化する必要があります。これは特に、ネットワーク要素でネットワークを仮想化している場合に重要で す(「仮想 LAN(VLAN)」と「Software-Defi ned Networking(SDN)」のセクションを参照)。
例えば特に厳重な保護が必要となるセグメントでは、物理的に独立したスイッチを使用します。この スイッチを、セキュリティ・プロファイルが大きく異なる別のセグメントと共有してはなりません。
ネットワーク管理アプリケーションは、境界のセキュリティ制御で他のセグメントから保護された セグメントにグループ化します。
複数のセグメントで構成されるネットワーク・インフラストラクチャを通過するネットワーク・トラ フィック・フローに対しては、サーバ・セグメント境界とアクセス・ネットワーク・セグメント境界の セキュリティ制御を使用して、最小権限の原則を実施する必要があります。例えば、エンドユーザ・
ワークステーションがネットワーク・スイッチを迂回したり、設定に対する改ざんを妨げるようにする 必要があります。不正なルートの挿入はセグメント境界でブロックします。
攻撃を受けた場合でも業務を継続できるよう、ネットワーク・オペレーションズ・センター(NOC)に は、保護された専用のセグメントを用意することが推奨されます。これは、LOM 用のネットワークを ネットワーク・インフラストラクチャの
設計パターン 図 A-P
データ・プレーン 制御プレーン
スイッチ
ルータ ネットワーク
管理 アプリケーション
セキュリティ・
ゲートウェイ
ENTERPRISE SECURITY BLUEPRINT APPENDIX
A
設計パターン: セキュリティ・オペレーションズ・センター(SOC)
イベントのロギングは、すべての実施ポイントで重要なセキュリティ制御要件です。ログに記録したイベント 情報は、長期保存と分析に対応した集中リポジトリに集約する必要があります。複数の拠点で構成されるネット ワークでは、多くの場合、ネットワーク帯域幅の消費量を削減するため、ローカルでログを保存してから1 箇所 に集約するという方法が採用されます。ホスト・レベルとネットワーク・レベルのイベントの両方に対応した 統合型のイベント管理インフラストラクチャでは、複数の経路から行われる攻撃を詳細に分析できます。
発生したイベントに自動および手動で対応する仕組みを構築するには、セキュリティ制御をリアルタイムで 調整して攻撃をブロックし、被害の拡大を抑止できる集中管理機能が望まれます。これらのセキュリティ制御 は、ネットワークやホスト、アプリケーション、データ、脅威動向の状況(アプリケーションのリスク、攻撃源、
既知のマルウェア、アプリケーションの脆弱性など)の変化に合わせて更新してください。
ネットワーク管理アプリケーションと同様、ロギングおよびセキュリティ管理サーバも、セキュリティ・インフラ ストラクチャに対する攻撃を防止するため、専用のネットワーク・セグメントに配置します。また実施ポイント へのポリシーの配布やログの収集など、重要なセキュリティ・データをネットワーク経由で転送する場合は、
改ざんを防ぐため信頼できるチャネルを使用しなければなりません。信頼されたチャネルは、セキュリティ管理 ホストのなりすましを防ぐ目的でも使用できます。
保護機能
通常、SOC の設計パターンには、以下に示す保護機能を定義します。
インバウンドのアクセス制御
ファイアウォールを使用してSOCとの相互作用を厳格に制限することにより、ネットワーク管理サーバ やサービスへの不正アクセスを防ぎ、承認された制御プロトコルのみを許可します。
IPSを使用して、承認された相互作用に対するプロトコル準拠のチェックを実施します。
インバウンドの脅威対策
不正なルートの挿入や、ネットワーク・インフラストラクチャ・サービスへの不正アクセスを防止します。
IPSを使用して、管理アプリケーションに存在する既知の脆弱性の悪用を防止します。
データ保護
VPNを使用して、ネットワーク要素のLOMに使用する信頼されたチャネルを構築します。