fbpx

Azureを用いたネットワークセキュリティの解

1 概要

マイクロソフトアズール(アズール)ネットワークを確実に接続する仮想マシン(VM)のために必要なインフラストラクチャを提供して互いに、及びクラウドとオンプレミスのデータセンター間のブリッジです。

Azureのネットワークサービスは、設計により、柔軟性、可用性、復元力、セキュリティ、および整合性を最大化します。このホワイトペーパーでは、Azureのネットワーク機能の詳細と、Azureのネイティブセキュリティ機能を使用して情報資産を保護する方法について説明します。

続きを読む

オンラインビジネスのための継続的なID保護ガイド

悪用や詐欺からユーザーアカウントを保護することは、価値の高いアプリケーションを提供する組織にとって根本的かつ終わりのない課題です。アカウントは、ボットやアカウント乗っ取り(ATO)を試みる攻撃者による継続的な攻撃、カーディング攻撃、偽のアカウント作成、盗難、詐欺などに直面しています。

続きを読む

アレイ専用のSSL VPN 高速、安全、スケーラブルな安全なアクセス

前書き

長年にわたり、組織はSecure Sockets Layer(SSL、別名TLS)テクノロジーに基づく仮想プライベートネットワーク(VPN)を利用して、リモートおよびアクセスのニーズを解決してきました。個人および企業所有のスマートモバイルデバイスの台頭により、企業のデータおよびリソースへの安全なモバイルアクセスの必要性が再び強調されています。

業界アナリストによると:

「スマートフォンのコンシューマライゼーションと、24時間年中無休でインターネットに接続されているスマートフォン、iPad、ネットブック、およびその他のモバイルデバイスの急増により、企業は本社、ブランチオフィス、リモートオフィス、データセンターの重要なインフラストラクチャがマルウェアからどのように保護されているかを再評価するようになっています。 」情報学研究

「企業の性質の変化とエンタープライズネットワークに接続するモバイルデバイスの数の増加、および「企業のコンシューマライゼーション」は、組織がネットワークセキュリティに取り組む方法に新しい要求を課しています。」ABIリサーチ

企業やサービスプロバイダーは、ますますモバイル化し、多様化するユーザーの性質(請負業者やゲストなど、さまざまなレベルのセキュリティを備えた自分のラップトップを通常使用する非従業員を含む)に対応して、安全なアプリケーションとネットワークアクセスを、エンドユーザーに提供するリソースの不可欠な部分にします。

一般に、SSL VPNを使用すると、ユーザーは複数の場所やコンピューティングデバイスからデータやアプリケーションに安全にアクセスでき、IDベースのきめ細かなアクセス制御を提供できます。しかし、近年、ファイアウォールや次世代ファイアウォールに組み込まれた機能としてSSL VPNが提供されるようになってきています。SSL処理リソースに依存する別のセキュリティアプライアンスとの統合は、大規模な展開が要求するスケーラビリティだけでなく、肯定的なエンドユーザーエクスペリエンスに必要なパフォーマンスに悪影響を与える可能性があります。

統合されたSSL VPNでは不十分

SSL VPNソリューションは、ブラウザで使用されるのと同じSSL暗号化を利用してトラフィックを暗号化し、データの機密性とデータの整合性を提供します。過去5年以上にわたり、企業は一般に、SSL VPNをインターネットセキュリティプロトコル(IPsec)または専用回線VPNに基づくものよりも優れたリモートアクセスの代替として受け入れてきました。

ただし、多くのSSL VPNベンダーは、クライアントレスおよびクライアント/サーバーアプリケーションのアクセス制御を提供する際に、SSL VPNの柔軟性とセキュリティの利点にほとんど専念してきました。彼らは、SSL VPNソリューションの全体的なスケーラビリティとパフォーマンスが顧客のニーズに一致することを保証するためにほとんど何もしていません。

