ジュニパーが128テクノロジー買収の完了を発表

SVRを使用してSolarWindsネットワークのセグメンテーションハックを回避する

PatMeLampy著
March 12, 2021
SVRを使用してSolarWindsネットワークのセグメンテーションハックを回避する

最近のニュースでは、WANネットワークへの大規模な侵入が報告されており、ネットワークセグメンテーションの構成方法によって不正なエントリが取得されました。 すべてが完璧でなければならない複数の要素でセキュリティをプロビジョニングすることは、非常に困難です。 これらのデバイスを広い地理的領域に多数分散させてから、さまざまなインターフェイスタイプ(DSL、DIA、LTE)を追加すると、実際に混乱する可能性があります。 各場所で一意のCIDRブロックマスクまたはACLを使用する必要がある場合、または各場所で特定の変換を定義する必要がある場合は、使用できない可能性があります。

WANは、ブランチロケーションからデータセンターまたはクラウドにまたがるセキュリティゾーンをサポートする必要があります。 多くの場合、これはコンプライアンスに不可欠です。 たとえば、PCIでは、関連する要素に対して完全なネットワークセグメンテーションが必要です。 今日のこのためのテクニックのいくつかは次のとおりです。

•キャリアベースのMPLS

•VRFを備えたL3VPN

•仮想ファイアウォール/ NATを使用した多数の/ 28ルート

•各セキュリティゾーンのIPSECトンネル

これらの方法はすべて複雑であり、多くの場合サイト固有の非常に特殊なプロビジョニングが必要です。 すべてのネットワーク要素が一意にプロビジョニングされると、ネットワーク管理が非常に困難になります。 NET-OPS技術を使用しても、間違いを犯す可能性があります。 さらに、問題の解決と接続のデバッグにより、かなりの運用コストが追加される可能性があります。

サイト固有の構成の複雑さにより、ネットワーク全体が攻撃に対して脆弱になる可能性があります。 MPLSの構成ミスにより、顧客のネットワークに自由にアクセスできる可能性があります。 多数のVRFを管理するには、アドレススペースが重複して同一であるため、細部に細心の注意を払う必要があり、ミスは悲惨な結果をもたらす可能性があります。 VRFには、LDPプロトコルを含むMPLSアンダーレイも必要です。 複雑さとレイヤー間の調整のスタックは、ハッカーに新しい攻撃ベクトルを開きます。 多くの場合、この複雑なプロトコルのスタックをプロビジョニングおよび監視するために使用されるツールは、追加の攻撃ベクトル(つまり、SolarWinds)を開きます。

必要なのは、ネットワークセグメンテーションを管理するための非常に簡単な方法です。 5Gネットワ​​ークスライシングが普及するにつれて、この必要性は何倍にもなります。 ネットワークセグメンテーションの要件(優先順位順)は次のとおりです。

•同一でテスト済みの限定されたブランチ構成のセット

•ブランチセグメンテーション手法(VLAN、CIDR、インターフェイス)のグローバル名前空間(マルチカスタマー、マルチサイト)へのマッピング

•名前空間ごとの特定のネットワークルーティングテーブル

•方向制御(つまり、ACLとアクセス制御)

•名前空間ごとに一意の認証と暗号化

ジュニパーネットワークスのセキュアベクタールーティング技術は、これらすべてに対応できます。 安全なベクトルを使用すると、セキュリティゾーン(VLAN、CIDR、インターフェイス)を、「ドメインのような」単語を使用する階層的な名前空間にマッピングできます。 たとえば、VLAN 1をある場所で「voice.company1」というテナントにマッピングし、VLAN2を別の場所でテナント「voice.company2」にマッピングすることができます。 階層的なテキスト名のため、使用可能なセグメントの数に制限はありません。 人間が理解できる単語が使用されているため、エラーが発生する可能性ははるかに低くなります。 階層では、ネストされたさまざまな使用可能なルートテーブルも許可されます。これは、VRFまたはVLANでは不可能です。 名前付きテナントの使用は、5Gスライスがどのように機能するかにも非常によく適合します。

テナントの名前空間を定義した後、接続を可能にするサービスを定義できます。 サービスは、ワークロードアドレスまたはアドレスの範囲のコレクションです。 最も有用なSaaSサービスには、頻繁に更新されるさまざまなアドレスがあります。 Office365、Zoom、およびほとんどのSaaSベンダーは、サービスの提供元であるCIDRブロックのリストを公開しています。 Secure Vector Routingでは、サービスを表すために単語が使用されます。これは、実際にはこの宛先のコレクションです。

セグメント化されたネットワークを管理しやすくするために、クライアントのグループ(テナント)とワークロードのグループ(サービス)の両方を表す簡単なテキストベースの単語ができました。 ジュニパーのセキュアベクタールーティングは、ルート解決時にこれらXNUMXつの概念を組み合わせて、WAN管理用のグローバルに管理可能なサービス固有のベクターのセットを作成します。

ジュニパーのセキュアベクターの利点のXNUMXつは、パブリッククラウドとプライベートクラウドに拡張できることです。 現在のパブリッククラウドはいずれもVLANをサポートしていません。 それらは単純なルートテーブルとACLをサポートします。 ただし、クラウドでJuniper Session Smart Routerを実行するとすぐに、クラウドベースのAPIがなくても機能するクラウドネットワークセグメンテーションへのブランチを作成できます。

WANネットワークセグメンテーションは複雑すぎます。 これらの合併症は脆弱性のポイントを作成します。 ジュニパーのセキュアベクタールーティングは、これを簡素化および軽減できます。

お問い合わせ Secure Vector Routingの詳細と、SolarWindsタイプのネットワークセグメンテーションハックを回避するためにネットワークを簡素化する方法について学習します。