マイクロセグメンテーションとは

マイクロセグメンテーションは、データセンターとアプリケーション環境を小さなセグメントに分割し、仮想マシン (VM) 上またはコンテナ内の単一のアプリケーションなど、個々のワークロードを保護するソフトウェア・デファインドのセキュリティ技術です。従来のネットワーク・セグメンテーションでは多くの場合、セキュリティ対策は内部ネットワークとインターネットの境界部分に集中しています。マイクロセグメンテーションはその焦点を内部へと移し、ネットワーク内部を流れるトラフィックに対して、粒度が小さいセキュリティポリシーを適用します。

マイクロセグメンテーションではセグメントが分離されているため、攻撃者が最初の侵入地点を突破した場合でも、システム間の移動を阻止できます。このアプローチはゼロトラスト・セキュリティの中核を成す要素であり、データセンター内の通信はデフォルトでは信頼できないものとして扱うべきであるという原則に基づいています。そのため、すべてのリクエストは必ず、自動化された厳格なポリシーに基づいて検証されます。 

VMware 管理者向け：Red Hat OpenShift の詳細を見る

マイクロセグメンテーションは、特定の一点を集中的に保護するのではなく、個々のワークロードを保護することでネットワークセキュリティを向上させます。VM、コンテナ、サーバーレスなどのワークロードを処理する先進的なデータセンターにおいて、このアプローチは既存の境界防御を補完するものとなります。これにより、たとえメインネットワークの壁が突破されたとしても、すべての内部コンポーネントはそれぞれ固有のソフトウェア定義境界によって保護されます。

従来のネットワーク・セグメンテーションとマイクロセグメンテーション

従来、ネットワークはファイアウォールや仮想ローカルエリア・ネットワーク (VLAN) といったハードウェアベースのツールを使用してセグメント化されていました。このアプローチは、「North-South」方向のセキュリティ、つまりメインゲートウェイを通じてデータセンターに出入りするトラフィックに重点を置いたものです。 

このモデルの問題は、特定のセグメント内のすべてを「信頼できるもの」として扱っている点です。アプリケーションとデータベースが同じ VLAN 上にある場合、通常は制限なく相互に通信できます。どちらか一方が侵害された場合、ネットワークの入り口におけるセキュリティはすでに突破されているため、もう一方も危険にさらされることになります。

マイクロセグメンテーションは、「East-West」トラフィック、つまりサーバーとアプリケーション間で内部的に行われる通信を対象としています。セキュリティポリシーを個々のワークロードレベルで適用することで、基盤となる物理ネットワーク構成や VLAN のどこにサーバーが配置されているかに関係なく、ポリシーを適用することが可能になります。ソフトウェアは、そうした境界ではなくワークロード自体のアイデンティティに基づいてセキュリティを定義します。 

メカニズム

マイクロセグメンテーションは、次の 3 つの基本原則を使用してネットワークを保護します。

• 分離：ワークロードは、ルールで通信が許可されている場合を除き、分離された状態に保たれます。これはソブリンなデジタル環境を構築するのに役立ちます。たとえば、たとえ同じ物理ハードウェア上に存在していても、開発環境とプロダクション環境を分離することができます。
• 粒度が小さいコントロール： セキュリティチームは非常に具体的なルールを作成できます。たとえば、「サーバー A はサーバー B と通信できる」ではなく、「Web サーバーは特定のポートを介して、特定の種類のデータのみ、データベースと通信できる」というルールを設けることができます。
• 最小特権の原則： これは、ワークロードに対して、タスクの遂行に必要な最小限のアクセス権限のみを与えることを意味します。サービスが他のシステムに接続する必要がない場合、マイクロセグメンテーションはその接続を確実にブロックします。 

ソフトウェアベースおよびポリシー駆動型の実装

先進的なインフラストラクチャは常に変化しているため、手動のハードウェア設定だけではセキュリティを確保できません。VM やコンテナのスピンアップとスピンダウンはあまりにも頻繁に行われるため、手作業での対応は不可能です。

マイクロセグメンテーションはソフトウェアベースであり、ポリシー駆動型です。セキュリティポリシーはコードとして記述されます。新しい VM やコンテナが起動するとシステムがそれを認識し、関連するセキュリティタグおよびルールを自動的に適用します。セキュリティは、使用する物理サーバーやクラウドに関係なく、ワークロードと共に移動します。

ソフトウェア・デファインド・ネットワークの詳細

マイクロセグメンテーションは、従来のハードウェアベースのネットワークでは (不可能ではないにしても) 実現が困難なレベルの制御と可視性を提供します。先進的な IT 環境におけるマイクロセグメンテーションの主なメリットは以下のとおりです。

