ネットワークセグメンテーションとは?
ネットワークセグメンテーションは、大規模なネットワークを複数のより小さな論理ネットワークまたはセグメントに分割する慣行です。ネットワークはいくつかの理由でセグメント化されますが、これは主に、ネットワーク・セキュリティの向上やユーザー・エクスペリエンスの向上につながります。
VLANとVXLANはどのように使用されますか?
ネットワークセグメンテーションは、2つの主要な手段の1つによって達成されますが、それぞれは非常に似ています。仮想ローカル・エリア・ネットワーク(VLAN)は、何十年もの間、ネットワークをセグメント化する主要な方法であり、新しい概念であるべきではありません。VLAN には固有の障壁があり、技術の発展に伴い制限があることが証明されています。つまり、管理ドメインごとに 4,094 つのネットワークに限定されています。この制限を克服するために、仮想拡張可能ローカルエリアネットワーク(VXLAN)が作成され、管理ドメインあたり1,600万ネットワークに拡大されました。ネットワークセグメンテーションの別の方法であるサブネットは、IPアドレスを使用してネットワークをネットワークデバイスによって接続された小さなサブネットに分割します。このアプローチは、より効率的なネットワーク・パフォーマンスを可能にするだけでなく、特定のVLANまたはサブネットを超えて拡散する脅威を封じ込める役割も果たします。
東西トラフィックを監視することでセキュリティを向上
利用可能なネットワークの拡大に加えて、ネットワークセグメンテーションから得られる追加の利点があります。1つ目は、ITセキュリティの強化です。ネットワークをセグメント化することで、ネットワーク内の1つのセグメントにマルウェアや侵害をその小さなネットワークセグメントに封じ込めることができ、ネットワーク全体に拡散することがより困難になります。
レイヤー2のワークロードを削減してパフォーマンスを向上
次に、ネットワークセグメンテーションはユーザーエクスペリエンスを向上させることができます。セグメンテーションを使用して、エンドユーザーによりパーソナルな体験を提供できます。ネットワークのセグメント化は、ネットワークの輻輳や干渉を排除または低減することで、デバイスグループのパフォーマンス(帯域幅)を確保することもできます。ビジネスクリティカルなデータトラフィックをサポートする企業ネットワークセグメントとは別のネットワークセグメントにゲストユーザーを置くと、ビジネスクリティカルなアクティビティに従事するデバイスがストリーミングビデオなどのアプリケーションにアクセスする訪問者と競合しなくなるため、パフォーマンス上のメリットも得られます。
ファイアウォールで終了してサイバーセキュリティを改善するネットワークセグメンテーション
ネットワークをセグメントに分割すると、ネットワークに侵入する脅威がネットワークセグメントを横切って移動して、他のデバイスに簡単に拡散できなくなります。また、これらのセグメントが小さいと、単一の大規模ネットワークではなく、より小さなネットワークに隔離されているため、脅威の発生元を簡単に特定できます。ITセキュリティのメリットに関連して、一部のデバイスやユーザーを他のデバイスから隔離することで、規制コンプライアンスの達成が容易になります。IT 所有および管理のデバイスは、一般にゲストや内部 BYOD デバイスと比較してリスクが低いため、それらを自分の小さなセグメントに配置することは理にかなっています。
ネットワーク・セグメンテーションを導入すると、これらのリスクの高いデバイスの1つが侵害された場合、脅威は他のネットワーク・セグメントのより重要なITリソースにまで広がることはありません。このセグメント化されたトラフィックがファイアウォールを通過しようとすると、ブロックされて報告され、侵害のアラートが早く発生します。
また、特定のIoTデバイスがネットワーク上の他のデバイスよりもリスクが高いと判断し、別のネットワークセグメントに配置することもできます。保護したい他のデバイスやネットワークリソースとは別に、あらゆるタイプのIoTデバイスを独自のネットワークに配置することもできます。ネットワーク上のあらゆるデバイスが侵害されるのは悪いことですが、ネットワークセグメンテーションでは、脅威が拡散するのを防ぐために、それらのデバイスを他者から隔離することができます。インターネット上の IoT ボットネットに関する十分なストーリーがあり、IoT をサポートするネットワークセグメンテーションを検討する必要があります。
ネットワークセグメンテーションによるユーザーエクスペリエンスの向上
ITセキュリティのユースケースは、さまざまな業界に適用されますが、ユーザーエクスペリエンスのユースケースは、より業界固有のものになる傾向があります。ネットワークセグメンテーションは、マルチ住居ユニット(MDU)セクターにおいて非常に理にかなっています。MDUは、集合住宅、高齢者生活コミュニティ、RVパークなど、複数世帯の生活を特徴とするあらゆる環境です。高等教育の寮もこの環境に適合しています。
この種の施設は、各居住者がインターネットサービスプロバイダーと個別に契約する従来のアプローチではなく、ますます管理されたエンタープライズグレードのネットワークになっています。これは、通常、住人がユニットの範囲外にいるときに接続を失う郊外に似た環境で、エンタープライズグレードのネットワークの利点を提供します。エンタープライズ・スタイルのネットワークを導入すると、ネットワーク管理者は、インフラストラクチャの統合により、これらの追加メリットを提供できます。
マイクロセグメンテーションによるユーザーのプライバシーとセキュリティの向上
ITチームとマネージドサービスプロバイダーは、この統一されたインフラストラクチャを使用して、住民にパーソナライズされたネットワークを提供できます。MDUプロパティの各ユニットには、居住者が自分のデバイスのみを表示し、隣人に属するデバイスを表示しない、独自のパーソナルネットワーク(VLAN/VXLAN)があります。ブロードキャスト・フレームに応答するデバイスの数がプロパティ全体ではなく 1 つのユニットに制限されるようになったため、この分離によってワイヤのリソース使用率が向上します。この機能は、デバイスとトラフィックが隣人から隔離され、隣人のデバイスとトラフィックも見えないため、住民のプライバシーも維持します。