さらに、多くのSSL VPNソリューションは、ファイアウォールまたはNGFWのモジュールまたはオプションとして提供されているため、次のような分野での企業の顧客の要求を満たすことができません。

  • パフォーマンスとユーザーエクスペリエンス–レイテンシとスループットのパフォーマンスを実現し、エンドユーザーエクスペリエンスを向上させて、エンドユーザーの生産性を保護する機能。
  • スケーラビリティ– パフォーマンスを低下させることなく、単一のハードウェアプラットフォーム上で多数の同時ユーザーに拡張する機能。
  • セキュリティ– 全体的なシステムパフォーマンスに悪影響を与えることなく、暗号化だけでなく、詳細なパケット検査とアプリケーションレベルのフィルタリングを提供する機能。

パフォーマンス

数年前から、サイバーセキュリティ業界は2048ビット暗号化に移行しました。これは、以前の1024ビット標準よりもはるかに安全ですが、5倍の処理能力を消費します。SSL VPN をファイアウォールやNGFWなどの別のコンピューティング集約型製品に組み込むと、SSL VPNのパフォーマンスに必然的に影響を与えるリソースの競合が発生し、ユーザーエクスペリエンスとワーカーの生産性が影響を受ける可能性があります。

たとえば、SSLバルク暗号化を検討してください。ほとんどのSSL VPNアドオンソリューションは、SSLキー交換行うI nはSSL VPNコプロセッサを使用して、ハードウェアを、しかし、バルク暗号化のためのメインCPUに依存しています。一括暗号化は、CPUを集中的に使用するプロセスであり、システムスループットに大きな負荷をかけ、特に2048ビットのキーでは大幅な遅延が発生します。

アプリケーションレベルのスループットも重要な要素です。SSL VPNは、ほとんどの統合プラットフォームが単純に設計されていない負荷を処理するよう求められています。そのため、多くの統合SSL VPNプラットフォームは実際的な制限に追いやられており、サポートされている同時ユーザー数、スループット、またはその両方に関して、ベンダーが定めた制限をはるかに下回る可能性があります。その結果、それらは正常に機能しなくなるか、または機能が不十分になり、エンドユーザーの生産性を妨げます。

許容可能なパフォーマンスレベルを達成するために、お客様は、複数の統合SSL VPNアプライアンスを購入し、スループットと同時ユーザーの観点から、要求されたパフォーマンスをはるかに下回ってそれらを操作する必要があることに気付きます。もちろん、これはコストの増加(初期資本支出と継続的な管理の両方)につながり、複数の障害点により信頼性が低下します。

一部の組織は、パフォーマンスが非常に低いため、サードパーティのアプリケーションアクセラレーションソリューションを別途購入して維持する必要があります。これもまた、コストの上昇と信頼性の低下につながります。

スケーラビリティ

このようなコストを回避することは、拡張性の高いSSL VPNソリューションを見つけることを意味します。スケーラビリティは、主に2つの要素で測定されます。同時ユーザーの最大数と同時SSL接続の最大数です。加えて、セキュリティのより多くの層を持つ、非常に複雑なSSL VPNの設定、さまざまためのルール、仮想ポータルなど興味のあるコミュニティは、また、スケーラビリティに影響を与えることができます。

アドオンSSL VPNソリューションは、最大25,000の同時ユーザーをスケーリングすると主張する場合がありますが、上記のように、実際の制限はおそらくはるかに小さくなります。それでも、25,000の同時ユーザー数でさえ、多くの企業、そして確かにサービスプロバイダーには少なすぎます。

