• 検索結果がありません。

サーバ アクセス・ネットワーク

ドキュメント内 SDP Long version (ページ 61-65)

ENTERPRISE SECURITY BLUEPRINT APPENDIX

A

設計パターン: アクセス・ネットワーク(ワークステーション)

ENTERPRISE SECURITY BLUEPRINT APPENDIX

A

アクセス・ネットワークの設計パターン  - 専用アクセス・ネットワーク

図 A-F

製造サーバ 重要なサ

ーバ

MPLS

インターネッ ト

製造現場 のLAN 相互作

LAN

内部サーバ

データセンター

  多くのエンドユーザは、組織外のサービスにもアクセスします。インターネットやWiFi など、外部環境 に対するすべてのアクセスを制御する必要があります。

アクセス・ネットワークの設計パターンには、多くの組織で採用されているいくつかのパターンがあります。

必要に応じて、これらのパターンを組み合わせて使用しても構いません。

専用アクセス・ネットワーク

専用アクセス・ネットワークの設計パターンは、データセンターのサーバ・セグメント化モデルに対応する パターンです。エンドユーザ・ワークステーションをその役割に基づいてグループ化し、特定の機能を持つ サーバへの接続を許可します。例えば製造現場のワークステーションについては、製造アプリケーションへの 接続を許可し、外部サービスへのアクセスを禁止します。

ENTERPRISE SECURITY BLUEPRINT APPENDIX

A

共有アクセス・ネットワーク

共有アクセス・ネットワーク構成では、特定の場所に配置されたすべてのエンドユーザ・ワークステーションが、

共有ネットワーク・インフラストラクチャに接続します。内部サービスと外部サービスへのアクセスは、データ センターまたはインターネット・アクセスのセグメント境界で制御し、ネットワーク・セグメントではなくホスト またはユーザのアイデンティティに基づいてアクセスの可否を判断します。

この構成では、1 台のエンドユーザ・ワークステーションがマルウェアに感染した場合、他のすべてのワークス テーションにも感染が広がる可能性があります。そのため、各ワークステーションを最小単位のセグメントと して定義し、それぞれにホスト・ベースのセキュリティ・ソフトウェアを導入することが推奨されます。

アクセス・ネットワークの設計パターン  - 共有アクセス・ネットワーク

図 A-G

データセンター

内部サーバ

製造サーバ 重要なサ

ーバ

LAN

MPLS

インターネッ ト

ENTERPRISE SECURITY BLUEPRINT APPENDIX

A

仮想デスクトップ

仮想デスクトップ・インフラストラクチャ(VDI)構成では、エンドユーザ・ソフトウェアはデータセンターの仮想 マシンで実行され、エンドユーザ・ワークステーションはユーザとのインタフェースとしての役割のみを果たし ます。ワークステーションとVDI 間の通信は、Microsoft RDPをはじめとするリモート・デスクトップ・プロトコル

(RDP)だけに制限します。このアプローチでは保護に関する問題を、以下に示すようにエンドユーザ・ワーク アクセス・ネットワークの設計パターン 

- 仮想専用アクセス・ネットワーク 図 A-H

信頼され

たチャネル

データセンター

内部サーバ

製造サーバ 重要なサ

ーバ

LAN

MPLS

インターネッ ト

仮想専用アクセス・ネットワーク

仮想専用アクセス・ネットワークは、共有アクセス・ネットワークと専用アクセス・ネットワークの両設計パターン の特徴を兼ね備えたネットワークです。ユーザが組織内で物理的に分散している(共有アクセス)が、その 役割に応じてアクセスを制限する(専用アクセス)必要がある場合に仮想専用アクセス・ネットワーク構成を 採用します。

各エンドユーザ・ホストには、少なくともファイアウォールとVPNを含むホスト・ベースのセキュリティ・ソフト ウェアを導入します。各ホストが関与するすべての相互作用は、特定のサーバ・セグメントを保護するVPN ゲートウェイを通過するように構成します。承認された VPNコミュニティの外部にある要素との相互作用は ブロックします。

ENTERPRISE SECURITY BLUEPRINT APPENDIX

A

保護機能

通常、アクセス・ネットワークの設計パターンには、以下に示すセキュリティ制御を定義します。

インバウンドのアクセス制御

  ホスト・ベースのファイアウォールを使用して、ワークステーションへの外部からのアクセスを制限し、

承認されたプログラムによる適切なサーバ・ホストおよびサービスへのアクセスを許可します。

  エンドポイントの I/O ポート(USB ポートなど)を制御して、承認されていないデバイスやリムー バブル・メディアの接続を禁止します。

アウトバウンドのアクセス制御

  プロセスやサーバのアイデンティティ、サービス・リクエスト、ホストの侵害状況に基づき、承認された アウトバウンドの相互作用のみをファイアウォールで許可します。

アクセス・ネットワークの設計パターン  - 仮想デスクトップ

図 A-I

セキュリティ制御は、エンドユーザ・ワークステーションとVDI 間で発生するクライアント/ サーバ型の相互 作用、および各 VDI からデータセンター内のサーバへのアクセスに適用します。また各仮想マシンではホスト・

ベースのセキュリティ・ソフトウェアを実行し、個々の VDI をきめ細かく制御してポリシー違反を防止すると 共に、セキュリティ侵害が見つかった場合の被害拡大を抑止します。

ネットワーク 003

デー タ

ドキュメント内 SDP Long version (ページ 61-65)
今ダウンロードする "SDP Long version"

Outline

関連したドキュメント