サイトへのマイクロセグメンテーションゼロトラストセキュリティを追加する

概要

マイクロセグメンテーション(ホストレベルのセグメンテーション)は、ホスト間の移動に対するアクセス制御を追加することにより、同じブロードキャストドメイン(例: VLAN 内)のトラフィックを保護します。 従来のネットワークファイアウォールは、しばしばレイヤー 3 で動作し、内の VLAN(レイヤー 2)トラフィックを常に監査またはブロックするとは限りません。

Cato の Socket サイトでマイクロセグメンテーションを有効にすると、範囲のサブネットマスクは複数の /32 アドレスに分割されます。 その VLAN 内のホスト間のすべてのトラフィックは、デフォルトゲートウェイ(Socket)に送信され、関連する Cato ファイアウォールエンジンがトラフィックを宛先ホストに到達する前に評価します。 これにより、VLAN を共有するホスト間の「東-西」トラフィックがファイアウォールを通過して監査およびポリシーの施行が行われるようになります。

デバイスの最適なオンプレミスセキュリティを提供するために、マイクロセグメンテーションにはSocket Next Gen LAN Firewallを使用することをお勧めします。

Why You Need It

  • 同じLAN内のホスト間の不正トラフィックを防止することによりリスクを軽減します。

  • ゼロトラストポリシーに従うよう、レイヤー2トラフィックの可視性を獲得し、ホスト間の通信をすべて規制します。

  • 多数のVLANを作成する代わりに、ホストレベルでポリシールールを適用してセグメンテーションを簡素化します。

マイクロセグメンテーションかつDHCP設定

マイクロセグメンテーションは、各デバイスに/32のアドレスを割り当て、すべての水平トラフィックをソケット経由でポリシー評価するためにDHCPを使用します。 CatoをDHCPサーバーとして使用するか、CatoのDHCPリレーを介して統合されたサードパーティのDHCPサーバーのいずれかを使用して、マイクロセグメンテーションを有効化できます。

これらはマイクロセグメンテーションのためのDHCP設定オプションの説明です:

  • DHCPサーバーとしてのCato - Catoはネットワーク範囲内のホストに直接IPアドレスを割り当てます。 マイクロセグメンテーションが有効にされると、Catoは各DHCP割り当てに/32のアドレスを自動的に適用し、ソケットを通じて水平トラフィック検査を実施します。

  • DHCPリレーを使用するサードパーティDHCPサーバー - 外部DHCPサーバーを使用しているネットワーク範囲に対してマイクロセグメンテーションを有効にし、DHCPリレーとしてCatoを設定します。 この設定では、外部サーバーがIPアドレスを割り当て、CatoはCato管理DHCPと同様に/32ホストルーティングと水平トラフィック検査を実施します。 既存のDHCPインフラを変更することなく、ゼロトラストのセグメンテーションを適用できます。

注意

注意: DHCPリレーに対するマイクロセグメンテーションのサポートは、Socketバージョン24.0.21570以降を実行している物理Socketサイトが必要です。

前提条件

  • 物理ソケットがv22.x以上のバージョンであること

  • ネイティブ範囲およびVLANネットワーク範囲に対応

  • セキュリティ要件に基づき、LANまたはWANファイアウォールポリシーを設定して、マイクロセグメンテーションでカバーされているデバイスに対する関連トラフィックを許可します。

マイクロセグメンテーションのための検証済みOS

以下のオペレーティングシステムは、Catoによってマイクロセグメンテーションをサポートしていると確認されています。 異なる OS を使用するデバイスにマイクロセグメンテーションを適用する前に、OS が環境内で正しく機能することを確認することをお勧めします。

  • Android Samsung Galaxy A24 SM-A245F/DSN

  • BusyBox DHCPクライアント(Linux 18.04.6 LTS Ubuntu Debian OSに基づく)

  • iOS 18.3.1

  • Linux 18.04.6 LTS Ubuntu Debian (Bionic Beaver)

  • macOS Apple M4 Pro 15.3.2 (24D81)

  • プリンタ HP LaserJet Pro MFP M428fdn

  • プリンタ Brother モデル MFC-L2700DW

  • Windows 11

  • Windows 10 ESX VM: Windows 10 Enterprise, 22H2 19045.5608 (64-bit operating system, x64-based processor)

  • Windows Server 2022 ESX VM Datacenter, AMD EPYC 7413 24コアプロセッサ 2.65 GHz (64-bit operating system, x64-based processor)

  • Windows Server 2019 ESX VM 標準 AMD EPYC 7413 24コアプロセッサ 2.65 GHz (64-bit operating system, x64-based processor)