SSL VPNマネージドサービスを提供するサービスプロバイダーにとって、1つのシステムで25,000を超えるユーザーと数百の顧客を拡張する機能は不可欠です。ほとんどのグローバル2000企業が100,000人を超える従業員を雇用していることを考えると、同じことが多くの大企業にも当てはまります。すべての従業員が安全なリモートアクセスを必要としているわけではなく、すべてが同時にログインしているわけではありませんが、SSL VPNの使用は従業員に限定されないことを覚えておくことが重要です。多くの場合、多数の請負業者、パートナー、サプライヤー、顧客に安全なアクセス権を与える必要があります。シンプルでクライアントレスの性質を考えると、ほとんどのITプロフェッショナルは、SSL VPNを使用してこれらのさまざまなグループや個人の安全なアクセスのニーズを満たすことを好みます。しかし、SSL VPNソリューションがシステムあたりのユーザーに対する通常の制限を超えて拡張できない場合を除き、そのような大きな要求をサポートすることは、アーキテクチャ上または経済的に実現可能ではありません。

さらに、ビジネスユニット、パートナー、サプライヤー、顧客が異なるかどうかに関係なく、すべてのユーザーコミュニティには、異なるレベルのアクセス権限が必要です。統合ファイアウォール/ SSL VPNソリューションは、多様なユーザーグループのきめ細かなロールベースのポリシーをサポートできますが、各グループのユーザーポータルを保護するために個別のアプライアンスが必要になる場合があります。その結果、より多様なユーザー数が追加されると、総所有コスト(TCO)が急上昇する可能性があります。

安全保障

統合ファイアウォール/ SSL VPNプラットフォームのパフォーマンスとスケーラビリティの欠点も、セキュリティ機能を制限する役割を果たす。適切なセキュリティを提供するには、処理能力が必要です。統合SSL VPNソリューションでは、システムに50人のユーザーしかいない場合にセキュリティを必要なレベルに設定できますが、ユーザーを追加すると、パフォーマンスが低下します。その結果、IT管理者は、パフォーマンスが許容レベルに回復するまで、セキュリティのレベルを縮小したくなるかもしれません。明らかに、これは最適な戦略ではありません。

統合SSL VPNのもう1つの問題は、OpenSSLなどの既製またはオープンソースのオペレーティングシステム上に構築される可能性があるため、これらのオペレーティングシステムに関連するすべての脆弱性とセキュリティホールの影響を受けることです。また、ほとんどの統合SSL VPNには高度なセキュリティ機能がありません。つまり、顧客はそのような機能を処理するために別のデバイスを追加する必要があり、複雑さ、コスト、および遅延が追加されます。さらに、統合されたファイアウォール/ SSL VPNソリューションは、通常、クライアントとSSL VPN アプライアンス間でのみトランスポートセキュリティを提供し、アプライアンスと接続されたサーバー間ではトランスポートセキュリティを提供しません。これにより、ユーザー組織は、すべてのセキュリティ脅威のかなりの部分を占める内部攻撃のリスクにさらされます。(IBMの2016サイバーセキュリティインテリジェンスインデックス3によると、すべての攻撃の60%は、悪意を持って、または不注意で、インサイダーに起因しています。)

専用のSSL VPNの紹介

統合ファイアウォール/ SSL VPNに関連するさまざまな欠点はすべて、SSL VPN用に特別に構築されたプラットフォームを使用することですべて対処できます。これは、アレイネットワークスがAGシリーズの高性能SSL VPNアプライアンスで採用したアプローチです。

アレイのAGシリーズ専用アプライアンスは、カスタムArrayOS™ オペレーティングシステムを実行する専用プラットフォームに基づいています。その最適化および合理化された操作は、アドオンSSL VPNプラットフォームと比較して、劇的に高いスループットと低いレイテンシを提供すると同時に、より多くの同時ユーザーとSSLセッションを可能にします。

多目的の統合されたコンピューティングプラットフォームは、プロセスが複数の処理レイヤーを通過する際に重大なボトルネックとレイテンシをもたらします。アレイのカスタムArrayOSオペレーティングシステムは処理を合理化し、キー交換やバルク暗号化などのCPU集中型の操作がハードウェアで実行されるようにします。

