今回は、ネットワークエンジニアから見たセキュリティ対策について羅列します。
必ずしもすべて正解ではないのであしからず、また今回挙げた他にも色々あると思います。
基本的にセキュリティ対策というのは、トレードオフの関係なので、
どこまでやるのか、かけられるお金と最適な対策手段を見極める必要性があります。
シンプル明快なトポロジー
トポロジーはシンプルに、できる限り一般的な構成にしておきます。
ルーティングポイントも少なくして、基本はコアL3スイッチにまとめておきます。
運用管理者から見て明快でわかりやすいのが、
セキュリティー面からみてもベターでしょう。
セキュリティの観点からトポロジーを複雑にする理由はありません。
機器の設定を複雑にしないといけない場合はあるかもしれませんが、
トポロジーはシンプルがいいでしょう。
リプレース案件でまれに既存ネットワークが
なんでこんなに複雑なの?って思ったことあります。
おそらく、既存を残したまま色々追加していった結果そうなってしまったのでしょうが、
既存の理解が一苦労で、リプレースするのも大変でした。
インターネット分割
ウイルスやマルウェアなどは多くの場合、インターネットを返して送られてきます。
当たり前ですよね。社内の人間が悪さをする可能性もありますが、基本的に外部の人間です。
だから、世間の流れとしては、インターネットを使う端末とそうでない端末を
ネットワークから分ける傾向にあります。
インターネットを使えなかったら仕事にならないだろと思うかもしれませんが、
お客さん情報など重要なデータを扱う端末はインターネットから分離させなければなりません。
特に、自治体はそれを国から指針として義務?づけられているし、
銀行やビックデータを扱う企業などもそのようになっています。はずです。
そのため、以前はネットワークを物理的に分割していました。
でも、そうなると、二重に機器代金がかかってしまうので、
統合化の流れとなりました。
それを実現する技術が、
ネットワーク面だとVRFであり、
クライアント端末面であればVDIやSBCのシンクライアント化の流れです。
端末認証,ユーザ認証
ネットワーク的にいうと、主流としてはIEEE802.1x認証(EAP-TLS)です。
その他としては、ユーザのカード認証や生体認証です。
IEEE802.1x認証はネットワークエンジニアとしては必須です。
合わせてRADIUSや証明書についても理解を深める必要があります。
コメント