるようにしています。 |
| 柔軟なデプロイ | エージェントあり/エージェントなしのオプションを選べる、DevOps readyのソリューション。完全クローズド環境も可能。 |
| 大規模な環境での実績 | ボトルネックを回避するために大規模かつ多国籍に展開した分散アーキテクチャー。 |
全体構成
Management(管理)
- UIの提供と他システム連携のためのAPIを提供
- 収集データの保存、分析などと各コンポーネントの管理
※ クラウド設置を推奨、オンプレミス設置も可能
Deception(ハニーポット)
- ネットワーク全体でのハニーポット機能の提供
- 通信の記録、分析し、インシデント情報を通知
※ クラウド設置を推奨、オンプレミス設置も可能
Collector(ネットワーク情報収集)
- フロー情報をスイッチと連携して収集し、ネットワークスキャンの検出やIP/DNSレピュテーションを分析
- Agentが関連していない通信を可視化
※ オンプレミス設置が可能
Aggregator(Agent管理)
- AgentとManagerの中間に位置し、Agentへの設定管理、Agentからの受信データの集約、重複排除を実施
- 数百のAgentの管理が可能
※ オンプレミス設置を推奨、クラウド設置も可能
Agent(デバイスの情報収集及び通信制御)
- OSにインストールされ、4つの機能(Reveal、Enforcement、Detection、Deception)を提供
- 非常に軽量なため、VMやコンテナ、クラウドインスタンスなど、様々な環境に導入可能
ラックから購入で利用できる3つのサービス
1.オリジナルポリシーの提供・更新
ラックならではの知見を活かし、セキュリティトレンドやメーカー対応状況などを踏まえたラックオリジナルポリシーをご提供。ポリシーは順次拡充、更新を行うことで継続的に最新のセキュリティ対策が可能となります。
2.万が一マルウェアに感染しても迅速対応
Guardicoreが不正な通信を発見しアラートが上がった場合でも当社提供のFalconNestと連携しマルウェアに感染しているか判定することが可能となり、その後の調査連携も可能となっています。
3.日本語でのテクニカルQ&A対応
Guardicoreに関する技術問い合わせに対応します。標準サポートは英語問い合わせとなりますが、当サービスでは当社エンジニアを介し日本語での問い合わせが可能です。
価格
個別にお見積もりします。お気軽にお問い合わせください。