ネットワークセグメンテーション

ネットワークセグメンテーションとは

次の2つタイプのネットワークセグメンテーションは異なるセキュリティ要件に対応します。

• 物理セグメンテーション: この方法は境界ベースのセグメンテーションとも呼ばれ、ファイアウォール、スイッチ、インターネット接続を使用して1つのネットワークを物理的に分割します。デバイスグループごとに別々のスイッチに接続されます。このタイプのセグメンテーションではセキュリティが向上しますが、拡張性とコスト効率は低くなります。
• 仮想セグメンテーション: この方法は論理セグメンテーションとも呼ばれ、VLAN (仮想ローカルエリアネットワーク) などのテクノロジーを使用して、物理ネットワークを論理的に分離された仮想ネットワークに分割します。仮想的に分割されたネットワークは、セキュリティポリシーが異なる個別のネットワークのように動作します。このタイプのセグメンテーションはコスト効率に優れていますが、ネットワークが拡大するにつれて複雑になり、リソースを大量に消費するようになります。

• ゲストアクセス: ネットワークセグメンテーションにより、セキュリティチームは最小限のリスクでゲストにネットワークアクセスを提供できます。ユーザーがゲストとしてログインすると、接続できるのはゲストサブネットワークのみであり、インターネット接続は提供されますが、企業ネットワークへのアクセスはほとんどまたはまったく提供されません。
• BYODおよびIoTデバイスのアクセス: BYODおよびIoTデバイスは、セキュリティ侵害の標的になりやすくなります。強力なアクセスポリシーを備えた分離されたサブネットワークにそれらを接続することは、それらのデバイスから生じるセキュリティ侵害を最小限に抑えるための実用的な方法です。
• ユーザーグループのアクセス: 必要とされるアクセスレベルはユーザーグループごとに異なります。エンジニアリングチームは財務データやHRシステムにアクセスできないようにすべきです。ユーザーグループごとに異なるサブネットワークに接続することによって、セキュリティチームはどのグループが何にアクセスできるかを制限し、セキュリティのギャップを埋めることができます。
• ネットワーク監査: 規制遵守には、財務データ、クレジットカードの詳細、個人情報などの重要な情報がセキュアに格納されている必要があり、より厳格な管理と監査が必要になります。ネットワークセグメンテーションでは、データを個別のサブネットワークに配置し、強力なセキュリティポリシーでセキュリティを確保することによって、重要な情報へのアクセスを制限します。

ネットワークセグメンテーションでは、大規模なネットワークを小さなセグメントまたはサブネットワークに分割して、ネットワークの効率とセキュリティを向上させます。マイクロセグメンテーションは、ワークロードまたはアプリケーションに基づいてサブネットワークをさらに細分化することです。マイクロセグメンテーションにより、セキュリティがより細かいレベルに引き上げられ、より厳格なセキュリティポリシーを使用して異なるサブネットワーク内のアプリケーションが保護されます。

ネットワークセグメンテーションは強力な階層間のトラフィック制御を提供しますが、マイクロセグメンテーションは通常、水平方向のトラフィックの制御に使用されます。