  • Yealink IP Phone SIP-T23G & SIP-T40G

Recommendations for Deploying Microsegmentation

マイクロセグメンテーションをデプロイすると、ネットワーク内の横方向の移動を制限するセキュリティポリシーの厳密な施行を確保する過程で、正当なトラフィックが中断される可能性があります。 ネットワークにおいてマイクロセグメンテーションを成功裡に展開するために、以下の推奨事項に従ってください。

  1. Gradually enable microsegmentation in your account, starting with a single range.

  2. マイクロセグメンテーションは現行の DHCP リース時間が終了し、デバイスが新しい DHCP IP を要求した後にのみ有効になるため、以下を実行する必要があります:

    1. アカウント設定を上書きしてDHCPリース時間を短縮します。ネットワーク範囲の最小値は1分です。

    2. アカウント全体にマイクロセグメンテーションを有効にする際、一時的にアカウントレベルのDHCPリース時間を短縮します。 マイクロセグメンテーションが正しく作動することを確認した後、DHCP リース時間を元の設定に戻すことができます。

      注釈: デフォルトの DHCP リース時間は 72 時間 (3 日間) です。

  3. ネットワーク範囲内のデバイスへの影響を監視します:

    1. デバイスが、ファイアウォールポリシーに基づき、アカウント内の許可されたエンティティと通信できることを確認します。

    2. デバイスがインターネットリソースとの完全な接続性を有していることを確認してください。

      マイクロセグメンテーションは、東-西の Intra-VLAN トラフィック用であり、インターネットトラフィックには影響がないはずです。

  4. 非対称ルーティングを回避して、Intra-VLAN トラフィックがソケットを通じて対称的にルーティングされることを確保します。 マイクロセグメンテーションで保護されたデバイスは、Cato を DHCP サーバーとして使用することをお勧めします。

    例として、静的IPを持ち、誤ってCato/32サブネットマスクが設定されていないプリンタは、サイトの裏で他のデバイスと通信できません。

ネットワーク範囲にマイクロセグメンテーションを有効化

マイクロセグメンテーションのために、新規または既存のネットワーク範囲を設定します。 この設定は、サイト内の各ホストに自動 /32 サブネットマスク割り当てを強制します。 その後、セグメント化されたトラフィックが許可されていることを確認するために、Socket LAN または WAN ファイアウォールポリシーをレビューします。

DHCP_Microsegmentation.png

To enable microsegmentation for a network range behind a site:

  1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。

  2. ナビゲーションメニューから サイト設定 > ネットワーク を選択します。

  3. 新規をクリックするか、DHCP設定列でネットワーク範囲をクリックしてください。

    IP範囲パネルが開きます。

  4. Set the network Type to the supported range.

  5. Enter the other network range settings, such as: VLAN, Subnet, etc...

  6. DHCP設定を定義します:

    • DHCPサーバーとしてCatoを使用するには:

      • Set DHCP Type to DHCP Range and enter the IP address range for hosts in this DHCP Range.

    • DHCPリレーを使用してサードパーティDHCPサーバーを設定するには:

      1. DHCPタイプDHCPリレーに設定します。

      2. DHCPリレーグループで、このネットワークのDHCPリレーグループを選択します。

        DHCPリレーグループとCatoをDHCPリレーとして設定する方法について詳しくは、CatoをDHCPリレーとして設定するを参照してください。

  7. Select DHCP Based Microsegmentation.

  8. 適用をクリックし、その後保存をクリックします。

Recommendations for Rolling Back Microsegmentation

ネットワークに展開されているマイクロセグメンテーションをロールバックして元に戻す必要がある場合、ネットワークへの影響を最小限に抑えるために、これらの推奨事項に従ってください。

  1. Gradually disable microsegmentation in your account, starting with a single range.

  2. マイクロセグメンテーションを無効にしても、現行の DHCP リース時間が終了し、デバイスが新しい DHCP IP を要求した後にのみ有効になるため、以下を実行する必要があります:

    1. アカウント設定を上書きしてDHCPリース時間を短縮します。ネットワーク範囲の最小値は1分です。

    2. アカウント全体にマイクロセグメンテーションを無効にする際、一時的にアカウントレベルのDHCPリース時間を短縮します。 マイクロセグメンテーションが正しく作動することを確認した後、DHCP リース時間を元の設定に戻すことができます。

      注釈: デフォルトの DHCP リース時間は 72 時間 (3 日間) です。

既知の制限

  • Linuxベースシステムの場合、マイクロセグメンテーションを有効化しても、すでに2つのデフォルトルートが2つのルーターに接続されている場合、デフォルトゲートウェイのルートエントリーは作成されません。

    詳しい情報については、この記事をご覧ください。

この記事は役に立ちましたか?

2人中2人がこの記事が役に立ったと言っています

0件のコメント