より強固なセキュリティと、ラテラルムーブメントの制限 

マイクロセグメンテーションの最も重要なメリットは、侵害を封じ込められることです。フラットなネットワークでは多くの場合、優先度の低いシステムへのアクセス権を取得した攻撃者は、顧客情報を含むデータベースなどの価値の高い標的にも自由に移動できてしまいます。

マイクロセグメンテーションは個々のワークロードをセグメント化して分離するので、たとえ 1 つのワークロードが侵害されたとしても脅威はそこから出ることができません。攻撃者は事実上、デジタルな「部屋」に閉じ込められます。そこには家の他の部分と繋がる扉はありません。

コンプライアンスと監査可能性の向上

医療や金融など、厳格な規制が適用される業界では、マイクロセグメンテーションによってコンプライアンス・プロセスを単純化できます。マイクロセグメンテーションにより、機密データを扱うシステムをネットワークの他の部分から分離できます。

セキュリティポリシーはソフトウェアによって定義されるため、監査担当者はどのユーザーがどのシステムへのアクセスを許可されているか容易に把握できます。このように粒度が小さいレポートが得られるため、機密情報が規制基準に従って保護されていることの証明がはるかに容易になります。 

ネットワークトラフィックの可視性と制御性の向上

見えないものを保護することはできません。マイクロセグメンテーション・ツールは、「East-West」方向のトラフィックパターンを詳細に可視化します。セキュリティチームは、さまざまなアプリケーションやサービスのインタラクションをリアルタイムで正確に把握できます。この可視性が、セキュリティ上の脅威やパフォーマンスの障害を示す可能性のある異常な動作を特定するのに役立ちます。

先進的な IT 環境への適応性

従来のセキュリティルールは多くの場合、IP アドレスや特定のハードウェアポートなど、物理的な場所に結びついています。クラウドネイティブの世界では、それらの場所はコンテナのスピンアップやスピンダウンに応じて絶えず変化します。 

マイクロセグメンテーションは環境に依存しません。セキュリティポリシーはネットワークハードウェアではなくワークロードに適用されるため、ワークロードがオンプレミスのデータセンター、プライベートクラウド、パブリッククラウドのいずれの環境で実行されていても、その保護は一貫して維持されます。

自動化による管理の単純化

マイクロセグメント化された先進的な環境では、セキュリティポリシーの設定は自動で行われます。新しいアプリケーションがデプロイされると、その役割に基づいて必要なセキュリティポリシーが自動的に継承されます。これにより、管理者による手動設定の必要性が減り、人的ミスのリスクが低減されます。

マイクロセグメンテーションを使用してネットワークアクセスを設定する方法の詳細

単一の物理サーバー上で複数の仮想マシンを実行できる仮想化は、長年にわたり、データセンターを効率化するための主要な手段として使用されてきました。しかし、仮想環境への移行により、新たな脆弱性が生じました。従来のハードウェア・ファイアウォールでは多くの場合、同じ物理ホスト上に存在する 2 つの仮想マシン間を流れるトラフィックを検知できません。 

このような内部的な可視性がない場合、セキュリティチームは悪意のあるラテラルムーブメントを常に特定または阻止できるとは限りません。さらにクラウドネイティブ・アーキテクチャへと移行し、仮想マシンとコンテナの両方を使用するようになると、この課題はますます大きくなります。 

仮想環境における従来のセグメンテーションの限界

従来のセグメンテーションにおけるトラフィック検査は、仮想ホストからルーティングして物理ファイアウォールを通過させ、それを再び仮想ホストに戻すという方法を使用しています。このプロセスは、パフォーマンス上の深刻な障害とレイテンシーを引き起こします。これはスケーラブルな環境のセキュリティを確保するには非効率です。また、動的な仮想環境では、IP アドレスや物理的な位置は頻繁に変化します。ハードウェアベースのルールは、絶えず移行や拡張を行う仮想マシンに対応するにはあまりにも柔軟性が足りません。

マイクロセグメンテーションでスケーラブルなインフラストラクチャをサポートする方法

マイクロセグメンテーションは、基盤となる物理ハードウェアからセキュリティを分離することで、そのような非効率性を解消します。セキュリティは、トラフィックを中央ファイアウォールに強制的に送ることで実現するのではなく、各 VM またはコンテナの仮想ネットワーク・インタフェースに存在するセキュリティポリシーによって適用されます。 