優れたパフォーマンスとユーザーエクスペリエンス

実際、その専用プラットフォームにより、Array は、最も近い競合するSSL VPNプラットフォーム(統合またはスタンドアロン)が提供できるよりも8倍速いパフォーマンス、スループット、および容量を提供できます。

パフォーマンスストーリーの多くは、ArrayOSとSpeedStack®の両方が原因です。これは、複数の統合されたデータフローに代わってTCPオーバーヘッド機能を一度だけ実行できるようにするアレイ処理エンジンです。機能を機能で構成されていると考えると、機能がかなり重複しています。これは、常に、機能要求が複数の機能を処理している可能性があり、その結果、リソースの使用効率が向上し、パフォーマンスが向上することを意味します。

Arrayは、SSLキー交換とバルク暗号化の両方をハードウェアで実行するだけでなく、圧縮と接続の多重化を統合して、ネットワーク接続の作業をオフロードすることで応答時間を改善し、サーバーのワークロードを削減します。その結果、アレイは500の同時SSLユーザーでわずか2ミリ秒の平均Webページ応答時間を維持でき、数万の同時ユーザーで1桁のままです。

アプリケーションサーバーが低レベルのTCPネットワーク操作を実行するには高すぎ、WAN帯域幅がリモートユーザーに高額な環境では、アレイのAGシリーズは、業界をリードするTCP接続の多重化やハードウェアベースのHTTP圧縮などの統合アプリケーションアクセラレーションを提供します。このレベルの統合された機能とパフォーマンスにより、コストを削減しながら、サーバーの応答時間とエンドユーザーエクスペリエンスが向上します。

エクスペリエンスの質の観点から見ると、高性能のSSL VPNソリューションがない場合、LANの速度に慣れているオフィスワーカーは、WAN経由でリモートで作業しようとするとイライラしてあきらめる可能性があります。さらに、VPNソリューションに関するこれらの従業員の経験の欠如は、避けられないログインとナビゲーションの問題を克服するために、かなりのトレーニングとサポートを必要とします。どちらの問題も、AG シリーズを使用して軽減できます。

強化されたセキュリティ

アレイの強力なパフォーマンス機能は、統合されたSSL VPNソリューションの場合によくあるように、ユーザーがパフォーマンスのためにセキュリティを犠牲にする必要がないことも意味します。アレイは、最大のセキュリティと瞬時のユーザー応答時間の両方を同時に維持できます。

すべてのSSL VPNソリューションと同様に、アレイは、認証、承認、監査(AAA)、およびキャッシュクリーニングによるエンドポイントセキュリティをサポートしています。ただし、アレイには、一般的な統合SSL VPN ソリューションにはない多数のセキュリティ機能も組み込まれています。

セキュリティの話は、独自のArrayOSオペレーティングシステムから始まります。ArrayOSは、​​専用のOSとして、WindowsやLinuxなどの汎用OSに固有の無関係な機能の1つと、それに付随するセキュリティの脆弱性を備えています。ArrayOSはセキュリティが強化されており、潜在的な攻撃面が大幅に減少しています。さらに、AGシリーズには、OpenSSLについて報告された脆弱性の大部分が影響を受けないことが証明された独自のSSLスタックが含まれています。これは、競合するほとんどすべてのSSL VPN製品の基盤です。

ArrayOSは完全なリバースプロキシアーキテクチャを採用しています。つまり、すべての接続を完全に終了し、バックエンドサーバーへの新しい接続を確立します。これには複数の目的があります。1つは、バックエンドサーバーを攻撃から保護するのに役立ちます。すべての接続はアレイデバイスで停止するため、ダウンストリームデバイスはこれらのバックエンドサーバーを「見る」ことができません。また、アレイは遅延バインディング技術を使用しており、アプリケーションサーバーに渡される前に、アレイアプライアンスで接続を完全に終了する必要があります。これにより、スプーフィングされたIPアドレスはサーバーに接続できなくなります。サーバーが正しく終了しないためです。

