ジュニパーが128テクノロジー買収の完了を発表

[vc_row] [vc_column] [vc_column_text]今日のネットワークは、1990年代にルーティングされたIPネットワークが登場して以来ほとんど変わっていない基本的なテクノロジーを使用する、従来のルーターで構築されています。 最も基本的に、ルーターは、ネットワーク機器を介して「ホップバイホップ」パスを確立することによってパケットをあるコンピューターから別のコンピューターに移動することを目的として発明されました。各「ホップ」はルーターです。 IPパケットがルーターに到着すると、ルーターは転送テーブルを調べて宛先に到達するための最適なルートを見つけ、そのパケットをパスの次のホップに転送します。 このプロセスは、パケットが宛先に到達するまで各ホップで発生します。

これを念頭に置いて、ネットワークはもともと「any-to-any」モデルを容易にするように設計されました。つまり、ネットワーク上の任意のコンピューターがネットワーク上の他の任意のコンピューターと通信できる必要があります。 ご想像のとおり、「any-to-any」モデルはいたずらを招くため、ネットワークの特定の部分への不正アクセスを防止するためにネットワークセキュリティコントロールが開発されました。 これらのいくつかは、ステートフルミドルボックスの形でネットワークエッジで発生しました。 ルーターでは、セキュリティはアクセスコントロールリスト(ACL)の形をとっていました。これは、パケットが目的の宛先に到達することを許可または拒否できるフィルターです。 定義されたACLによってパケットがブロックされた場合、そのパケットは単にルーターからドロップされ、次のホップには転送されません。

ルーターはパケットをできるだけ速く転送する必要があるため、ACL技術は、ルーターのパフォーマンスに大きな影響を与えない「軽量」のセキュリティ対策を目的としていました。 この速度の必要性のために、従来のルーターは「デフォルトで許可」の基本原則に基づいて設計および構成されました。 つまり、ACLが特定のパケットをブロックするように特別に定義されていない限り、従来のルーターはパケットを(セキュリティチェックを行わずに)ネクストホップに転送するだけです。

デフォルトで拒否1.svg

これにより、いくつかの問題が発生します。まず、多数のACLを定義して、成長する多くのビジネスとセキュリティの要件に対応することで、「ACL地獄」と呼ばれる複雑でエラーが発生しやすい問題になる可能性があります。 XNUMXつ目は、最も洗練されたACL展開であっても、従来のルーターの「デフォルトで許可」のアプローチはネットワーク攻撃を受けやすく、安全で信頼性の高いネットワークを構築するのに適していません。 ゼロトラストセキュリティ (ZTS)アプローチ。

128 Technology Networking Platform(128T)は、「デフォルトによる拒否」の原則に従うセッションベースのルーターです。 つまり、セッションがネットワークを通過するように特別に有効にされていない限り、128Tはそのセッションに属するすべてのパケットをドロップします。 実際、セッションを転送する前に、セッション固有のポリシーが適用されていることを確認するために、すべてのセッションはネットワーク内のすべてのホップで複数の検査を通過する必要があります。

各セッションは、クライアントから最初のパケットが到着すると開始され、サーバー宛てに送信されます。 これをセッションリクエストと呼びます。 仕組みは次のとおりです。

  • 128Tが最初に行うことは、セッション要求を開始したクライアントが テナント。 テナントは、ネットワークポリシー、アクセス制御、および許可されたネットワークパスが関連付けられた独自のメンバーセットを持つサブネットワークの一種です。 クライアントが構成済みテナントに属していない場合、クライアントは「グローバル」(デフォルト)テナントに関連付けられています。
  • 次に、128Tは、セッション要求の宛先が サービス テナント内で定義されます。 サービスは、IPアドレスで到達可能なアプリケーション(Webサーバー、データベースサーバーなど)を表します。 宛先がテナントへのアクセスを許可されているサービスに対応していない場合、セッション要求は失敗します。
  • セッション要求の宛先が設定されたサービスと一致する場合、128Tはさらに、サービス内で定義されたコンテキスト固有のACLを調べます。 このACLは、セッション要求のソースがサービスへのアクセスを許可されているかどうかを判別します。 ソースがサービスへのアクセスを拒否された場合、セッション要求は失敗します。
  • セッション要求がすべてのチェックに合格すると、宛先へのネクストホップに転送されます。

 

デフォルトで拒否2.svg

デフォルトで拒否3.svg
[/ vc_column_text] [/ vc_column] [/ vc_row] [vc_row] [vc_column] [vc_column_text] 128Tのセッション指向のアーキテクチャと現代の既製のハードウェアの力により、これらのチェックはラインレートのパケット–ルーターの影響を受けるパフォーマンスの低下はありません。

ネットワーク内のパケットフローのこの厳密な制御は非常に強力です。 これにより、ネットワーク攻撃を完全になくすことができます。 また、高度な サービス指向の管理 128Tの機能、安全な「デフォルトで拒否」ZTS対応ネットワークの構成と構築はシンプルでシームレスです。

 

[/ Vc_column_text] [/ vc_column] [/ vc_row]

ニュースレターを購読する

最新の投稿を受信トレイに直接配信します

リーダーの相互作用

コメントを残す

あなたのメールアドレスは公開されません。 必須フィールドは、マークされています *