2023 年のネットワーク パーティション: AI と自動化が状況をどのように変えるか

ネットワーク セグメンテーションは、企業の攻撃対象領域を減らし、横方向の移動を防ぐ基本的な予防的セキュリティ制御です。攻撃者はインターネットからすべての仮想マシン (VM) に直接アクセスできないため、攻撃がさらに困難になります。

また、企業ネットワーク内に侵入できたとしても、ファイアウォールやゾーンによって内部ネットワーク接続やトラフィックが制限されている場合は、ある VM から次の VM に素早く移動することはできません。しかし、人工知能と IT 自動化の台頭により、パーティショニングの基本原則であるフェーズが問われています。

ステージがネットワークとサイバーセキュリティに与える影響

開発領域、テスト領域、試作領域、生産領域。アジャイル エンジニアリング手法は古いウォーターフォール モデルに取って代わりましたが、段階はまだ存在しています。 IT 部門によっては、3 つのフェーズまたは 2 つのフェーズのみを持つ場合があり、統合テスト フェーズまたは単体テスト フェーズについて話す場合もあります。目的は同じです:

「誤って本番環境で実験する」こと、つまりテスト環境でテストせずに本番環境での問題を意図的に修正することを防止します。アプリケーションの運用安定性は多くのビジネスにとって重要なので、テストされていない変更を本番環境で許可すべきではありません。開発フェーズでこの原則を有効にして実施します。

● 開発段階とユニットテスト段階では合成データまたは匿名化されたデータのみを許可するなど、機密データを保存するマシンを制限します。

● 特に、完全に保護されていないことが多い開発サーバーから本番マシンへの横方向の移動を阻止します。

実際には、より大規模なネットワーク設計では、インターネットに到達可能な内部領域と外部領域を区別し、インターネット領域と外部領域の間に Web アプリケーション ファイアウォールとアプリケーション インターフェイス (API) 管理ソリューションを配置します。国や事業単位も広く使用されているパーティションディメンションです。非実稼働フェーズでは、同じまたはより単純なパーティショニングの概念が使用される場合があります。

これは伝統的な設定です。ここ数年、人工知能やIT自動化が注目を集め、変化をもたらしてきました。

IT自動化がネットワークパーティショニングに与える影響

高可用性と高速なコード展開サイクルを実現するには、データ センターでの自動化が必要です。さらに、自動化により管理者の効率も向上します。以前は管理者が 20 枚のフロッピー ディスクを操作しなければならなかったフルタイムの仕事に比べ、ソフトウェアのインストールと設定は 1 回のクリックで実行できるようになりました。

今日の監視サーバーには自動アラーム機能が備わっています。手動による介入が必要な場合は、管理者に積極的に通知します。さらに、CI/CD パイプラインが標準です。ただし、これらの効率性の向上には、ネットワーク分割の概念の修正が必要です。

ネットワークパーティションの影響を考慮してコンポーネントとCI/CDパイプラインを監視および展開する

監視ソリューションは、VM とネットワーク コンポーネントの可用性をチェックし、セキュリティ インシデントを示す可能性のあるイベントを探します。監視コンポーネントは、生産エリア内の専用エリアに配置することも、完全に別のエリアに配置することもできます。当然のことながら、これらのアプリケーションがパーティションによって分離されていれば、操作エラーが発生する可能性は低くなります。また、ファイアウォールは、すべてをオンにするのではなく、選択的にオンにする必要があります。

監視ソリューションはその一例であり、パッチ管理や脆弱性スキャンなどの他のソリューションも同じカテゴリに分類されます。ただし、このようなソリューションではクロスステージ アクセスを回避することは可能ですが、CI/CD パイプラインは定義上、クロスステージです。

まず、コードはローカル ラップトップにデプロイされ、次にテスト サーバー、統合環境、そして最後に本番環境にデプロイされます。したがって、CI/CD パイプラインの性質上、ステージ間のアクセスが必要になります。同様に、ツールがすべての段階で VM を展開および変更する必要がある場合は、ゾーン間のファイアウォールを完全に削除するのではなく、ツールに対してのみ選択的に開く必要があります。

AIモデルのトレーニングとネットワークパーティション

人工知能は、生産データと開発活動を分離するという考えをもたらします。 AI モデルをトレーニングするということは、何千もの変数と何百万ものデータセットからの依存関係を検出するアルゴリズムを実行することを意味しますが、これを手動で検出することは不可能です。

このトレーニングには実際のデータが必要ですが、顧客名、住所、社会保障番号などのすべての機密データが必要になるわけではありません。モデル トレーニングなどの開発タスクは、運用データで実行する必要があるため、運用リージョンで実行する必要があります。ただし、AI と分析の制作 (サブ) 領域を別々に設けることは理にかなっています。人工知能は、多くの場合、通常の作業プロセスとは別に安全に保管したい大量のデータを意味します。

人工知能と自動化プラットフォームのエンジニアリングとステージコンセプト

IT 自動化コンポーネントと AI トレーニング環境は、通常のアプリケーション ワークロードとは異なります。どちらも、ステージ間の接続を可能にするために、従来のパーティショニングの概念を適応させる必要があります。ただし、実稼働インスタンスとそのエンジニアリングを区別することが重要です。

AI プラットフォームのエンジニアリングと自動化ツールの監視は、企業の通常のエンジニアリング アプローチに従います。エンジニアは、変更を推進する前に、まず開発領域で作業し、その後、試作環境と本番環境をテストします。特別な要件がない場合は、エンジニアリングには従来のルールが適用されます。つまり、現在のフェーズにのみ接続し、開発および初期テスト用の生産データは提供されません。

要約すると、IT 自動化関連のツールや AI モデルのトレーニングにおけるいくつかの例外はあるものの、パーティショニングとセグメンテーションという従来の概念は 20 年代にも定着するでしょう。地域やステージの世界はぼやけるどころか、ますます多彩で複雑になってきました。