マイクロセグメンテーション 【microsegmentation】
概要
マイクロセグメンテーション(microsegmentation)とは、ネットワークにおけるセキュリティ上の区画分け(セグメンテーション)を、物理的なネットワークセグメントよりも細かい単位(機器ごとや仮想マシンごと)で行うこと。一般的なネットワークセキュリティ対策ではインターネットとLANの間など異なるネットワークの境界にファイアウォール機器などを設置し、ネットワーク単位で攻撃の検知や防御などを行うことが多い。この方式では内部の機器が乗っ取りやウイルス感染の被害に遭うと、これを踏み台にして内部からのアクセスに無防備な他の機器を容易に攻撃可能になってしまう問題があった。
マイクロセグメンテーションは仮想化されたサーバ機を一台ずつ異なる区画に分離して扱う方式で、各サーバが他の機器との間に仮想的なファイアウォールを設けて自らを隔離したような状態となる。
サーバ内の仮想マシン(VM:Virtual Machine)上のシステムが何らかの被害に遭って不正に操作されても、当該サーバ上のファイアウォールによって他のVMや他の機器へのアクセスを封じ込めることができる。
これまでもWindowsファイアウォールのように各コンピュータのOS上の機能として外部との通信の監視や防御を行う仕組みは存在したが、これは当該システムが乗っ取られれば容易に無効化されてしまう。一方、マイクロセグメンテーションで各サーバを守るファイアウォール機能は仮想化機能によってサーバ内の各VMとは独立しているため、VM上のシステムが陥落しても直接影響を受けることはない。
ネットワークスイッチのマイクロセグメンテーション
古くは、ネットワークスイッチ(L2スイッチ/LANスイッチ/スイッチングハブ)の基本的な機能の一つで、各ポートごとにコリジョンドメインを分割することをマイクロセグメンテーションと呼ぶことがあった。
初期のスター型LANの中継の用いられたリピータハブは、あるポートから受信した信号をすべてのポートに単純に再送信するため、複数の機器が同時に送信を開始すると信号の衝突(コリジョン)が発生する。
これに対し、スイッチは各ポートから受信したフレームの内容を分析して宛先を認識し、関係があるポートにしか取り次がない。通信線上のコリジョンが発生しなくなるため通信速度や品質が向上し、スイッチと各機器の間で全二重通信が可能となる。