VersaのSoftware-Defined Networkマイクロセグメンテーションは、ゼロ・トラストの原則をネットワーク内部に拡張することで、セキュリティのレイヤーを追加し、境界を重視したアクセスとセキュリティ制御を超えることができます。
従来のネットワーク・セキュリティ・モデルは、ファイアウォールなどの技術を使ってネットワーク全体を保護し、さまざまな認証戦略を適用して、許可されたユーザーとデバイスだけがその境界を通過できるようにすることで、ネットワークの境界を保護することに取り組んできました。しかし、すでにネットワーク内部に侵入している脅威についてはどうだろうか?マイクロセグメンテーションは、ネットワークをより小さく隔離されたセグメントに分割し、効果的に防御レイヤーを追加するセキュリティ戦略である。特定のリソースやサービスを中心にマイクロセグメントを作成し、マイクロセグメント内のリソースやサービスに特化したアクセス制御やセキュリティ・ポリシーを定義することができる。
攻撃者が外側のセキュリティ境界を突破したとしても、段階的攻撃のためにネットワーク内を移動する能力を制限する。
クラウド環境を分割し、その間の通信を制限することでセキュリティを向上させる。
デバイス・プロファイルに基づいて個別のゾーンを作成し、ネットワーク・デバイスを適切なゾーンに割り当てて、LANレイヤーとインターネット・レイヤーの両方でZero-Trustポリシーを適用します。
VersaONE ユニバーサルSASE プラットフォームでは、管理者はユーザークライアントデバイスだけでなく、クライアントレスやヘッドレスのIoTやOTデバイスをマイクロセグメントに配置することができます。マイクロセグメントを作成するには、ユーザーまたはデバイスをマイクロセグメントに配置する一致基準のポリシーを定義し、トラフィックを制限または許可するポリシーを適用します。
重要なのは、Versaのマイクロセグメンテーションが動的であることだ。デバイスの姿勢、ユーザーのリスクスコア、その他の要因の変化に反応し、それに応じてユーザーやデバイスがアクセスできるセグメントを自動的に調整する。例えば、マイクロセグメンテーション・ポリシーが、デバイスのアンチウイルス・ソフトウェアが最新でなく、デバイスが攻撃を受けやすいと判断した場合、デバイスを自動的に隔離されたマイクロセグメントに配置し、デバイスがネットワーク内の他のユーザーやデバイスと通信できないようにすることができる。その後、デバイスのアンチウイルスソフトウェアがアップグレードされた場合、SASE クライアントがその情報をファーストホップのSASE ゲートウェイに伝えた後、マイクロセグメンテーションポリシーはデバイスを非検疫マイクロセグメントに移動させることができます。
センサーやプリンタなど、VersaSASE クライアントを実行しないヘッドレスIoTおよびOTデバイスの場合、VersaONE プラットフォームが自動化したデバイス・フィンガープリンティングにより、モデル、ベンダー、その他の関連属性に基づいてデバイスを識別し、適切なマイクロセグメントに配置することができます。
ユーザーやデバイスの所在地を問わず、あらゆるネットワークで一貫して適用されるきめ細かなゼロ・トラスト・ポリシーの統合リポジトリを一元管理します。
VersaのZero Trustフレームワークは、マイクロセグメンテーションと組み合わせることで、あらゆる侵害を隔離し、段階的攻撃における横方向の動きを防ぐことで、侵害やデータ損失のリスクを大幅に低減します。
VersaONE ユニバーサルSASE プラットフォームとそのマイクロセグメンテーション機能は、ユーザーアプリのエクスペリエンスを向上させながら、パフォーマンスを犠牲にすることなく、ニーズに応じて自動的かつシームレスに拡張します。
