柱名: ネットワークを保護する
パターン名: ネットワーク分離
コンテキストと問題
最新の脅威アクターは、弱いネットワーク境界を利用して横方向に移動し、特権をエスカレートします。 一般的な攻撃パスには、盗まれた資格情報、プロトコルの不正使用、トークンリプレイなどがあります。 内部に入ると、敵対者は機密性の高いワークロードにアクセスするために、不適切なセグメント化、過度に制限されたアクセス許可、または共有インフラストラクチャを利用することがよくあります。
従来のフラット ネットワークでは 、最小限の特権 アクセスを適用することが困難になり、多くの場合、リソースに広範に到達可能なままにします。 明確な分離がなければ、内部と外部の両方の脅威によって、複数のシステムが迅速に侵害される可能性があります。 課題は、ネットワークのセグメント化を標準化し、境界を適用し、トラフィック フローを厳密に制御して横移動を防ぎ、侵害を封じ込めすることです。
解決策
ネットワーク分離は、ネットワークをセグメントに分割して分離し、ネットワークへのアクセスを制御することで、ネットワークをセキュリティで保護します。 ID 対応のネットワーク セキュリティ ソリューションと、可視性、監視、検出機能の改善が組み合わせられています。 コア プラクティスは次のとおりです。
ネットワークセグメント化とソフトウェア定義境界: ネットワークパーティション分割と動的なリスクベースのアクセスを使用して、侵害を想定し、横移動を制限します。 スコープ付きアクセスを使用して最小限の特権を適用し、ID ベースのアクセス制御を使用して明示的に確認します。
SASE と ZTNA: セキュリティとネットワークを統合するには、Secure Access Service Edge (SASE) と Zero Trust Network Access (ZTNA) アーキテクチャを使用します。 コンテキスト、ID、条件付きアクセス制御に基づいてアクセスを許可および制限することで、ゼロ トラストの原則を調整します。
暗号化と通信: 転送中のデータを保護し、強力で最新の暗号化と通信を使用してデータ改ざんのリスクを制限し、脆弱なプロトコルをブロックすることで、侵害を想定します。
可視性と脅威検出: 継続的な可視性と監視、およびネットワーク アクティビティのログ記録を使用して 侵害を想定 します。 最小限の特権を適用し、アクセス制御と脅威検出を使用して明示的に検証し、異常を検出して表示します。 ネットワーク リソースと制御のデプロイ、管理、割り当てを大規模に自動化して、ゼロ トラストを適用します。 自動化がないと、遅延、不整合、ギャップがすぐに発生する可能性があります。
ポリシー駆動型コントロール: 明示的に検証 し、詳細なアダプティブ ID 中心の条件付きアクセス ポリシー制御を使用して 最小特権 を適用します。 既定で拒否され、常にリスクを再評価する侵害を想定します。
クラウドとハイブリッド のネットワーク セキュリティ: クラウド ワークロードを保護されたマイクロ境界に分離し、SaaS および PaaS アプリ用の ID 対応プロキシとクラウド セキュリティ アクセス ブローカー (CASB) ソリューションを使用して、マルチクラウドおよびハイブリッド環境で 侵害を想定 し、 明示的に検証 します。 クラウドとオンプレミス全体の統合セキュリティ ポリシー、セキュリティで保護されたハイブリッド接続メカニズム、クラウド/ハイブリッド セキュリティ体制の改善、一元化されたセキュリティ監視を使用して、ゼロ トラスト原則を適用します。
ガイダンス
組織は、次の実用的なプラクティスを使用して、同様のパターンを採用できます。
| 利用シーン | 推奨されるアクション | Resource |
|---|---|---|
| マイクロセグメント化 |
|
Azure ネットワーク セキュリティ グループの概要 |
| 仮想ネットワークを分離する |
|
VNet の分離 - Azure 仮想ネットワーク |
| PaaS リソースの境界保護 |
|
ネットワーク セキュリティ境界とは |
| 仮想マシンへのセキュリティで保護された接続 |
|
Azure Bastion について |
| 外部に向けた仮想アクセスを制限する |
|
Azure のデフォルトのアウトバウンド アクセス - Azure Virtual Network |
| レイヤー境界防御 |
|
Azure DDoS Protection の概要 |
| 一元化されたポリシー管理 |
|
Azure Virtual Network Manager のセキュリティ管理者ルール |
結果
メリット
- 回復性: 侵入の爆発半径を制限します。
- スケーラビリティ: 標準化されたネットワーク分離は、エンタープライズ規模の環境をサポートします。
- 可視性: サービスのタグ付けと監視により、トラフィック フローの属性が明確になります。
- 規制の調整: 機密性の高いリソースを厳密に分離する必要があるフレームワークへの準拠をサポートします。
Trade-offs
- 運用上のオーバーヘッド: セグメント化されたネットワークの設計と保守には、計画と継続的な更新が必要です。
- 複雑さ: セグメント化が増えるほど、追加の管理レイヤーが導入され、スケーリングに自動化が必要になる場合があります。
- パフォーマンスに関する考慮事項: 一部の分離対策では、レイテンシがわずかに増加することがあります。
主な成功要因
成功を追跡するには、次を測定します。
- インターネットに直接アクセスできない、分離された仮想ネットワークにデプロイされたワークロードの数。
- 一元化されたセキュリティ管理者ルールによって管理されるサービスの割合。
- レッドチームテスト中に横移動の経路の減少が識別された。
- 環境全体で最小限の特権ポリシーに準拠する。
- 異常なネットワーク アクティビティを検出して修復する時間。
概要
ネットワーク分離は、横移動を防ぎ、機密性の高いワークロードを保護するための基本的な戦略です。 リソースをセグメント化し、境界を適用し、多層防御を適用することで、組織は攻撃面を減らし、現代の敵対者に対する回復性を構築します。
ネットワークの分離はオプションではなくなりました---クラウドとハイブリッド環境を保護するために必要な制御です。 ネットワーク分離の目的は、横移動を減らし、ゼロ トラストに合わせ、エンタープライズ規模の環境を保護するための明確なフレームワークを提供します。
さらに、すべてのネットワーク、ID、デバイスのアクティビティを継続的に監視する必要があります。 拡張検出と対応 (XDR) ソリューションと SIEM ツールを使用してログを一元化し、セキュリティ アラートを関連付けて、異常や脅威を効果的に検出します。 行動分析、ディープ パケット検査、自動脅威対応を組み合わせて、疑わしいアクティビティをすばやく含め、効率的なインシデント対応をサポートします。
現在のネットワーク トポロジを評価し、セグメント化と境界制御を実装して、ネットワーク分離の目的に合わせます。