【第1回】「Illumio」ゼロトラストセグメンテーション(マイクロセグメンテーション)によるランサムウェアの封じ込め
投稿者:illumio担当
みなさん、こんにちは。
今回のブログは脅威のラテラルムーブメント(水平移動)への対策として、
マイクロセグメンテーション機能を有する” Illumio ”をご紹介します!
ブログの第1回として、現代のランサムウェアの動向からIllumioの概要、Illumioで通信を可視化するまでをご紹介します。
1.ランサムウェアの動向
ランサムウェアによる被害について耳にすることが多くなってきました。
警察庁で公表されている「令和4年におけるサイバー空間をめぐる脅威の情勢等について」では、
令和4年中に警察庁に報告されたランサムウェアによる被害件数は230件(前年比で57.5%増加)と、
令和2年下半期以降、右肩上がりで増加しているにも関わらず
被害企業・団体等のウイルス対策ソフト等の導入・活用状況から、検出できたのはわずか8%という非常に低い結果となっています。
2.ランサムウェアの特徴とマイクロセグメンテーション
多くの企業、団体等では何らかのセキュリティ対策をとられていますが侵入経路をすべて網羅的に対策できていると言えますでしょうか?
一か所でも穴があるとそこから侵入されてしまいます。
一旦、ランサムウェアの侵入を許してしまうと、ラテラルムーブメント(水平移動)と呼ばれる
気づかれないように境界内の移動によって、被害が拡大していきます。
これに対抗するための手段の一つとしてマイクロセグメンテーションがあります。
マイクロセグメンテーションは、大きなネットワークを沢山の小さい部分に分割することです。
考え方としては、一つの大きな家の中に、たくさんの小部屋を作るイメージです。
一部屋に問題があった場合でも、他の部屋には影響しません。
1つの部分がウイルスに感染したとしても、他の部分へウイルスが広がるのを防げるからです。
このように、マイクロセグメンテーションは、ネットワークを細分化し、ランサムウェアの攻撃を受けても被害を最小限に抑えることができます。
3.Illumioについて
オンプレミス環境、クラウド環境問わず、マイクロセグメンテーションを実装するためのプラットフォームです。
SaaS版も用意されているため、その場合、管理サーバの構築は不要です。つまり、初期投資や維持費用を削減し、
迅速にサービスを利用開始することが可能です。
複雑なネットワーク構造でも効率的にセキュリティポリシーを適用することができます。
また、リアルタイムでネットワークの通信状況を可視化し、異常な通信パターンを検出して即座に対処することが
可能なため、企業のセキュリティを強化することができます。
セキュリティの向上:
Illumioはネットワークを小さなセグメントに分割し、各セグメント間の
通信を制御することで、ランサムウェアやサイバー攻撃により一部で脆弱性が
攻撃されたとしても他の部分に影響が出にくくなります。
これにより、侵入者の内部移動を防ぎ、セキュリティを大幅に向上させることが
できます。
大規模な展開に対応:
Illumioはソフトウェアベースのマイクロセグメンテーションを
提供しているため、物理的なネットワーク機器を追加することなく、
大規模なネットワーク環境でも迅速に展開することが可能です。
重要な情報の視覚化:
Illumioはリアルタイムでネットワークの通信状況を視覚化することができ、
管理者がネットワークの状況を容易に理解し、異常なパターンや攻撃の兆候を即座に
検出できるようにします。
柔軟性:
既存のネットワーク環境やオペレーティングシステムに合わせて、
セキュリティポリシーを柔軟に設定することができます。
コンプライアンスの強化:
規制要件を満たすためには、適切なセキュリティコントロールとその証明が
必要となることが多いです。
Illumioは各セグメントの通信を詳細に記録・制御することで、
コンプライアンス要件の遵守を支援します。
Virtual Enforcement Node (VEN):
各サーバーやワークロードにインストールすることで、リアルタイムに
ネットワークトラフィックを監視し、送受信の制御を行います。これにより、
設定したセキュリティポリシーに基づいた細やかな通信制御(マイクロ
セグメンテーション)が可能となります。
Policy Compute Engine (PCE):
各サーバーやワークロードにインストールされたIllumioのVEN(Virtual
Enforcement Node)から送られてくるネットワーク通信の情報を収集し、
その情報を基にネットワーク全体の通信状況を把握します。
そして、設定されたセキュリティポリシーに基づいて、各ネットワークセグメント間
の通信ルールを即座に計算し、VENに指示を出して通信を制御します。
4.Illumioによるマイクロセグメンテーション
実際にIllumioを使ってみて、マイクロセグメンテーションをやってみましょう!
