Aristaのマクロ セグメンテーション サービスの紹介

標的型攻撃等から守る方法としてPC単位でネットワークセグメントを作る方法あるが、この場合既存の構成を変えることになるため、コストや運用管理の観点から望ましくない。
それで簡単な方法で既存構成を変えずにネットワークセグメントを作る方法を紹介します。

今回はAristaのマクロ セグメンテーション サービスを紹介します。
MSSと呼ばれる機能は標的型攻撃等からPCを守るためのセキュリティ ソリューションであり、既存の構成を変えずに簡単にソフトウェアや外部のFW等と連携して実現することが出来ます。

ひとつは既存のVXLAN EVPN環境で使用可能なMSS FW機能で、FWとの連携でPCのトラフィックの許可、拒否するのをダイナミックに行うもの、もうひとつはスイッチのVLANやACL等を使わずにグループポリシーを作成してPCをセグメンテーションするものこの2つのセキュリティ ソリューションを紹介します。

〇MSS FW機能

VXLAN EVPN環境化で使用可能な次世代ファイヤーウォールやその他のネットワーク機器へのセキュリティーサービスの挿入を自動化する機能になります。

マクロ セグメンテーション サービスは仮想マシンだけでなく物理マシンへも提供可能で以下の特長を持っています。

1 デバイスのデバイスのローカル性に関する十分な柔軟性

ファイアウォールやロードバランサーのようなサービスデバイスは、どのようなスイッチ上のネットワークでも場所を問わず配置することができる。

2 新しいフレーム形式がない。

新たなフレーム形式、プロトコル、独自仕様による何かを要求することなく、トラフィックのパス内にサービスデバイスが挿入される。

3 独自仕様ではない。

ネットワークが複数のベンダーのデバイスで構成されていても十分な機能を発揮することができる。

4 動的

ホストは移動する可能性があり、また実際に移動するため（vMotion）、サービスや動的なサービスの挿入もホストとともに移動する必要がある。

5 次世代ファイアウォールの強化

アプリケーションのすべてのフローまたは相互作用を把握するコントローラ用のコントローラを実行したりはしない。

マクロ セグメンテーション サービスは以下のように物理トポロジーと論理トポロジーに依存せず、仮想マシンと物理マシンのトラフィックをFWでコントロールする機能になります。

物理トポロジー）

セキュリティデバイス（FW等）の配置、どこに配置してもよい。

論理トポロジー）

エッジ配下の仮想マシン、物理マシンはセキュリティデバイスを通して通信（トラフィックパスに挿入）

〇MSS Group機能

スイッチのVLANやACL等を使用せずにPCをセグメンテーションする機能になります。仮想マシンや物理マシンに適用可能でAristaの運用管理ソフトウェア CVPを使用して実現します。

先ほどのVXLAN EVPN環境に適用するMSS FWとは異なり、さまざまな構成に適用出来る以下の特長を持っています。

1 グループの柔軟性

グループポリシーとネットワークアドレッシングを分離

2 簡素化されたセキュリティを実施

複雑なオーバーレイプロトコルは不要

3 データプレーン リソースの効率的な利用

従来のACLの課題を克服

4 標準ベースのイーサネットの実装

ベンダーロックイン不要

5 エコシステム パートナーとの動的なポリシー統合

Forescout等

CVP上でセキュリティのセグメントポリシーを作成してそれをスイッチに適用することで実現する機能になります。

ご質問等御座いましたら、当社サポート窓口までお問い合わせいただけますと幸いです。

※本内容は、Arista社のドキュメント等より情報を抜粋し東京エレクトロンデバイスにて記事としてまとめたものとなります。