これにより、以下のことが可能になります。 

• パフォーマンスを大規模に実現： セキュリティチェックは仮想化レイヤー内でローカルに実行されるため、内部トラフィックを外部デバイスに送信して長いループを経由させる必要はありません。
• 環境間での一貫性： ワークロードが従来の VM であろうと先進的なコンテナであろうと、マイクロセグメンテーションはスタック全体にわたってセキュリティポリシーを管理するための単一の方法を提供します。
• 可動性： VM が別の物理ホストに移動すると、そのセキュリティ境界も自動的に移動します。

マイクロセグメンテーションは、セキュリティを仮想化レイヤーに直接統合するので、内部システムを危険にさらすことなくインフラストラクチャを迅速に拡張できます。

マイクロセグメンテーションは、組織の特定の目標に適用した場合に最も効果を発揮します。一般的なシナリオには以下のようなものがあります。 

• ハイブリッドクラウド環境のセキュリティの確保： オンプレミスのデータセンターと複数のクラウドプロバイダーにまたがるアプリケーションを、一貫した 1 つのセキュリティポリシーで保護します。
• 法令順守： 機密性の高い財務データや医療データ (クレジットカード番号や診療録など) を扱うシステムを分離することで、ネットワーク全体を壁で囲って保護することなく、厳格な監査要件を満たすことができます。
• 開発環境およびプロダクション環境の保護： テスト環境におけるバグやセキュリティ上のギャップが、顧客データが存在するプロダクション環境にもたらされないようにします。 

マイクロセグメンテーションは優れたセキュリティを提供しますが、従来のネットワークモデルからマイクロセグメンテーション・モデルへの移行には綿密な計画が必要です。

一般的な課題

• 初期の複雑さ： 大規模な組織では、常に何千もの接続が発生しています。これらの接続をマッピングして、何が何と通信すべきかを理解するのは困難な作業となる可能性があります。
• ポリシー管理： セグメントが増えれば、ポリシーも増えます。人間の管理者が何千ものセキュリティルールを個別に管理するのは、適切なツールがなければ困難です。
• 既存のツールとの統合： マイクロセグメンテーションは、パフォーマンスの問題や隠れたリスクを引き起こすことなく、既存のセキュリティスタックやインフラストラクチャと連携して機能しなければなりません。

成功のためのベストプラクティス

マイクロセグメンテーションにおける一般的な課題を克服し、スムーズなロールアウトを実現するために、以下の業界ベストプラクティスを検討してください。

• 小さく始める： いきなりデータセンター全体でマイクロセグメンテーションを実現しようとしないでください。まず、明確に定義されたアプリケーションまたは特定の環境から始めます。そうした初期プロジェクトを通じて、ポリシー作成プロセスを洗練させていきましょう。
• 高価値のアセットを優先する： 初期段階では、機密性の高い顧客データを扱うアプリケーションや、事業運営に不可欠なアプリケーションに注力します。
• 自動化できるところは自動化する： 手作業によるルール策定では拡張性に限界があります。トラフィックパターンを自動検出し、セキュリティポリシーを提案するツールを活用しましょう。自動化することにより、環境の拡大に合わせてセキュリティも拡大させることができます。
• 継続的監視を実装する： アプリケーションは進化していきます。新たな通信パターンを特定してポリシーを調整できるよう、ネットワークトラフィックを常に監視する必要があります。 

Red Hat の先進的かつモジュール式のマイクロセグメンテーション手法により、肥大化したプロプライエタリなサブスクリプションによく見られる複雑さや、シェルフウェア (未使用のまま放置されるソフトウェア) といった問題を回避できます。Red Hat® OpenShift® Virtualization を使用すると、単一のプラットフォーム上で一貫したセキュリティポリシーを使用して仮想マシンとコンテナを管理できます。これにより、ロックインによって不要な機能に対する料金を支払い続けることなくインフラストラクチャを拡張できます。 

オープンソース標準に基づいて構築された Red Hat OpenShift はゼロトラスト・アーキテクチャをサポートする先進的なアプリケーション・プラットフォームであり、粒度が小さいネットワークポリシーをワークロードレベルで適用できます。これは、すべての VM とコンテナがデフォルトで分離されており、内部からの脅威から保護されていることを意味します。 

Red Hat なら、従来のベンダーロックイン型セキュリティスイートのような負担なしに、既存の環境に容易に統合できる柔軟で将来を見据えたセキュリティ・ソリューションを手に入れることができます。 

VM を VMware から Red Hat に移行する方法の詳細