第1回目では、「VENの登録」、「ラベルの作成と付与」、「通信の可視化」をご紹介します。
また、以降は以下の記事をご紹介していく予定です。
本記事(1回目)では、各機器からどのような通信をしているかトラフィックの可視化をしてみます。 記事(2回目)では、マイクロセグメンテーションによる通信制御をしてみます。 記事(3回目)では、セキュリティ関連製品との連携をしてみます。 |
VENの登録
今回はLinuxOSのサーバでVENを登録していきます。
1.デフォルトでは、Endpoint VEN用の「Visibility Only」とServer VEN用の「Visibility Only」のペアリング・
プロファイルが登録されています。
今回は、Server VENとして登録するため、「Default(Server)」のリンクをクリックします。
なお、Visibility Onlyはすべての通信を可視化するポリシーであり、通信のブロックは別途設定する
必要があります。
2.「Generate Key」をクリックします。
3.Linux OSにVENをインストールするため、今回は上の赤枠のLinux OS Pairing Scriptをコピーします。
※WindowsOSにVENをインストールする場合は下の赤枠を使用します。
4.VENをインストールするLinuxOSのサーバにログインして、手順3でコピーしたスクリプトを張り付けて
実行します。
「VEN has been SUCCESSFULLY paired with Illumio」のメッセージを確認し、インストールを確認します。
※インターネットに接続する際に、Proxy経由する場合は、スクリプトを編集する必要があります。
5.コンソール上でVENをインストールしたホストが表示されれば、VENのインストールは完了です。
6.なお、手順5の対象ホストをクリックすると、ホストの詳細情報を確認することができます。
ラベルの作成と付与
ラベルを付与することで、Workload(サーバ、VM、端末等)をグルーピングし、通信の可視化に役立てます。
1.コンソールから対象ホストにチェックを入れて、「Edit Labels」をクリックします。
2.Select Labelsをクリックします。
3.ラベルのリストが表示されるため、任意のラベルを選択します。
なお、ラベルは、下記の階層で設定し、各階層で付与できるラベルは1つのみです。
①Location 東京、北米、等
→②Environment 本番環境、開発環境、DR環境、等
→③Apprication システム名、サービス名、等
→④Role WEB名、DB名、APP名、等
4.選択したラベルが表示されていることを確認して、「OK」をクリックします。
5.対象ホストにラベルが付与されたことを確認します。
6.Mapからラベル毎に階層ができたことを確認できます。
通信の可視化
Public Address、Private Addressへの通信について確認してみます。
1.LinuxOSのホストから、任意のサイトにアクセスします。
2.コンソール上でLinuxOSのホストから社内のDNSサーバへUDP/53の通信で名前解決していること
が分かります。
3.同じように、LinuxOSのホストから社内の外部のサイトへTCP/443の通信をしていることが分かります。
最後に
いかがでしたでしょうか。
このブログを通して、現代のランサムウェアの動向からIllumioの概要、Illumioで通信を可視化するまでの
基本的な手順をご理解いただけたのではないでしょうか。
次回のブログは、
「(2回目)では、マイクロセグメンテーションによる通信制御をしてみます。」
を予定しておりますので、そちらも併せてご覧いただけますと幸いです。