Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Policy Enforcerのメリット

ほとんどのエンタープライズコンピュータセキュリティは、組織の周囲に壁を作成することを中心に展開しています。 図1を参照してください。

図 1: 境界で定義されたセキュリティ モデル Perimeter-Defined Security Model

この境界指向のセキュリティにより、ネットワークは本質的に信頼できるモデルで構築されます。ネットワーク(VLANなど)に接続するアプリケーションまたはユーザーは基本的に相互に通信でき、ファイアウォールや侵入防御システム(IPS)などのネットワークセキュリティソリューションが境界に展開されてセキュリティが提供されます。ファイアウォールは、未知のマルウェア、アプリケーション、およびネットワーク攻撃が企業に侵入するのを防ぐために、考えられるすべてのルールで構成されることがよくあります。このアーキテクチャは、「ネットワーク内のすべてのものが基本的に信頼されている」と「ネットワーク外のすべてが信頼されていない」と仮定するモデルに基づいているため、境界はすべてのセキュリティ制御が展開される場所です。

このアーキテクチャは、データセンター、キャンパスおよび支社/拠点の構成全体で一貫しています。残念ながら、このセキュリティアーキテクチャには欠陥があります。内部の脅威からの保護には役立ちません。ファイアウォールの人気にもかかわらず、近年のアプリケーションとマルウェアの高度化により、境界防御を回避する方法が見つかりました。企業内に侵入すると、これらの脅威は簡単に広がる可能性があります。ラップトップやデスクトップに感染したネットワークが、エンタープライズネットワークをボットネット軍にし、内部および外部からの攻撃のソースとなる可能性があります。企業は複数のファイアウォール層を展開することで内部の脅威から保護することができますが、すべての内部トラフィックをファイアウォールの個別の層に通すことは困難であるため、慎重な計画が必要です。

セキュリティフレームワークは、複数の管理者、管理システム、および異なる管理者やシステム間の多くの手動調整への依存のために、非常に断片化されたアプローチになります。

  • ネットワークセキュリティチームがあり、主に外部の脅威を管理するために、境界ファイアウォールのセキュリティポリシーを管理しています。

  • ネットワーク運用チームでは、通常、ネットワークとアプリケーションの分離を使用してセキュリティ ポリシーを管理し、内部攻撃や不正アクセスから保護します。

  • また、ラップトップ、デスクトップ、アプリケーションサーバーなどのエンドポイントを管理し、セキュリティ体制が正しいことを確認する3つ目のチーム、つまりITチームもあります。

対照的に、Policy EnforcerとJuniper Connected Security( 図2を参照)は、セキュリティデバイスではなく論理ポリシーに基づいて保護を提供することで、ネットワークセキュリティを簡素化します。Policy Enforcerは確かに境界セキュリティを提供しますが、もはや内部を外部から守るだけではありません。誰かが内部ネットワークに接続しているという事実は、彼らがネットワークへの無制限のアクセスを得ることができるという意味ではありません。このモデルは、ネットワーク上の1つのアプリケーションが侵害された場合でも、企業がその感染/脅威のネットワーク内の他の潜在的により重要な資産への拡散を制限できるため、根本的に安全です。

図2:Policy EnforcerとJuniper Connected Security Policy Enforcer and Juniper Connected Security

Policy Enforcerは、情報セキュリティがセキュリティソフトウェアによって制御および管理されるモデルです。新しいデバイスは、他のモデルのようにIPアドレスを特定する代わりに、自動的にセキュリティポリシーの対象となります。ソフトウェア定義であるため、すでに導入されているセキュリティポリシーや制御に影響を与えることなく、環境を移動することができます。その他のメリットは次のとおりです。

  • より高度で詳細なセキュリティ:ネットワークアクティビティの可視性を高めることで、サイバー脅威やその他のセキュリティインシデントに迅速に対応できます。複数のソース(サードパーティのフィードを含む)とクラウドからの脅威インテリジェンスを活用することで、脅威をより迅速に検出できます。中央管理により、標準的なネットワークアクティビティを妨げることなくセキュリティの課題を分析し、組織全体にセキュリティポリシーを配布できます。たとえば、通常のトラフィック フローを許可しながら、悪意のあるトラフィックを選択的にブロックできます。

  • 拡張性とコスト削減:ソフトウェアベースのモデルにより、購入と維持にコストがかかるハードウェアを追加または削減することなく、当面のニーズに応じて迅速かつ容易にセキュリティを拡大または縮小することができます。

  • よりシンプルなソリューション-ハードウェアセキュリティアーキテクチャは、サーバーや特殊な物理デバイスが必要なため、複雑なものになることがあります。ソフトウェアモデルでは、セキュリティはポリシーに基づいています。情報は、物理的な場所に関係なく、どこにいても保護できます。

関連ドキュメント