1.概要
1.1 マイクロセグメンテーションとは
各ホスト(主にサーバ)にエージェントをインストールし、ホスト単位ではなく、プロセスやサービス単位までのレイヤ7レベルのアクセス制御(=マイクロセグメンテーション)を行うホスト型ファイアウォールです。
これにより、ランサムウェアによるラテラルムーブメントを防止します。
1.2 製品例
Illumio Adaptive Security Platform
Akamai Guardicore Segmentationなどがある
1.3 機能
(1)レイヤ7レベルのアクセス制御
・アクセス制御が可能です
・リアルタイムの可視化も可能です。
(2)一元管理
・複数のサーバのマイクロセグメンテーションを一元管理できます。
(3)振る舞い検知
・インテリジェンス情報をもとに、IPアドレスベースやファイルの種類?での怪しい通信の振る舞い検知
・AIによる振る舞い検知
・RDP経由のログイン試行に対する異常検知ポリシーを設定するなどもできるようだが、これはADそのものでも設定できそう。
1.4 EDRとの違い
EDRは振る舞い検知的な動作で、マイクロセグメンテーションは基本的にはFWと同じでホワイトリストによるアクセス制御です。
2.構成
端末にはエージェントを入れます。管理側は、主にSaaS上に、Akamaiの場合はManagementの機能とAggregatorの機能が必要です。
