ネットワークインフラストラクチャデバイスのセキュリティを向上させるには?
ユーザーとネットワーク管理者は、ネットワークインフラストラクチャをより適切に保護するために、次の提案を実施することを奨励します。
ネットワークと機能を分割して分離します。
不必要な横方向のコミュニケーションを制限します。
ネットワーク機器を強化する。
帯域外(OoB)ネットワーク管理を実行します。
ハードウェアとソフトウェアの整合性を確認します。
ネットワークと機能のセグメント化と分離
セキュリティアーキテクチャは、セグメント化や分離などのネットワークインフラストラクチャ全体のレイアウトを考慮する必要があります。適切なネットワークセグメントは、侵入者が脆弱性を伝播したり、内部ネットワークで横方向に移動したりするのを防止する効果的なセキュリティメカニズムです。セグメント化されていないネットワーク上では、侵入者は重要なデバイスを制御したり、機密データや知的財産権にアクセスしたりするためにその影響を拡大することができます。分離は、役割と機能に基づいてネットワークセグメントを分離します。セキュリティ保護されたネットワークは、悪意のあるイベントを含むネットワークを隔離することができ、ネットワーク内部のどこかに侵入者が足場を得る際の影響を減らすことができます。
機密情報の物理的分離
ルータなどの従来のネットワークデバイスは、ローカルエリアネットワーク(LAN)セグメントを分離することができる。組織は、ネットワーク間にルータを配置して境界を作成し、ブロードキャストドメインの数を増やし、ユーザーのブロードキャストトラフィックを効果的にフィルタリングすることができます。組織は、トラフィックを異なるセグメントに制限して境界を使用することでセキュリティ・ホールを抑制でき、侵入中にネットワークの一部を閉じたり、相手のアクセスを制限したりすることもできます。
推奨事項
・ネットワークセグメントを設計する際に最小権限と知っておくべき原則を実施する。
・機密情報とセキュリティ要件をセグメント化する。
・すべてのセグメントとネットワーク層にセキュリティ提案とセキュリティ構成を適用する。
機密情報の仮想分離
技術の変化に伴い、情報技術の効率化とネットワークセキュリティ制御を高めるために新たな戦略が開発された。仮想アイソレーションは、同じ物理ネットワーク上のネットワークの論理アイソレーションである。仮想セグメントは物理セグメントと同じ設計原則を使用しますが、追加のハードウェアは必要ありません。従来技術は、侵入者が他の内部ネットワークセグメントを破壊することを防止するために使用することができる。
推奨事項
・プライベート仮想ローカルエリアネットワーク(VLAN)を使用して、残りのブロードキャストドメインからユーザを分離する。
・仮想ルーティングと転送(VRF)技術を用いて、単一ルータ上で同時に複数のルーティングテーブルを介してネットワークトラフィックをセグメント化する。
・仮想プライベートネットワーク(VPN)を使用して、パブリックまたはプライベートネットワークを介したトンネルを確立し、ホスト/ネットワークを安全に拡張する。
不必要な横方向通信を制限する
フィルタリングされていないポイントツーポイント通信(ワークステーションからワークステーションまでを含む)を許可すると、深刻な脆弱性が発生し、ネットワーク侵入者のアクセス権を簡単に複数のシステムに伝播させることができます。侵入者がネットワークに有効な干潟陣地を構築すると、フィルタリングされていない横方向通信により、侵入者はネットワーク全体に裏口を作成することができます。バックドアは、侵入者がネットワーク上で持続性を維持し、防御者が侵入者を抑制し根絶する努力を阻害するのを支援する。
推奨事項
・ネットワーク内の他のホストからのパケットフローを拒否するために、ホストベースのファイアウォール規則を使用して通信を制限する。ホストデバイス、ユーザー、プログラム、またはインターネットプロトコル(IP)アドレスをフィルタリングして、サービスやシステムからのアクセスを制限するファイアウォール規則を作成できます。
・VLANへの出入りを制御するフィルタであるVLANアクセス制御リスト(VACL)を実装する。VACLフィルタを作成して、パケットが他のVLANに流れる能力を拒否する必要があります。
・物理的または仮想的な分離を使用してネットワークを論理的に分離し、ネットワーク管理者が重要なデバイスをセグメント上に分離できるようにする。
