ジュニパーが128テクノロジー買収の完了を発表

ブログ:ハイパーセグメンテーションを使用してネットワークセキュリティを向上させる

128テクノロジー
7年2019月XNUMX日

長年にわたり、都市計画者は高架道路を建設しました。 それは、近所を掘り下げることなく、密集した表面動脈を迂回する彼らの方法でした。 しかし、時間が経つにつれ、計画担当者は高架道路が状況を改善しなかったことを発見しました—彼らはそれらを悪化させました。 それで、彼らは頭上にある高速道路を廃棄し、固い地面にそれらを構築することに戻りました。 仮想ネットワーク(VLAN)と旧式のマイクロセグメンテーション戦略は、高架の高速道路に似ていますが、ネットワークエンジニアが解決した問題よりも多くの問題を引き起こしています。 これらの複雑なオーバーレイは、ネットワークの管理を困難にし、重要なデータを保護するために必要なファブリック全体のセキュリティを欠いています。

ハイパーセグメンテーションは、ネットワークトラフィックのセグメント化とセキュリティ保護のプロセスを再定義し、サイバー攻撃からネットワークを保護するための優れたソリューションになります。 非効率的なトンネリングテクノロジーをオーバーレイするのではなく、インテリジェントなソフトウェア定義のネットワークセグメンテーションアプローチを使用して問題を内部から解決し、物事を大幅に簡素化します。

の進化 ネットワークセキュリティー

数十年前、エンジニアは、基本的なファイアウォールセキュリティが不正なユーザーアクセスを制限しないことを学びました。 ファイアウォールは入口と出口でネットワークを保護しましたが、ユーザーが制限を回避してインサイダー攻撃を仕掛ける方法を理解するのを妨げませんでした。

VLANは問題を解決するために進化しましたが、ハッカーは依然として、偽造されたID、MACフラッディング、および制限されたリソースとデータへのアクセスを取得するように設計されたその他の技術を使用して、ネットワーク内の脆弱性を見つけることに成功しました。 これに対応して、新しいセキュリティツールとネットワークプロトコルが開発され、VLAN構造をオーバーレイし、特定のエンドポイントデバイスへのアクセスを制限し、仮想ルーターをセグメント間の通信手段として使用しました。 私たちの業界では、これらのツールとプロトコルをマイクロセグメンテーションテクノロジーと呼んでおり、現在では、ネットワークパフォーマンスを低下させる高価で保守が難しいインフラストラクチャを形成しています。 一方、ハイパーセグメンテーションは、仮想ネットワークからこの複雑さの多くを取り除き、セキュリティとパフォーマンスも向上させます。

ハイパーセグメンテーションとは何ですか?

オーバーレイテクノロジーとは対照的に、ハイパーセグメンテーションは、アプリケーションベースでセキュリティポリシーを簡単に適用できるようにする新しい仮想ストリートマップを作成します。 これは、実際の物理的な場所やエンドポイントのタイプを無視しながら、ユーザーがネットワークにアクセスする方法に基づいてネットワークをセグメント化するソフトウェア定義ネットワーク(SDN)テクノロジーによって可能になります。 たとえば、CRMユーザーは必要なアプリケーションにどこからでもアクセスできますが、ネットワークを共有する他のアプリケーションへのアクセスは制限されています。 ハイパーセグメンテーションは仮想ルーターを使用するため、実装コストははるかに低くなります。 また、はるかに安全です。

ハイパーセグメンテーションは、 ゼロトラストセキュリティ アプローチ。 その名前が示すように、誰も信用せず、デフォルトですべてのパケットを拒否し、ネットワークに入る前にすべてのトラフィックを認証します。 次に、データはユーザー、グループ、およびアプリケーションのニーズを中心にセグメントに編成されます。 ハイパーセグメンテーションを利用したネットワークでは、これらのセグメントはセッションと呼ばれます。

ITがどのように動作しますか?

