産業ネットワークのマイクロセグメンテーション

22年2025月XNUMX日 | Miscelanea

この記事では、ネットワークに多層防御の原則を実装するために産業界が採用している進歩について説明します。

この原則は、重要な機器を複数の防御層の背後に配置することで保護し、システムの重要な要素に影響を与える前に攻撃を検出または阻止する機会を複数提供する利点を指します。

このための主なツールは、ネットワークセグメンテーション、またはより高度なケースではマイクロセグメンテーションです。セグメンテーションには、識別され保護されたチャネル (コンジット) を通じてのみ通信する複数のセグメント (ゾーン) に単一のネットワークを分割するために使用される一連の技術と機器が含まれます。

セグメンテーションにより、受信および送信の通信が防御された境界ポイントに制限されるため、各ゾーンの攻撃可能な境界を減らすことができます。ネットワークトラフィックをより細かく制御できるため、次の方法でより複雑なアーキテクチャを作成できます。

垂直セグメンテーション: 異なる権限レベルでゾーンを分離します。通常、上位ゾーンはユーザーまたは外部接続のより一般的なアクセスで作成され、下位ゾーンはより制限されたアクセスで作成されます。
水平セグメンテーション: 同じ権限レベルだがアクセスレベルが異なるゾーンを分離します。通常は機能別にゾーンを分離します。

これらのビルディングブロックにより、普及している安全な産業用ネットワークアーキテクチャと、より高度なシステムに採用されている新しいモデルが作成されます。

基本的な産業セグメンテーションモデル

現在、産業ネットワークは、規模、業種、国によって大きく異なります。ただし、当初または事後的に設計時にサイバーセキュリティが考慮されている場合、特定のニーズに合わせて必要な変更を加えた均質モデルに向かう傾向があります。

産業用ゼロトラストマイクロセグメンテーションレイヤー

この一般的な階層化セキュリティモデルは、多層防御の原則を示す一連の対策として要約できます。

1. 産業ネットワークは企業ネットワークから分離されており、産業ネットワークへの不要なトラフィックとアクセスを削減します。分離の程度は、各ネットワークとセキュリティ対策の成熟度によって異なります。
2. 産業ネットワークは企業ネットワークの下に配置されます。このように、産業ネットワークは上位層によって保護されており、外部の攻撃者はその上位層を通過しなければ産業ネットワークに到達できません。
3. 一般に非武装地帯 (DMZ) と呼ばれる中間ネットワークが、2 つのネットワーク間に展開されます。DMZ は、ネットワーク間のセキュリティ境界として機能し、補助システムの安全な場所を提供し、両方の環境間のトラフィックを管理します。

この広く使用されているモデルは、産業セグメンテーションの出発点として機能します。このモデルはシンプルで、さまざまなシステムに適応でき、許容できるレベルのセキュリティを提供します。

ただし、高度なネットワークや重要なネットワークでより洗練されたモデルが採用される主な要因は次の 2 つです。

IIoT 機器、IT テクノロジー、または AI テクノロジーの組み込み: これらのツールは生産性や効率性を大幅に向上させることができますが、多くの場合、外部ネットワーク、ワイヤレスネットワーク、または企業ネットワークからのアクセスとの常時接続が必要になるため、従来のモデルと競合する可能性があります。
脅威の量と複雑さの増加: 攻撃者が産業環境で経験を積むにつれて、攻撃はより頻繁になり、被害も大きくなります。適応性はありますが、一般的なモデルは、基本アーキテクチャの変更と比較して、補完的なセキュリティ対策を追加するとすぐに非効率になり、コストがかかる可能性があります。

新しいモデルはこれらの問題に対処することを目的としています。

マイクロセグメンテーションの実装方法

IEC 62443 などの規制で認められているマイクロセグメンテーションでは、既知のセグメンテーション方法 (水平セグメンテーションと垂直セグメンテーション) を使用して、従来の産業ネットワーク内に独立したゾーンを作成します。

効果的なマイクロセグメンテーションを行うには、まず産業ネットワーク内の潜在的なゾーンを特定することが不可欠です。このプロセスは、ネットワークリスク評価から始めるのが最適です。生産に不可欠な機器はどれですか? リスクレベルが高いのはどれですか? 特別な運用上のニーズがあるのはどれですか? これらの質問に答えることで、同様の特性を持つ機器のグループを有機的に特定できます。