何よりも、彼らのSSIDは、施設全体のエンドツーエンドのワイヤレスを備えたパーソナライズされたネットワークで、施設上のあらゆるアメニティを訪問する際に彼らに従います。これは住民にとって素晴らしいユーザー体験であり、不動産が住民を引き付け、保持するのを助けることができます。高等教育では、個人ネットワークは、Wi-Fi - \"自宅\"タイプのネットワークで、寮環境で、学生の高い期待を満たすための素晴らしい方法です。
でネットワークセグメンテーションを行う方法 RUCKUS
RUCKUS® Networks には、IEEE の業界標準をすべてサポートすることで、ネットワークのセグメント化を可能にするために必要なものがすべて揃っています。RUCKUS では、VLAN と VXLAN を使用して、最大 4,094 の VLAN と 1,600 万の VXLAN がネットワーク上に存在しているネットワークセグメンテーションを有効にします。前述のように、この制限は RUCKUS に固有のものではなく、むしろ IEEE 802.1Q 規格の一部です。VXLANは、1つの管理ドメインで最大1,600万のNetworks℠まで拡張でき、複数の物理ネットワークセグメントや地理的領域にまたがるメリットも追加されます。これは、VXLANがネットワークのレイヤ2部分の上にレイヤ3オーバーレイとして存在するため、設計によって行われます。
RUCKUSによるネットワークセグメンテーションエンジンの中心は、Cloudpath® Enrollment Systemです。Cloudpath® Enrollment Systemは、安全なネットワークオンボーディングとアクセスのためのクラウドサービス(オンプレミスソフトウェアとしても利用可能)です。Cloudpath システムの特長は、RUCKUS® アクセス ポイント、SmartZone のコントローラ、または ICX® スイッチなしで使用できますが、Cloudpath テクノロジーのフルパワーは、RUCKUS コンバージド コントローラ、RUCKUS アクセス ポイント、および ICX® スイッチと組み合わせることでのみ実現されます。
完全な RUCKUS ネットワークにより、管理者は VLAN または VXLAN を活用して、ニーズと機能に基づいてネットワークセグメンテーションを実現できます。ネットワークセグメンテーションに Cloudpath を使用すると、ユーザー ID を各デバイスに関連付けることもできます。
詳細はこちら
このトピックのRUCKUSソリューションページでは、ビデオ、ソリューション概要などをご覧になれます。VLANを使用して住民にパーソナルネットワークを提供するMDUプロパティであるAVE Unionで、最近のケーススタディにアクセスすることもできます。ネットワークセグメンテーションは、企業組織に多くのメリットをもたらします。この技術をお客様の環境に導入することに関心がある場合は、RUCKUSパートナーまでお気軽にお問い合わせください。
ネットワーク分離(マイクロセグメンテーション)の主な3つの利点は何ですか?
ネットワークセグメンテーションの3つの主な目的は次のとおりです。
- セキュリティの強化: ネットワークセグメンテーションは、フラットなネットワークを複数のサブネットワークまたはセグメントに分割することで、攻撃対象領域を減らします。この分離は、ネットワーク内の攻撃者の横移動を制限します。攻撃者がネットワークを侵害した場合、攻撃者はシステム全体ではなく、ネットワークの一部にのみアクセスできます。そこでマイクロセグメンテーションが登場し、ワークロードレベルでセキュリティポリシーを適用することで、よりきめ細かいセキュリティレベルを提供します。これは、最小特権戦略の重要な部分であり、各セグメントは必要なアクセスのみを持ち、それ以上のアクセスはありません。このアプローチは、クレジットカード情報などの機密データをペイメントカード業界データセキュリティ基準(PCI DSS)などの基準に準拠して保護する際に特に重要です。
- パフォーマンスの向上:ネットワークセグメンテーションは、ネットワークパフォーマンスの向上につながります。ネットワークトラフィックを分離することで、重要なサービスに必要な帯域幅を確保できます。これは、東西トラフィック(データセンター内のサーバー間を流れるトラフィック)など、さまざまなタイプのトラフィックを効率的に管理する必要があるデータセンター環境で特に便利です。セグメント化は、セグメント間の不要なトラフィックフローを制限することで、輻輳を減らすのにも役立ちます。
- 制御と監視の強化:ネットワークセグメンテーションにより、ネットワークに対する可視性と制御が向上します。ネットワークを小さな部分に分割することで、トラフィックの監視、異常の特定、潜在的な侵害の発見が容易になります。また、セグメントごとに異なる信頼レベルを持つ、より正確なアクセス制御も可能になります。たとえば、機密データを含むエンドポイントは、侵害のリスクが高いエンドポイントから隔離できます。Software-Defined Networking(SDN)や仮想化などのテクノロジーにより、このプロセスの管理性と柔軟性が向上します。
結論
ネットワークセグメンテーションはサイバーセキュリティの姿勢を大幅に向上させる可能性があるものの、これは銀の弾丸ではありません。ネットワークセグメンテーションは、ファイアウォール、認証メカニズム、堅牢なセキュリティポリシーを含む多層防御戦略の一部である必要があります。
© 2023 コムスコープAll Rights Reserved. コムスコープおよびコムスコープのロゴは、米国およびその他の国におけるコムスコープおよび/またはその関連会社の登録商標です。商標の詳細については、を参照してくださいhttps://www.commscope.com/trademarks。すべての製品名、商標、および登録商標は、それぞれの所有者に帰属します。