また、アレイのAGシリーズは、ワイヤースピードのステートフルファイアウォールとレイヤー7パケットインスペクションを採用して、異常なパケットを即座に検出(およびドロップ)します。エンドツーエンドのセキュリティを必要とする特に機密性の高いアプリケーションの場合、アレイデバイスとバックエンドサーバー間のセッションも再暗号化できます。

スケーラブルで仮想化されたユニバーサルアクセス

前に説明したように、大企業やサービスプロバイダーは、多数の多様なユーザーをサポートするために、最高のスケーラビリティ、最低のTCO、および柔軟なアクセス制御を必要とします。Array AGシリーズは、業界をリードするスケーラビリティ、仮想化、およびアクセス制御機能により、これらの厳しい要求を満たします。

単一のアレイシステムは、以下をサポートできます。

  • 130,000同時ユーザー
  • 3 Gbpsスループット
  • 256の仮想ポータル

これらの256個の仮想ポータルは、それぞれ独自のアクセスポリシー、および独自のルックアンドフィールとセキュリティ構成を持つことができます。単一のシステムからの手段は、企業が顧客にその公開Webへのアクセス権を与えることができる- ベースの注文システムは、アクセス、電子メール、ERPやCRMシステムに従業員を有効にして、取引先にアクセス与える彼らのエクストラネットへの。また、サービスプロバイダーは、単一のアレイシステムから最大256の異なる顧客をサポートできるため、アドオンSSL VPNソリューションと比較して、プロビジョニングと運用のコストを大幅に削減できます。

アクセス制御の提供に関して、アレイは、汎用SSL VPN と比較して飛躍的な進歩を遂げました。アレイのSSL VPNを使用すると、複数のLANスイッチ、SSL VPN アプライアンス、および個別のワイヤレスLANスイッチでACLを設定および維持する必要がなくなります。アレイのSSL VPNを使用すると、企業が発行したデバイスまたは個人のモバイルデバイス(許可されている場合)で、リモートから、または無線LANからネットワークにアクセスしている場合でも、ユーザーのアクセス方法がサポートされます。

安全なアクセスは、アレイSSL VPNソリューションのいくつかの主要な属性に依存します。

  • 同時ユーザーとセッションの最大数、および短い応答時間と高いスループットにより、アレイは生産性を低下させることなく多数のユーザーをサポートできます。
  • 統合された高性能ネットワークとアプリケーションファイアウォールにより、組織は現在のファイアウォールACL を置き換えることができます。
  • 多様なユーザーグループ用に最大256の仮想ポータル。リモートであっても、スマートモバイルデバイスを介してネットワークにアクセスするなど、多数のユーザーの複数のポータルのサポートと管理を簡単にします。
  • 高度な役割ベースの管理。これにより、セキュリティおよびネットワークポリシーの責任をIT部門全体の適切な担当者に委任できます。

アレイは、組織がエンドユーザーのアクセスポリシーとエンドポイントセキュリティを1か所(アレイSSL VPN)で制御できるようにすることで市場を定義しました。これにより、複数のLANスイッチ、ファイアウォール、SSL VPNアプライアンス、および個別のWLAN スイッチでACLを設定および維持する必要がなくなるため、管理コストが削減されます。

厳しい要件を満たす

AGシリーズが提供するスケーラブルなアクセス、強化されたセキュリティ、優れたパフォーマンスの組み合わせは、お客様がコストと時間の両方で大幅な節約を実現することを意味します。単一のシステムですべてのリモートアクセス要件を満たすことができるということは、複数の統合SSL VPN システムを採用する場合と比較して、TCOが低くなることを意味します。Arrayが提供する高度なセキュリティ機能により、さらにアクセス要件を集中管理できるため、さらなるコスト削減を実現できます。同時に、アレイはお客様に将来のVPN要件に向けて構築するための基盤を提供します。