Reliaoid ロードバランサゼロトラストマイクロセグメンテーションアーキテクチャ

マイクロセグメント化されたネットワークの一般的なゾーンの例は次のとおりです。

コントロールゾーン: 生産プロセスを制御するための重要な機器を収容し、最高のセキュリティレベルとアクセス制限を備えています。可能な場合は、複数の独立した制御ゾーンを定義することをお勧めします。たとえば、製造工場内の独立した生産ラインの制御システムを分離すると、インシデントによって生産全体または一部が中断されることを防ぐことができます。
監視ゾーン: 制御機能のない工業プロセスデータを収集する機器を屋内に設置します。その重要性は、処理するデータと対象となる受信者によって異なります。工業プロセスデータをネットワーク外に送信する機器は、本質的に機密性リスクと潜在的な侵入ベクトルをもたらすため、特別な注意が必要です。
セーフティゾーン: ホスト保護およびインシデント防止装置。これらのシステムは通常、外部ネットワークから分離して機能しますが、可用性が重要です。一般的な産業ネットワークに配置すると、運用上の利点が得られず、不要なリスクにさらされることになります。
コンプライアンスゾーン: セクター、規模、企業文化によって異なりますが、多くの場合、排出量、生産 KPI、在庫、機械の状態、エネルギー消費などのデータを監視します。これらのシステムでは通常、高い可用性と、企業および外部のネットワークとの通信が必要です。
追加ゾーン:

データホスティングゾーン: 継続的にアクセスされる運用データからバックアップ用のコールドストレージまで、サーバー、ストレージユニット、データベース。
補助サービスゾーン: 通常は、電子メール、ウイルス対策、資産検出、権限管理などのゾーン間サービス用の中央サーバーです。
テストゾーン: 変更をライブ環境に適用する前に検証するための安全な環境。
冗長ゾーン: 通常は生産には参加しないが、プライマリシステムが無効になった場合に代替操作を提供する機器用。

これらのゾーンの組み合わせはほぼ無限であり、各産業環境に適応できます。ゾーンは、単一の独立したデバイスのように小さくすることも、必要に応じて大きくすることもできます。そのため、制御ゾーン内に特定の監視ゾーンを展開して、制御ゾーンに直接アクセスせずにデータチャネルを作成するなどの組み合わせが可能になります。

しかし、従来のテクノロジーを使用してこのようなアーキテクチャを展開することは、すぐに非現実的になります。ゾーンの数が増えると、購入、展開、保守が必要なネットワークデバイスと境界の数が増えます。したがって、この高度なセグメンテーションをサポートするテクノロジーを理解することが不可欠です。

マイクロセグメンテーション技術

いくつかのネットワークテクノロジファミリがマイクロセグメンテーションをサポートするように進化しており、主な例は次のとおりです。

OT ファイアウォール: 通常は多数の接続用にラックマウントされますが、最近のファイアウォールモデルは小型化されており、電気キャビネット、狭いスペース、または厳しい条件に設置できます。これらのデバイスでは通常、メインコンソールからの集中管理が可能で、複数の境界ポイントをケースごとに詳細なルールで制御できます。
マネージドスイッチセグメント化されたネットワークとトラフィック制御を作成できるマネージドスイッチはこれまでも利用可能でしたが、マイクロセグメンテーションにより、サイズ、機能、セキュリティ機能の点でより柔軟なモデルの開発が促進されました。
EDR (エンドポイントの検出と応答): OT ファイアウォールに似ていますが、セキュリティ機能が追加されています。EDR には、ウイルス対策、ホワイトリスト、DoS 保護、IDS/HIDS 機能を含めることができ、従来のセキュリティ対策が実用的でない環境にオールインワンソリューションを提供します。
IoT ゲートウェイ: 従来のゲートウェイと同様に、これらのデバイスは IIoT プロトコルトラフィックを集中管理および分散し、管理とセグメンテーションを簡素化します。業界設計のモデルでは、暗号化、アクセス制御、負荷分散、困難な状況での展開などのセキュリティ機能が追加されることがよくあります。

ご覧のとおり、新しいマイクロセグメンテーションテクノロジーのほとんどは、従来のセグメンテーションに現在使用されているデバイスの更新バージョンであり、産業用ネットワークの固有のニーズに適応しながらネットワーク管理を簡素化するように設計されています。