<ゼロトラスト・セキュリティ②~マイクロセグメンテーション~>
さて、今回も引き続き、【ゼロトラスト・セキュリティ】について書いていきます。
第二回目はマイクロセグメンテーションです。
第一回目は【IAP】について図を使ってご紹介させて頂きましたが、ご覧頂けてましたでしょうか?
サクッとおさらいになりますが、
IAPは「ゼロトラストな環境」を構築するための1つの方法であり、
「プロキシ機能を持ったID管理ソリューション」 的なイメージで、「プロキシFW+IDP」と覚えればOK!でしたね。
※お忘れの方は以下よりどうぞ!
https://www.cyberseals.work/entry/2019/05/21/090826
さて、今回は「ゼロトラストな環境」を構築するため「IAP」以外の方法をご紹介したいと思います!他の方法を知ることでIAPについてより深い理解を得ることができると思います!
キーワードは①マイクロセグメンテーション②ソフトウェア定義境界(=SDP)です✌✌✌
この記事では①マイクロセグメンテーションについてご紹介します!
・マイクロセグメンテーション
一言でいえば「今までよりもNWセグメントを細かく区切りましょう」という説明で済んでしまいます( ´∀` )
もう少し具体的にご説明しますと、
今までNW環境を管理する際、
・「FWなどLANを作成する。次にそのLANをSWでVLANセグメントに分ける」
・「異なるLANとLAN、異なるVLANとVLANなどで通信をしたい場合、FWやSWのACLに通信の許可/不許可の設定をする」
みたいな感じでNW環境を作ってきたかと思います!(^^)!
このセグメントをより細かく(=マイクロに)定義して、管理しようよ!というのがマイクロセグメンテーションとなります。実際には、各サーバに仮想FWなどを導入して、サーバとサーバが通信をする際は1台1台異なるセグメント間の通信とみなし、仮想FW経由で通信を管理することとなります!
つまり、
AサーバとBサーバが今までは同セグメントにいたものを、ゼロトラストの思想に基づいて、これからはAサーバとBサーバはお互いに簡単には使用せず、FW経由でしか通信できなくするということになります。(=ゼロトラストは寂しいものなのです😢😢)
以下、イメージ図を参考にしてください!
最後に、マイクロセグメンテーションのメリットとデメリットをご案内させて頂きます!
・メリット
⇒今までのNW環境のセグメント分けの考えの延長なので、わかりやすい!
⇒小規模なNW環境であれば、シンプルになる!
・デメリット
⇒大規模なNW環境ではFWの台数が多くなりコストがかさむ!
⇒各FWを一括管理できないと設定がかなり大変!
※上記は個人的な見解も含んでますので、ご参考までに🥺