ネットワーク セキュリティとなると、ほとんどの人は当たり前のことを考えます。通常、これには、ファイアウォール、侵入検知および防止システム、ID およびアクセス管理が含まれます。これらのコンポーネントとプラクティスは役に立ちますが、ベースライン セキュリティと見なす必要があります。これら以外にも、ネットワークのセキュリティ レベルを劇的に向上させることができる、ほとんどの人が考えていないことがたくさんあります。
マイクロセグメンテーションの実装は、ネットワーク セキュリティを次のレベルに引き上げる 1 つの方法です。マイクロセグメンテーションには、基本的に、システムを互いに分離し、システム間のトラフィックをフィルタリングして、それらが安全でそれぞれから分離されていることを確認することが含まれます。これにより、ネットワーク内で発生することを監視および調整し、1 つのシステムで発生した違反や攻撃が他のシステムに影響を与えないようにすることができます。
アドミッション コントロールは、マイクロセグメンテーションの利点の 1 つです。誰かがネットワークに物理的にアクセスできる場合、その人は簡単にシステムに接続してシステムを停止できます。 802.1X 認証を使用してシステムのメディア アクセス制御 (MAC) アドレス (イーサネット カードのハードウェア アドレス) へのアクセスを制御することにより、権限のないユーザーがシステムにプラグインするのを防ぐことができます。
ユーザーのセグメント化は、ネットワークにセキュリティ層を追加するためのもう 1 つの戦略です。ネットワーク スイッチングを使用すると、仮想 LAN または VLAN と呼ばれるものを作成できます。これは、基本的にネットワーク スイッチ内の仮想スイッチです。 VLAN を作成することで、互いに話す必要のないユーザーを分離できます。
たとえば、VLAN を使用すると、HR チーム専用のネットワーク、経理チーム専用のネットワーク、システム管理者専用のネットワークをすべて同じシステム上に作成できます。専用 VLAN の外に出るには、ユーザーはルーターを経由する必要があります。ルーターが関与すると、アクセス制御リストやその他のセキュリティ フィルタリングを利用できます。 VLAN を使用すると、あるシステムが別のシステムに接続できないようにすることを目的として、システムをマイクロセグメント化できます。
さらに詳細な制御を実装するために、プライベート VLAN をセットアップできます。 VLAN はネットワークを分離しますが、各 VLAN には多数のサーバーが存在する場合があります。 15 台のサーバーが VLAN に接続されている場合、それらのサーバーはすべて相互に通信できます。 1 つがワームまたはウイルスに感染すると、VLAN 上の他のサーバーが感染する可能性があります。プライベート VLAN を確立すると、これらのサーバーが通信できなくなり、攻撃の拡散を防ぐことができます。
TCP IP スタックを IP レベルに移動すると、ネットワーク セキュリティを強化する別の機会が得られます。たとえば、送信元アドレス、宛先アドレス、プロトコル、およびポート番号を確認するファイアウォール ルールのようなアクセス制御リストを作成することにより、サブネット間を移動できるトラフィックを制限するフィルターを作成できます。その制御リストをルーターに追加すると、異なるサブネットにいるユーザーがネットワークに無制限にアクセスできなくなります。
レート制限は、このレベルで実装できるもう 1 つのセキュリティ ツールです。たとえば、ワームに感染した 100 GB のネットワークを持つシステムがあるとします。このワームは、文字通り 100 GB のネットワーク トラフィックをネットワークに吐き出し、大混乱を引き起こし、システムをクラッシュさせる可能性があります。レート制限により、トラフィックが事前定義された量を超えないようにします。ワームの例では、増加したトラフィックはネットワークの標準に違反し、ドロップされ、危機とコストのかかるクラッシュを回避します。
最後に、サービスの品質 (QoS) またはトラフィックの優先順位付けを使用して、ネットワークのセキュリティを強化できます。システムがハッキングされたり、ワームやウイルスに感染したりした場合、理論的には、攻撃によってネットワークがトラフィックで圧倒され、重要なネットワーク機能が無効になる可能性があります。これは、ネットワーク側で、キューイング メカニズムと呼ばれることもある QoS を有効にして、あるタイプのトラフィックを別のタイプよりも優先することで防ぐことができます。たとえば、音声トラフィックと特定の重要なアプリケーション トラフィックのネットワーク アベイラビリティを優先し、その他すべての優先順位を下げることができます。基本的に、QoS は重要なトラフィックが通過し続けるようにすることで、ワームを打ち負かします。
ネットワーク攻撃に関しては、企業は「いつ起こるのか?」と考えているに違いありません。 「それは起こりますか?」ではなく。 2021 年の統計によると、企業は 39 秒ごとにサイバー攻撃の犠牲になっています。攻撃を撃退し、被害を抑えるには、ベースライン セキュリティ以上のものが必要です。ほとんどの企業が考えていないセーフガードを適用することは、企業を安全に保つためのステップになる可能性があります。