より高いパフォーマンス、より低いTCO

システムあたり130,000の同時ユーザーのアレイの容量は、ユーザーあたりのコストを考慮すると、強力なTCOの話になります。AGシリーズは、1,000ユーザー未満でも費用対効果が高くなりますが、数値が高くなるとコストが劇的に減少します。一方、競合するソリューションのコストは、通常、より多くのアプライアンスを必要とし、管理が複雑になるため、1,000ユーザーを超えると劇的に増加します。また、アレイの接続多重化テクノロジーは、バックエンドサーバーからタスクをオフロードすることにより、サーバーのハードウェアとソフトウェアのコストを削減し、TCOをさらに削減します。

130億ドル規模のヘルスケア企業が2か月以内に5,000人をネットワークに追加する必要があったとき、多数のVPNおよびシンクライアントの代替案を検討しました。競合ソリューションよりもはるかに高いパフォーマンスと高い信頼性とセキュリティを提供するため、アレイシステムを選択しました。

アレイシステムのコストは、ユーザー1人あたりわずか40ドルですが、競合ソリューションでは200ドル以上です。また、ヘルプデスクのサポートがはるかに少なくて済み、管理も簡単で、アレイシステムからの総節約額は、他の選択肢と比較して100万ドルを超えています。

別の医療組織であるプレスビテリアンヘルスケアは、アレイSSL VPNを導入して、医師やその他のサポートスタッフが患者情報に安全にアクセスできるようにしました。以前のソリューションと比較して、処理できる同時ユーザー数が100%増加し、エンドユーザーの応答時間が50%向上したことがわかりました。さらに、組織はサーバー容量が400%増加し、Microsoft IIS Webサーバーがサーバーあたり約4,000ユーザーを処理し、以前の800から増加しました。また、組織は必要なバックエンドサーバーの数を50%削減しました。

同様に、1 億人を超える顧客にモバイル通信サービスを提供する世界最大の通信サービスプロバイダーの1つは、ベンダーのクライアントがIPsecベースのVPNアクセスソリューションを管理するのを支援するために、ヘルプデスク担当者に年間310万ドルを費やしていました。このソリューションは、2,000人を超える同時ユーザーには対応できませんでしたが、プロバイダーには既に5,000のベンダーのコミュニティがあり、成長を続けていました。アレイSSL VPNに切り替えることで、クライアント側のサポートやトレーニングが不要になったため、サポートコストを大幅に削減できました。また、アレイシステムは、拡張の余地が十分にある会社の5,000ベンダーを簡単にサポートできます。

アレイの仮想化機能は、統合SSL VPNよりも大幅なコスト削減にもつながります。グループごとに個別のSSL VPNボックスを購入して管理するのではなく、同じプラットフォームからすべての多様なユーザーグループ(従業員、パートナー、サプライヤー、顧客)をサポートすることによるコスト削減を検討してください。サービスプロバイダーにとって、単一プラットフォームで最大256の顧客をサポートすることに加えて、Array AGシリーズを導入すると、アプライアンスを顧客の構内に配置する必要がなくなり、初期費用と継続的な管理の両方で大幅なコスト削減が実現します。

その間、アレイシステムでは、パフォーマンスを向上させるためにセキュリティを回避する必要はありません。その目的に構築されたアーキテクチャは、ハードウェアに多くのCPU集約型のタスクを処理する能力を持つ、AGシリーズができますはるかに競合ソリューションを上回るパフォーマンスを提供します。また、統合されたWebファイアウォールテクノロジにより、これらの機能を処理するために追加のセキュリティ製品を購入する必要がなくなり、TCOがさらに削減されます。

どこでもセキュリティ:アクセス制御

TCOのもう1つの側面は、組織がユーザーアクセスポリシーを処理する方法に関係しています。このプロセスは、非効率性、冗長性、複雑さを伴いがちです。ほとんどの組織では、次のような同じユーザーに対して、ネットワーク内の多数のポイントでユーザーアクセスポリシーを定義する必要があります。

