ネットワークセグメンテーション - ベストプラクティス

概要

ネットワークセグメンテーションは企業ネットワークをより小さなネットワークセグメントに分割することでセキュリティを向上させ、管理を容易にします。 この記事はVLANネットワークセグメントを利用し、ネットワーク侵入の影響を最小限に抑えるためにCato管理アプリケーションを使用することに焦点を当てています。 ネットワーク侵入が発生した場合、感染したVLANは隔離され、全体のネットワークに広がることはありません。 VLANはまた、細かいアクセス制御を提供できますが、ユーザーの役割に基づいたアクセス制御を定義するファイアウォールルールを作成することもできます。

Cato Networksによるネットワークセグメンテーション

Cato管理画面を使用すると、Cato ソケットを使用するサイトのために簡単にVLANを定義できます。 サイトのネットワークセクションを使用して、VLAN範囲を基にネットワークセグメントを定義します。 以下のスクリーンショットはVLANネットワークセグメントの例を示しています (ネットワーク > サイト > {サイト名} > サイト設定 > ネットワーク):

Sites_Network.png

その後、これらのネットワークセグメントを使用してサイトのセキュリティを強化することができます。 例えば、コーポレートファイナンス部門のために別のVLANを作成し、それをWANファイアウォールルールで使用することができます。 VLAN間のトラフィックがCato Cloud経由でルーテッドされるため、このトラフィックのネットワークパフォーマンスに影響がある可能性があります。 これは、VLANが同じ物理ロケーションにある場合でも当てはまります。

セキュリティを強化するためのサーバーセグメンテーション

重要で機密性の高いデータを含むサーバーは、しばしば追加のセキュリティ層を必要とします。 これらのサーバーを別のVLANに隔離し、それらへのアクセスを制限することができます。 例えば、あなたの企業本社にあるデータベースサーバーのために別のVLANを使用することができます。

一方で、アプリケーションサーバーには公共インターネットからのインバウンドアクセスがあり、潜在的なセキュリティリスクになる可能性があります。 これらのサーバーを別のVLANに割り当て、内部や機密のサーバーへの攻撃者のアクセスを防ぐことをお勧めします。 このVLAN をDMZ(非武装地帯)として公開されたサーバーに利用することができます。

VLANを使用してサーバーとワークステーションを保護する

コーポレートワークステーションとサーバーは、ネットワークにとってセキュリティリスクとなる可能性があります。なぜなら、もしワークステーションが侵害されると、それが速やかにネットワーク全体に広がる可能性があるからです。 ただし、ワークステーションが別のVLANにある場合、VLANを隔離し、ネットワークへの接続性をブロックすることができます。 ネットワーク間の通信を許可するためには、各VLANネットワークに対するゲートウェイIPアドレスを設定する必要があります。 以下のスクリーンショットはサーバーとワークステーション用の分離されたVLANの例を示しています:

servers_and_work.png

これらのVLAN間の接続を許可するWANファイアウォールルールを作成します。 ネットワーク内のワークステーションの1つが感染した場合、このルールを簡単に無効にして、感染がサーバーに広がるのを防ぐことができます。 感染したワークステーションを修復した後、ワークステーションとアプリケーションサーバー間の接続を許可するために、再びルールを有効にすることができます。

異なる種類のユーザーのためのネットワークの分離

ネットワークセグメンテーションにより、組織内のさまざまなユーザーグループに対して異なるアクセスレベルを定義することができます。 例えば、管理者、通常ユーザー、ゲスト用の分離されたVLANを定義します。

ゲストにWiFiやネットワークアクセスを提供したい場合、これは潜在的なセキュリティリスクとなる可能性があります。 ゲストネットワークを、インターネットアクセスのみを許可し、内部リソースへのアクセスを許可しない分離されたVLANにセグメント化します。 以下のスクリーンショットはゲストWiFiユーザー用のVLANを示しています:

vlans1.png

次に、このVLANがインターネットにアクセスできるようにするインターネットファイアウォールにルールを作成します。 以下のスクリーンショットはゲストWiFi VLANがインターネットにアクセスできるようにするインターネットファイアウォールルールを示しています:

GuestWiFi_Internet.png

セキュリティリスクを伴うトラフィックの制限

ネットワークのセキュリティを向上させるためにネットワークをセグメント化することに加えて、潜在的なセキュリティリスクであるトラフィックタイプを制限することもできます。 例えば、リモートデスクトッププロトコル(RDP)とファイル共有(SMB)プロトコルは、侵入者が機密情報にアクセスしたり、企業データに損害を与えるランサムウェアを広げたりするためにしばしば使用されます。

WANファイアウォールを設定して、これらのプロトコルへのアクセスをデフォルトで制限し、必要な場合にのみこのトラフィックを許可することをお勧めします。 WANファイアウォールルールとベストプラクティスの構成について詳しくは、インターネットとWANファイアウォールポリシー–ベストプラクティスを参照してください。

この記事は役に立ちましたか?

2人中2人がこの記事が役に立ったと言っています

0件のコメント