ネットワークデバイスの強化
ネットワークインフラストラクチャのセキュリティを強化するための基本的な方法の1つは、セキュリティ構成によってネットワークデバイスを保護することです。政府機関、組織、ベンダーは、ネットワークデバイスを強化する方法について、ベンチマークやベストプラクティスなど、管理者に幅広い指導を提供しています。管理者は、法律、規制、サイトセキュリティポリシー、標準、業界のベストプラクティスに基づいて、次の推奨事項を実装する必要があります。
推奨事項
・ネットワークインフラストラクチャを管理するための暗号化されていないリモート管理プロトコル(Telnet、ファイル転送プロトコル[FTP]など)を無効にする。
・不要なサービス(例えば、ディスカバリープロトコル、ソースルーティング、ハイパーテキスト転送プロトコル[HTTP]、単純ネットワーク管理プロトコル[SNMP]、ブートプロトコル)を無効にする。
・SNMPv 3(またはそれ以降のバージョン)を使用しますが、SNMPコミュニティ文字列は使用しないでください。
・安全なアクセスコンソール、補助、仮想端末回線。
・強力なパスワードポリシーを実装し、使用可能な最強のパスワードで暗号化する。
・リモート管理のアクセスリストを制御することにより、ルータとスイッチを保護する。
・ルータとスイッチへの物理的アクセスを制限する。
・構成をバックアップし、オフラインで保存します。最新バージョンのネットワークデバイスオペレーティングシステムを使用して、すべてのパッチを更新したままにします。
・セキュリティ要件に基づいて定期的にセキュリティ構成をテストする。
・ファイルの送信、保存、バックアップ時に暗号化またはアクセス制御によりプロファイルを保護する。
ネットワークインフラストラクチャへの安全なアクセス
広く利用できないリソースにアクセスできるように管理権限を付与できます。ネットワークインフラストラクチャ・デバイスの管理権限を制限することは、侵入者が不正な権限、広範な許可、または厳格な監査を受けていない管理権限を利用できるため、セキュリティにとって重要です。攻撃者は、ネットワークを横断し、アクセス権を拡張し、ネットワークインフラストラクチャのバックボーンを完全に制御するために、損傷した権限を使用できます。組織は、セキュリティアクセスポリシーとプログラムを実装することにより、不正なネットワークインフラストラクチャアクセスを削減できます。
推奨事項
・多要素認証(MFA)を実施する。認証は、ユーザーのアイデンティティを検証するためのプロセスです。攻撃者は通常、弱い認証プロセスを利用します。MFAは、少なくとも2つのアイデンティティコンポーネントを使用してユーザーのアイデンティティを検証します。アイデンティティコンポーネントには、次のものがあります。
- ユーザが知っているもの(例えばパスワード)、
- ユーザーが所有するオブジェクト(トークンなど)、および
- ユーザ固有の特徴(フィンガープリントなど)。
・特権アクセスの管理。認証、認可、課金(AAA)サービスを提供するサーバを使用して、ネットワークデバイス管理のアクセス情報を格納します。AAAサーバにより、ネットワーク管理者は最小権限の原則に基づいてユーザーに異なる権限レベルを割り当てることができます。ユーザーが不正なコマンドを実行しようとすると、拒否されます。可能であれば、AAAサーバを使用することに加えて、ハードトークン認証サーバを実装することもできる。MFAを使用することで、侵入者はネットワークデバイスにアクセスするために認証情報を盗み、再利用することがより困難になります。
・管理証憑を管理する。システムがMFAベストプラクティスを満たしていない場合は、次の手順に従います。
- デフォルトパスワードの変更。
- NIST SP 800-63 CデジタルIDガイドとカナダの情報技術システムITSPユーザ認証ガイドに基づいて、パスワードの長さが少なくとも8文字であることを確認し、パスワードの長さが64文字(またはそれ以上)であることを許可します。
- 使用頻度の高い、予期されている、または漏洩したパスワードなど、許容できない値の拒否リストに基づいてパスワードをチェックします。
- 保存されているすべてのパスワードが塩とハッシュされていることを確認します。
- セキュリティボックスなどの保護されたオフラインロケーションにパスワードを保存して、緊急アクセスを行います。
