脅威を見逃さないために:ネットワークを網羅的に可視化するための重要なキャプチャポイント
ほぼすべての業界において、異常を迅速に検出して適切に対応するためにネットワークセキュリティの体制を強化しています。ネットワークにおける脅威の検出と対処が可能なソリューションを選択する際、重要なポイントは、「どこでトラフィックをキャプチャするか」です。
ネットワーク監視システムでは、流れているネットワークパケットを分析して、ネットワーク内の異常を検出します。そのため、当然のことながら、インフラにおける重要なポイントで適切にデータを取得することが鍵となります。
多くの環境では、インフラ内外を問わず、ネットワークをパケットが通過するパスが多数存在します。これらのデータには、クラウドなどの外部サービスにアクセスするユーザートラフィック、インフラ内でオンプレミス型などのホスト型サービスにアクセスするユーザーデータ、ユーザー間の通信、インフラ内のサービス間でやり取りされるデータなどがあります。
では、どこから始めれば良いのでしょうか?まず何を調査し、構築していくべきでしょうか?堅牢なネットワークセキュリティと監視を実現するという目標は組織ごとに異なりますが、包括的な可視性を実現するための一般的なガイドラインに従うことで、一歩前進することができます。
「North-Southトラフィック」(内部と外部のネットワーク間通信)可視化
NIAGARA社がこれまで関わってきたほぼすべての組織において、最も重要かつ最初に可視化するべきトラフィックは、いわゆる「North-Southトラフィック」です。これは、いわゆるインフラ境界を出て、クラウドインフラまたはインターネット上でホストサービスに向かうデータです。このデータはネットワークの境界を通過するため、悪意のあるトラフィックがネットワークの外部から内部に送信される可能性があるため、この種のトラフィックを可視化することが最も重要になります。
悪意のあるハッカーは、ネットワーク内部へのアクセスを試み、ネットワークをスキャンします。マルウェア、ランサムウェア、その他の異常な手段は、悪意のある攻撃者が既にネットワーク内部に潜伏していない限り、外部からネットワークに侵入しようとします。
このデータを可視化するには、ネットワークの出口に近い場所でパケットをキャプチャする必要があります。この重要なポイントとしては、コアスイッチ、コアと外部ファイアウォールの間、またはコアスイッチとディストリビューション層の間などが挙げられます。このトラフィックを100%確実にキャプチャする方法の一つとして、専用のTAP(ターミナルアクセスポイント)を使用することが挙げられます。TAPは、リンク上の送信トラフィックと受信トラフィックの両方をキャプチャする専用のハードウェアまたはソフトウェアソリューションで、Niagara Networksの「3255パッシブタップTAP」などが挙げられます。TAPソリューションを使用することで、リンク上でトラフィックが常にキャプチャされ、盲点が生じることを防ぎます。
「East-Westトラフィック」(ユーザー・サービス間通信)の可視化
North-Southトラフィックを可視化した後、次のステップは、ユーザーからインフラ内のホストサービスへ、またはユーザー間でやり取りされるトラフィックを可視化することです。多くの場合、悪意のある攻撃者はインフラ内のサービスへのアクセスを試み、侵害されたサービスから他のサービスや内部ユーザーへ、あるいはその逆へと移動しようとします。このようなトラフィックを完全に可視化することで、ネットワークセキュリティシステムはユーザーとサービスの通信に関しても可視化することができ、望ましくないアクティビティを監視できるようになります。
キャプチャポイントは、ユーザーとマシン間の通信においてはユーザーセグメントとサービスの境界、ユーザー間通信においてはディストリビューション層に設置できます。Niagara Networksの「3255パッシブタップTAP」をこのような境界に設置することで、ユーザーとサービスのトラフィックをキャプチャし、可視化することができます。
サービス間(アプリケーション間)通信の監視
さらに次に対処すべき事項は、サービス間またはアプリケーション間のレベルの監視です。あるサービスまたはアプリケーションが侵害された場合、別のサービスまたはアプリケーションへの移行が、悪意のある攻撃者にとって、第二の行動計画となります。また、仮想化されたサービスでは、マシン間通信がサーバーの物理的な境界を越えないことがよくあります。
このようなマイクロサービス環境を可視化するには、「Niagara Networks CloudRay」のようなソフトウェアベースのTAPソリューション(VTAP)を使用してアプリケーションの可視化を実現できます。VTAPは、仮想環境内のトラフィックをキャプチャし、マシン間通信の完全な可視性を提供する軽量の仮想マシン/エージェントです。
クラウド環境における完全な可視性
パブリッククラウドの外部でホストされているサービスは、監視すべき重要な領域です。一部のクラウドベンダーは、これらのインフラに出入りするトラフィックの可視化を提供していますが、組織は自社のネットワークセキュリティおよび監視ソリューションと連携させることが難しい場合が多くあります。「Niagara Networks CloudRay」のような専用のVTAPを使用することで、組織は100%のデータパケットをキャプチャし、既存のネットワークセキュリティ監視ソリューションに転送することで、完全な可視性を実現できます。
まとめ
プライベートデータセンターでもパブリッククラウドでも、ある種類のデータだけを見ても、インフラ内部で何が起こっているかについては、正確な解析は困難です。堅牢な可視性とネットワークセキュリティを確保するには、ネットワークを通過するデータのキャプチャが必要となります。これにより、セキュリティアナリストはインフラを360度見渡すことができ、ネットワークセキュリティ監視システムは情報を適切に紐づけて適切な解析が可能となります。
Niagara NetworksのTAPソリューション一覧
| 製品名 | 1Gb | 10Gb | 25Gb | 40Gb | 100Gb | 400Gb |
|---|---|---|---|---|---|---|
| Passive TAP | ||||||
| 3225 | ■ | ■ | ■ | ■ | ■ | ■ |
| Active TAP | ||||||
| 3808E | ■ | ■ | ■ | ■ | ■ | |
| 3299 | ■ | |||||
| Virtual TAP | ||||||
| CloudRay VTAP | ■ | ■ | ||||
ーーー
本記事は、Bakir Malik/Naiagara Networks blogによる英語記事「Why You're Missing Threats: Critical Capture Points for Complete Network Visibility」をもとに、日本語読者向けに翻訳・再構成したものです。内容の一部は意訳・補足を加えており、原文と異なる表現が含まれる場合があります。正確な内容は原文をご参照ください。
※翻訳掲載については著者の許可を得ています。
※本内容は更新時(2025年11月時点)の参考訳です。記事の内容は更新されている可能性があります。
ーーー
◆メーカーブログはこちら
◆NIAGARA(パケットブローカー)の詳細はこちら
Niagara Networks エンジニアブログ記事