ネットワークにハイパーセグメンテーションを装備するには、まず、ネットワークがサポートするすべてのサービス、リソース、およびデバイスを定義します。 例としては、CRMシステム、金融アプリケーション、ERPプラットフォーム、メールサーバー、音声サービス、Webリソースなどがあります。 これらのサービスへのアクセスは、必要に応じて管理者によってテナントに提供されます。 テナントは、共通のポリシーを共有するユーザーとそのデバイスのコレクションを表します。 サービスは、ネットワークが提供し、テナントがアクセスできる特定のアプリケーションを表します。 テナントやサービスが存在する傘は、認証や暗号化キーなどのセキュリティプロパティとともに、オーソリティまたは管理ドメインと呼ばれます。

このトップダウン設計により、リソースは必要なユーザーにのみ提供されます。 たとえば、セールスマネージャーはセールステナントのメンバーであり、ERPサービスではなくCRMサービスにアクセスでき、すべてのユーザーは音声サービスにアクセスできるエンタープライズテナントのメンバーである場合があります。

ハイパーセグメンテーションでは、データはパケットではなくセッションで移動します。 通常、仮想ルーターは、次のXNUMXつの方法のいずれかで、構成されたテナントにセッション要求のソースを分類します。

  • 排他的な単一テナントのセッションを定義します。
  • テナントに属するものとして指定されているプレフィックスからインターフェイスに到着します。 (この場合、サブネットマスクに基づいて、単一のインターフェイスを個別のテナントに分割できます。)
  • 隣接するセッションによって分類された事前定義のメタデータが含まれています。

ハイパーセグメンテーションは、インテリジェントな動的暗号化を各セッションに適用し、ネットワーク内およびネットワーク間を移動するときに認証します。 管理者は、ファイアウォールを通過して他のネットワークに向かうセッションにユニバーサルルートポリシーを適用します。 また、各セッションにレートと帯域幅の制約を適用することもできます。

ミクロセグメンテーションとハイパーセグメンテーションの比較

マイクロセグメンテーションは、物理ネットワークをオーバーレイする一連のネットワークプロトコル(IPsec、GRE、VXLAN、GENEVE)を表します。 これらのプロトコルはVLANをより安全にすることを意図していますが、コストと複雑さを追加するだけです。

ハイパーセグメンテーションは、オーバーレイと物理ネットワークの設計を無視し、データ自体に対処します。 この新しいコンセプトには、柔軟性、スケーラビリティ、セキュリティの向上など、いくつかの利点があります。 定義されたセグメント内だけでなく、セグメント間でもデータを移動できます。 さらに、ハイパーセグメンテーションは物理的な境界を越えてネットワークを拡張します。 つまり、他のネットワーク、アプリケーション、モバイルデバイスに暗号化ルールを適用して、真にエンドツーエンドのソリューションを実現します。

ハイパーセグメンテーション—現代のネットワーク設計の新しい基準

Zero Trust Securityプロトコルと組み合わせると、ハイパーセグメンテーションはネットワークを保護するための確かなオプションになります。 サイバー攻撃が日常的にネットワークとデータのセキュリティを脅かしているため、ゼロトラストセキュリティの原則に従うと、オーバーレイでペイントするのではなく、ネットワーク自体にセキュリティを埋め込むことができます。 deny-by-defaultポリシーは、エンドポイントでのセキュリティの脅威を除外し、ネットワーク上を移動するデータの安全を確保します。

古いテクノロジーの維持と保護は、時間のかかることは言うまでもなく、新しいものを購入するよりもコストがかかることがよくあります。 これは、都市計画者が高架道路の建設を始めたときに実現したことであり、オーバーレイネットワークにも当てはまります。 ハイパーセグメンテーションは、より良い方法を提供し、コスト、複雑さ、およびネットワーク設計の手間を省き、より優れたセキュリティをもたらします。