CyberSEALs’s diary

セキュリティをカッコよく!を合言葉にセキュリティ関連の情報発信していきます!

<ゼロトラスト・セキュリティ②~マイクロセグメンテーション~>

 <ゼロトラスト・セキュリティ②~マイクロセグメンテーション~>

さて、今回も引き続き、【ゼロトラスト・セキュリティ】について書いていきます。

第二回目はマイクロセグメンテーションです。

第一回目は【IAP】について図を使ってご紹介させて頂きましたが、ご覧頂けてましたでしょうか?

サクッとおさらいになりますが、

IAPは「ゼロトラストな環境」を構築するための1つの方法であり、

 「プロキシ機能を持ったID管理ソリューション」 的なイメージで、「プロキシFW+IDP」と覚えればOK!でしたね。

※お忘れの方は以下よりどうぞ!

 https://www.cyberseals.work/entry/2019/05/21/090826

 

さて、今回は「ゼロトラストな環境」を構築するため「IAP」以外の方法をご紹介したいと思います!他の方法を知ることでIAPについてより深い理解を得ることができると思います!

キーワードは①マイクロセグメンテーション②ソフトウェア定義境界(=SDP)です✌✌✌

 

この記事では①マイクロセグメンテーションについてご紹介します!

 

・マイクロセグメンテーション

一言でいえば「今までよりもNWセグメントを細かく区切りましょう」という説明で済んでしまいます( ´∀` )

もう少し具体的にご説明しますと、

今までNW環境を管理する際、

・「FWなどLANを作成する。次にそのLANをSWでVLANセグメントに分ける」

・「異なるLANとLAN、異なるVLANとVLANなどで通信をしたい場合、FWやSWのACLに通信の許可/不許可の設定をする」

みたいな感じでNW環境を作ってきたかと思います!(^^)!

 

このセグメントをより細かく(=マイクロに)定義して、管理しようよ!というのがマイクロセグメンテーションとなります。実際には、各サーバに仮想FWなどを導入して、サーバとサーバが通信をする際は1台1台異なるセグメント間の通信とみなし、仮想FW経由で通信を管理することとなります!

つまり、

AサーバとBサーバが今までは同セグメントにいたものを、ゼロトラストの思想に基づいて、これからはAサーバとBサーバはお互いに簡単には使用せず、FW経由でしか通信できなくするということになります。(=ゼロトラストは寂しいものなのです😢😢)

 

以下、イメージ図を参考にしてください!

f:id:CyberSEALs:20190610155836p:plain

最後に、マイクロセグメンテーションのメリットとデメリットをご案内させて頂きます!

・メリット

⇒今までのNW環境のセグメント分けの考えの延長なので、わかりやすい!

⇒小規模なNW環境であれば、シンプルになる!

・デメリット

⇒大規模なNW環境ではFWの台数が多くなりコストがかさむ!

⇒各FWを一括管理できないと設定がかなり大変!

 ※上記は個人的な見解も含んでますので、ご参考までに🥺