ジュニパーが128テクノロジー買収の完了を発表

ゲストブログ:ディープセグメンテーション–ゼロトラストセキュリティの基盤

ネメルテスロゴ
Nemertes Researchによる
December 13, 2018

ジョナ・ティル・ジョンソン

で議論したように 私の以前のブログ投稿、の主要な要件のXNUMXつ ゼロトラストセキュリティ Nemertesが「ディープセグメンテーション」と呼ぶのが好きなネットワークの細かい制御です。

深いセグメンテーションの背後にある基本的な前提は「明示的に承認されない限り拒否」。 つまり、セッションを確立するには、ネットワークファブリックに、このセッションの確立を許可するポリシーが必要です。 つまり、「これらXNUMXつのリソースは通信を許可されています」という集中管理されたネットワークポリシーに対して送信元、宛先、およびポートをマッピングします。

それは基本的に聞こえますが、ここでの落とし穴があります。ほとんどの従来のルーティングは、ホップバイホップベースで、およびデフォルトごとの許可ベースで行われます。 つまり、ルーターは、セッションを確立するための最適なパスの提供に重点を置いています。 ポリシーベースのルーティングを適用する場合、それはブラックリストベースです。デフォルトの想定では、セッションを確立する必要があり、ブラックリストに登録されている場合にのみ、ルーターはパスの確立とパケットの転送を拒否します。

さらに、従来のネットワークファブリックはゾーンベースのアクセス許可を提供します。 つまり、ネットワークまたはファイアウォールゾーン内のすべてのデバイスが自由に通信できるようにします。 通信はゾーンごとにのみ禁止され(ゾーンX内のすべてのデバイスがゾーンY内のデバイスと通信できない場合があります)、ゾーンは物理的な地理に基づいています。

ホップバイホップの許可、デフォルトによる許可、およびゾーンベースのポリシー制御は、ゼロ信頼をサポートするように拡張されません。 ネットワークセグメンテーションは両方である必要があります バーチャル   粒状.

「仮想」とは、ファブリックがに基づいてセッションを許可または拒否する必要があることを意味します  デバイスはどこにあるかではありません。 したがって、たとえば、経理部門に関連付けられているすべてのデバイスは、一部の会計士がローカルネットワークゾーンにいて、他の会計士がキャンパスまたはWANの向こう側にいる場合でも、会計データベースにアクセスできる必要があります。

「細かい」とは、個々のデバイスに基づいてセッションを許可または拒否できることを意味します。 したがって、上記の例では、「すべての会計士」を「Xの会社の役割を持つすべての会計士」のようなものに置き換えることができます。 従来のネットワークファブリックでは、手動で複雑なプロセスと面倒なアクセス制御リスト(ACL)を適用して、そのポリシーを実装する必要があります。 生地は自動的にそうすることができるはずです。

さらに、深いセグメンテーションには、適切なレベルの暗号化を適用する機能が必要です。 つまり、暗号化を必要とするセッションを暗号化しますが、すでに暗号化されているセッション(HTTPSなど)には暗号化を再適用しません。 つまり、ポリシーはコンテキスト固有であり、実装はコンテキストを認識する必要があります。

肝心なことは? ディープセグメンテーションは、ネットワークセグメンテーションや従来のゾーンベースのセキュリティの単なる凝った名前ではありません。 これは、どちらもかなり詳細なアプローチを意味します。 ゼロトラストセキュリティに効果的であるためには、さらに集中化および自動化する必要があります。

ジョナ・ティル・ジョンソン のCEOであり創設者です ネメルテス.