コミュニティ
HPE Blog, Japan
1819507 メンバー
3219 オンライン
109603 解決策
新規ポスト
 
RSS フィードを購読する
|
Aruba_Japan

ランサム被害を最小限に抑えこむマイクロセグメンテーション

‎07-09-2024 12:40 PM

残念なことに、ランサムウェアによる業務停止、さらには情報漏洩のニュースが後を絶ちません。
大前提として、ランサムの被害は攻撃者が悪で攻撃自体を撲滅すべきですが、現実的にそれは難しく、企業側は如何に攻撃、被害拡大を防ぐかに取り組まざるをえません。

では、どういった対策をすればいいのか?

その解になるのが、ゼロトラストのアプローチです。
セキュリティ対策で、これだけをしておけば万全!というのは無く、逆にその考え方は危険です。
ゼロトラストのアプローチでは、1つのセキュリティ製品や機能を実装すればいいというわけではなく、その名の通り何も信じず、脅威は内外どこにでもある前提でのアプローチになります。
security.jpg

データセンターで考えると、外部からの攻撃を防ぐことはもちろん、攻撃者(マルウェア)が内部に侵入してしまったことを前提に、マルウェアの内部から内部への広がり(ラテラルムーブメント)を防ぎ、被害を最小限に抑えることもとても重要です。このラテラルムーブメントへの対策として有効なソリューションがマイクロセグメンテーションです。

データセンターのセキュリティ対策とマイクロセグメンテーションの位置付け
データセンターのセキュリティ対策.png

マイクロセグメンテーションの効果
なぜマイクロセグメンテーションをするとラテラルムーブメントを防ぐことができるのでしょうか。
実は、セグメンテーションだけではほんとの意味での対策にはならず、セグメンテーションペリメターが必要になります。
セグメンテーションはその名の通りネットワークのセグメントを分ける、言い方を変えるとVLANを分け、アクセスリストなども使ってアクセス先を制限します。
ペリメターは「境界」のことで、ネットワークの境界 = ステートフルファイアウォールを使った境界を意味します。
このステートフルファイアウォールというのが最も重要で、これにより許可していない通信を全てブロックすることができます。
マイクロセグメンテーションは、このセグメンテーションとペリメターを限りなく小さい範囲で(理想はエンドポイント、サーバ、ホスト単位)実装し、データセンターの中であっても全ての通信を可視化、不要な通信をブロックすることを目的としています。

マイクロセグメンテーション.png

ゼロトラストで最も参照されている文献の1つであるNIST SP800-207 では、セグメンテーションとペリメター(Perimeter)を区別して記載しています。ただ、言葉が長い、分かりにくいこともあり、マイクロセグメンテーションにペリメターも含んで述べられていることがほとんどで、ここでもマイクロセグメンテーション=ペリメターも含んだ対策として記述します。

最近のセキュリティ事案でも、ほとんどのサービスが同じインフラで構築されていたことにより被害が拡大したとありました。
恐らく同じインフラであることが問題なのではなく、サービス毎のセグメンテーションを正しく実装できていなかった可能性があります。マイクロセグメンテーションを正しく実装していれば、同じインフラ、同じデータセンターであっても、ランサムなどセキュリティ侵害の影響範囲を限定することができるはずです。

microsegmentation_area.png

手軽にマイクロセグメンテーションを実現する方法
マイクロセグメンテーションを実現する方法は以下の通りいくつかありますが、私がお勧めしたいのが4つ目のサーバー収容スイッチでの実現です。

・ファイアウォールにトラフィックを集約
・サーバにエージェントをインストール<
・仮想スイッチで実現
・サーバー収容スイッチ(Top of Rack)で実現

理由は HPE Aruba Networking のソリューションだからというのとは別に、
最も手軽で費用対効果が高いソリューションだからです。
ArubaCX 10000 Switch にはステートフルファイアウォール専用のDPUというチップを内蔵しているので、データセンタークラスのスイッチで、且つステートフルファイアウォールを使ったマイクロセグメンテーションを実現できます。
トラフィック集約によるボトルネックも発生せず、サーバ、仮想インフラに依存せず、サーバー収容スイッチ(Top of Rack)を入れ替える(もしくはインラインで導入する)だけです。

CX10000_DCN.png

2026年までに60%の企業がマイクロセグメンテーションを取り入れたゼロトラストを実装するだろうといったガートナー社のレポートもあります。
日々進化しているサイバー攻撃に備えるため、データセンターのセキュリティ対策も今一度見直してみましょう。

CX 10000 Switch に関しては以下のブログもご参照下さい。
データセンターのゼロトラストを実現する分散サービススイッチ
分散サービススイッチAruba CX 10000 のユースケース 


コラム:ステートフルファイアウォールって何?
世の中の多くのネットワーク通信は双方向です。例えば、パソコンのブラウザで動画を見ている場合、パソコンから動画サイトへ通信しつつ、動画サイト側からパソコンへも通信が発生しています。ではこの時、ファイアウォールが動画サイトからパソコン(つまり外部から内部)への通信を許可しているのでしょうか?
答えは、半分正解で、内部発の通信に対する折返し通信だけを許可しています。これを実現しているのがステートフルファイアウォールです。ステート、つまり通信の状態(セッションやフローと呼ぶことが多いです)を監視し、必要な通信だけを許可することができます。この機能がないと(つまりステートレスだと)、あらかじめ想定される送信元(外部から)の通信を常に許可した状態にする必要があり、万が一攻撃者にその情報場漏れると、そこから簡単に内部に侵入されてしまいます。
以下の図はステートレスとステートフルの違いを簡単にまとめたものです。
statefull_stateless.png

Aruba事業統括本部 テクノロジーコンサルティング部
下野慶太

0 感謝
作者について

Aruba_Japan

HPE Aruba Networking 事業部は Edge-to-Cloud に最適なネットワークソリューションを提供しています。快適なネットワークライフを実現するための情報を発信していきます。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります