マクロセグメンテーションの仕組み
マクロセグメンテーションは、多くの場合、組織の物理ネットワークインフラストラクチャのオーバーレイとして実装されます。 これは、 ファイアウォール と仮想ローカルエリアネットワーク(VLAN)の組み合わせを使用して実現されます。
VLANは、物理ネットワーク上でトラフィックをルーティングする方法を定義する仮想化ネットワークです。 つまり、2 つのシステムが異なる VLAN 上にある場合、トラフィックをそれらのシステム間で直接ルーティングできない可能性があります。 代わりに、VLAN 間のすべてのトラフィックが最初にファイアウォールを通過する必要があるように VLAN が構成されます。 これにより、ファイアウォールはVLAN間の境界を強制し、許可なくVLAN境界を越えようとするトラフィックをブロックし、セキュリティ検査とアクセス制御ポリシーの適用を実行できます。
マクロセグメンテーションとマイクロセグメンテーション
マクロセグメンテーションと マイクロセグメンテーション は、どちらも組織のネットワークをセクションに分割する方法であり、多くの利点があります。 ただし、マクロセグメンテーションとマイクロセグメンテーションのポリシーは大きく異なります。
- マクロセグメンテーション: マクロセグメンテーションは、ネットワークをシステムのグループに分割し、部門やその他の基準に基づいてネットワークインフラストラクチャとシステムを分割する機能を提供します。 通常、VLAN とファイアウォールを使用して実装されます。
- マイクロセグメンテーション: マイクロセグメンテーションは、通常、組織のインフラストラクチャをシステムレベルまたはアプリケーションレベルで分割します。 これは、組織のネットワーク内のデータフローを非常にきめ細かく可視化して制御し、 ゼロトラスト セキュリティ戦略の実装を可能にするために使用されます。 多くの場合、ソフトウェア定義ソリューションを使用して導入されるのは、これらのシステムがルーティングの目的で詳細な可視性と制御をすでに必要としているためです(検査とポリシーの適用が容易になります)。
マクロセグメンテーションの主な利点
マクロセグメンテーションは、組織のネットワークをモノリスから個別のサブネットの集合に変換します。 これは、組織に多くの利点をもたらします。
- 可視性と制御の強化: マクロセグメンテーションを実装しなければ、組織は、境界ファイアウォールを通過するネットワーク境界でネットワークトラフィックを詳細に可視化し、制御することしかできません。 マクロセグメンテーションにより、内部ネットワークファイアウォールは、組織のネットワーク内のデータフローをより深く理解し、制御します。
- セキュリティの向上: 組織がマクロセグメンテーションを実装する主な理由は、サイバー攻撃に対する耐性を高めることです。 組織のネットワーク内の攻撃者は、一般的に侵害されるシステム(ユーザーワークステーションなど)が攻撃者の目標である可能性は低いため、目的を達成するためにネットワーク内を横方向に移動する必要がある可能性があります。 マクロセグメンテーションにより、組織はセグメント境界で内部データフローを検査できるため、この水平移動を検出する可能性が高くなります。
- ネットワークパフォーマンスの向上: マクロセグメンテーションにより、組織はビジネスニーズに基づいてネットワークをセグメント化できます。 これにより、頻繁に通信するシステムが緊密に接続され、余分なネットワークフローが貴重な帯域幅を消費しないようにすることで、ネットワーク遅延と輻輳を減らすことができます。
- 法規制の遵守: Payment Card Industry Data Security Standard (PCI DSS) などの一部のデータ保護規制では、組織が知る必要があることに基づいて、保護されたデータ (支払いカードなど) へのアクセスを制限することが義務付けられています。 マクロセグメンテーションは、PCI DSS規制コンプライアンスに不可欠な要素であり、準拠する組織は、ペイメントカード処理に使用されるシステムを企業ネットワークの他の部分から分離する必要があります。
チェック・ポイントによるマクロ・セグメンテーションの実装
マクロセグメンテーションでは、内部ネットワークファイアウォールを使用してVLANを定義し、VLAN境界を越えて流れるトラフィックのコンテンツインスペクションを実行します。 これは、組織にさまざまな利点をもたらし、企業のデータセキュリティおよび規制コンプライアンス戦略の重要な要素である可能性があります。
ただし、組織は、ネットワーク内にマクロ セグメンテーションを展開するための戦略を設計および実装する際に、ネットワーク インフラストラクチャの使いやすさも考慮する必要があります。 セグメント境界を越えるすべての内部ネットワークトラフィックが内部ネットワークファイアウォールを通過することを余儀なくされる場合、組織は、ネットワークパフォーマンスとセキュリティの両方を最大化するために、高スループットと堅牢なセキュリティ検査機能を備えたファイアウォールを必要とします。
チェック・ポイントのセキュリティ・ソリューションにより、組織はネットワーク・インフラストラクチャ全体で効果的なマクロ・セグメンテーションを実装できます。 チェック・ポイントの次世代ファイアウォール(NGFW)は、オンプレミス・インフラストラクチャに堅牢なセキュリティと高スループットを提供し、チェック・ポイントのCloudGuardは、組織のクラウドベースのデプロイメントにクラウドネイティブな可視性とセキュリティ・ソリューションを提供します。 これらのソリューションの動作を確認するには、 チェック・ポイントNGFW および CloudGuard Infrastructure as a Service (IaaS) ソリューションのデモをリクエストしてください。
Feedback