VersaネットワークマイクロセグメンテーションVersa、ゼロトラストの原則をネットワーク内部に拡張することで、境界に焦点を当てたアクセス制御やセキュリティ対策を超え、追加のセキュリティ層を実現します。
従来のネットワーク・セキュリティ・モデルは、ファイアウォールなどの技術を使ってネットワーク全体を保護し、さまざまな認証戦略を適用して、許可されたユーザーとデバイスだけがその境界を通過できるようにすることで、ネットワークの境界を保護することに取り組んできました。しかし、すでにネットワーク内部に侵入している脅威についてはどうだろうか?マイクロセグメンテーションは、ネットワークをより小さく隔離されたセグメントに分割し、効果的に防御レイヤーを追加するセキュリティ戦略である。特定のリソースやサービスを中心にマイクロセグメントを作成し、マイクロセグメント内のリソースやサービスに特化したアクセス制御やセキュリティ・ポリシーを定義することができる。
攻撃者が外側のセキュリティ境界を突破したとしても、段階的攻撃のためにネットワーク内を移動する能力を制限する。
クラウド環境を分割し、その間の通信を制限することでセキュリティを向上させる。
デバイス・プロファイルに基づいて個別のゾーンを作成し、ネットワーク・デバイスを適切なゾーンに割り当てて、LANレイヤーとインターネット・レイヤーの両方でZero-Trustポリシーを適用します。
VersaONE ユニバーサルSASE プラットフォームでは、管理者はユーザークライアントデバイスだけでなく、クライアントレスやヘッドレスのIoTやOTデバイスをマイクロセグメントに配置することができます。マイクロセグメントを作成するには、ユーザーまたはデバイスをマイクロセグメントに配置する一致基準のポリシーを定義し、トラフィックを制限または許可するポリシーを適用します。
重要な点として、VersaマイクロセグメンテーションVersa動的です。デバイスの状態変化、ユーザーのリスクスコア、その他の要因に反応し、それに応じてユーザーやデバイスがアクセスできるセグメントを自動的に調整します。 例えば、マイクロセグメンテーションポリシーがデバイスのアンチウイルスソフトウェアが最新でないため攻撃に脆弱であると判断した場合、そのデバイスを自動的に隔離されたマイクロセグメントに配置し、ネットワーク内の他のユーザーやデバイスとの通信を遮断します。 その後、そのデバイスのアンチウイルスソフトウェアがアップグレードされると、SASE がこの情報をファーストホップSASE に伝達した後、マイクロセグメンテーションポリシーは、そのデバイスを非隔離マイクロセグメントに移動させることができます。
Versa SASE を実行しないヘッドレスIoTおよびOTデバイス(センサーやプリンターなど)については、VersaONE デバイスフィンガープリンティング機能により、モデル、ベンダー、その他の関連属性に基づいてデバイスを識別し、適切なマイクロセグメントに配置します。
