2,997 測定値

ネットワークセキュリティ: ほとんどの人が考えないこと

に Michael Gibbs3m2022/07/08

長すぎる; 読むには

ほとんどの人は、ファイアウォール、侵入検知および防止システムによるネットワークセキュリティを思い浮かべます。これらのコンポーネントとプラクティスは役に立ちますが、ベースラインセキュリティと見なす必要があります。マイクロセグメンテーションを使用すると、ネットワーク内で発生することを監視して調整し、1 つのシステムで発生した違反や攻撃が他のシステムに影響を与えないようにすることができます。サービスの品質 (QoS) またはトラフィックの優先順位付けを使用して、ネットワークのセキュリティを強化できます。これにより、音声トラフィックと特定の重要なアプリケーショントラフィックに対してネットワークの可用性が優先されるようになります。

Companies Mentioned

featured image - ネットワークセキュリティ: ほとんどの人が考えないこと

ネットワークセキュリティとなると、ほとんどの人は当たり前のことを考えます。通常、これには、ファイアウォール、侵入検知および防止システム、ID およびアクセス管理が含まれます。これらのコンポーネントとプラクティスは役に立ちますが、ベースラインセキュリティと見なす必要があります。これら以外にも、ネットワークのセキュリティレベルを劇的に向上させることができる、ほとんどの人が考えていないことがたくさんあります。

マイクロセグメンテーションによるネットワークセキュリティの向上

マイクロセグメンテーションの実装は、ネットワークセキュリティを次のレベルに引き上げる 1 つの方法です。マイクロセグメンテーションには、基本的に、システムを互いに分離し、システム間のトラフィックをフィルタリングして、それらが安全でそれぞれから分離されていることを確認することが含まれます。これにより、ネットワーク内で発生することを監視および調整し、1 つのシステムで発生した違反や攻撃が他のシステムに影響を与えないようにすることができます。

アドミッションコントロールは、マイクロセグメンテーションの利点の 1 つです。誰かがネットワークに物理的にアクセスできる場合、その人は簡単にシステムに接続してシステムを停止できます。 802.1X 認証を使用してシステムのメディアアクセス制御 (MAC) アドレス (イーサネットカードのハードウェアアドレス) へのアクセスを制御することにより、権限のないユーザーがシステムにプラグインするのを防ぐことができます。

ユーザーのセグメント化は、ネットワークにセキュリティ層を追加するためのもう 1 つの戦略です。ネットワークスイッチングを使用すると、仮想 LAN または VLAN と呼ばれるものを作成できます。これは、基本的にネットワークスイッチ内の仮想スイッチです。 VLAN を作成することで、互いに話す必要のないユーザーを分離できます。

たとえば、VLAN を使用すると、HR チーム専用のネットワーク、経理チーム専用のネットワーク、システム管理者専用のネットワークをすべて同じシステム上に作成できます。専用 VLAN の外に出るには、ユーザーはルーターを経由する必要があります。ルーターが関与すると、アクセス制御リストやその他のセキュリティフィルタリングを利用できます。 VLAN を使用すると、あるシステムが別のシステムに接続できないようにすることを目的として、システムをマイクロセグメント化できます。

さらに詳細な制御を実装するために、プライベート VLAN をセットアップできます。 VLAN はネットワークを分離しますが、各 VLAN には多数のサーバーが存在する場合があります。 15 台のサーバーが VLAN に接続されている場合、それらのサーバーはすべて相互に通信できます。 1 つがワームまたはウイルスに感染すると、VLAN 上の他のサーバーが感染する可能性があります。プライベート VLAN を確立すると、これらのサーバーが通信できなくなり、攻撃の拡散を防ぐことができます。

IP レベルでのネットワークセキュリティの向上

TCP IP スタックを IP レベルに移動すると、ネットワークセキュリティを強化する別の機会が得られます。たとえば、送信元アドレス、宛先アドレス、プロトコル、およびポート番号を確認するファイアウォールルールのようなアクセス制御リストを作成することにより、サブネット間を移動できるトラフィックを制限するフィルターを作成できます。その制御リストをルーターに追加すると、異なるサブネットにいるユーザーがネットワークに無制限にアクセスできなくなります。

レート制限は、このレベルで実装できるもう 1 つのセキュリティツールです。たとえば、ワームに感染した 100 GB のネットワークを持つシステムがあるとします。このワームは、文字通り 100 GB のネットワークトラフィックをネットワークに吐き出し、大混乱を引き起こし、システムをクラッシュさせる可能性があります。レート制限により、トラフィックが事前定義された量を超えないようにします。ワームの例では、増加したトラフィックはネットワークの標準に違反し、ドロップされ、危機とコストのかかるクラッシュを回避します。

最後に、サービスの品質 (QoS) またはトラフィックの優先順位付けを使用して、ネットワークのセキュリティを強化できます。システムがハッキングされたり、ワームやウイルスに感染したりした場合、理論的には、攻撃によってネットワークがトラフィックで圧倒され、重要なネットワーク機能が無効になる可能性があります。これは、ネットワーク側で、キューイングメカニズムと呼ばれることもある QoS を有効にして、あるタイプのトラフィックを別のタイプよりも優先することで防ぐことができます。たとえば、音声トラフィックと特定の重要なアプリケーショントラフィックのネットワークアベイラビリティを優先し、その他すべての優先順位を下げることができます。基本的に、QoS は重要なトラフィックが通過し続けるようにすることで、ワームを打ち負かします。

ネットワーク攻撃に関しては、企業は「いつ起こるのか?」と考えているに違いありません。「それは起こりますか？」ではなく。 2021 年の統計によると、企業は 39 秒ごとにサイバー攻撃の犠牲になっています。攻撃を撃退し、被害を抑えるには、ベースラインセキュリティ以上のものが必要です。ほとんどの企業が考えていないセーフガードを適用することは、企業を安全に保つためのステップになる可能性があります。