  • リモートアクセス用のSSL VPN機器
  • ワイヤレスアクセス用のWLANスイッチ
  • LANは有線アクセスのためのスイッチ
  • ファイアウォール
  • 電子メールやその他のアプリケーションなどのプロキシサーバー

この方法でポリシーを何度も定義すると、管理にコストがかかるだけでなく、すべてのポリシーが同期していることを確認することが難しくなり、意図せずにセキュリティホールが発生します。

アレイSSL VPNソリューションを使用すると、IT管理者はエンドユーザーのアクセスポリシーを1か所で定義できるため、複数のスイッチやアプライアンスにACLを設定して維持する必要がなくなります。

ユーザーがどこからでも企業ネットワークにログオンし、企業のセキュリティポリシーに従って構成されているかどうかに関係なく無数のデバイスを使用して、ネットワークアクセスがユビキタスになった今、アクセス制御は特に重要です。エンタープライズユーザー、ビジネスパートナー、またはゲストは、インターネットをサーフィンしたり、リモートで作業しているときに無意識のうちに感染し、感染したデバイスをネットワークに直接持ち込む可能性があります。

これらの種類の脅威はどの組織にも受け入れられませんが、特に企業のデータと顧客の個人情報を保護するために厳しい規制要件を満たさなければならない脅威です。

企業は、ユーザーのID、デバイス、およびネットワークのアクセス許可のすべての側面を結び付け、自分が制御していないグループに対してもポリシーを均一に適用できる集中型アクセスソリューションを必要としています。

アレイは、次のような多くのセキュリティ機能を提供します。

  • クライアントマシンを確保するためにチェックするクライアント側の整合性は、企業のセキュリティポリシーに準拠しています。アクセスの制限、問題のマシンをパッチサーバーに誘導すること、特定のアプリケーションまたは環境へのアクセスを制限することなど、複数の修復オプションを利用できます。
  • 役割ベースのセキュアなイントラネットやエクストラネットへのアクセス、およびURLを持つWebアプリケーションへのセキュアなアクセス、プロテクトWebアプリケーションへのマスキング
  • ファイルサーバーとクライアント/サーバー・アプリケーションへのセキュアなアクセス
  • 役割ベースの管理。さまざまなグループの管理を適切なIT スタッフに委任できます。
  • 組み込みのワンタイムパスワードのサポート、サードパーティの多要素認証サポート、Microsoft Active Directory、RADIUS、またはローカル認証データベースとの統合を含む、強力な認証
  • 統合ネットワークとアプリケーション層ファイアウォール

安全なアクセスを提供するという概念にとって、Array AGシリーズプラットフォーム自体も重要です。大規模環境で安全なアクセスを処理するには、大量の同時ユーザーとセッションをサポートでき、高スループットと低応答時間のプラットフォームのみが適しています。

シンクライアントアプリケーションのセキュリティ

Array AGシリーズは、Webアプリケーション、電子メール、ファイルサーバーなどへの安全なアクセスを提供するだけでなく、CitrixやWindowsターミナルサーバーなどのシンクライアントアプリケーションに重要なセキュリティレイヤーも提供します。

たとえば、アレイシステムをCitrixサーバーの前に配置すると、組織のネットワークへの露出が減少します。従来、リモートクライアントは、通常は企業ネットワークに常駐するCitrixサーバーに直接接続されています。つまり、Citrixサーバーにアクセスする侵入者は、同様に残りのネットワークにアクセスすることができます。

アレイのリバースプロキシアーキテクチャはその脅威を排除します。すべてのリモートセッションはアレイシステムで終了します。これにより、Citrixサーバーとの接続が再確立され、リモートユーザーが他のネットワークリソースにアクセスできなくなります。これにより、Citrixサーバーは、Array AG シリーズによって保護されたもう1つのアプリケーションになります。

また、アレイAGシリーズでは、管理者がユーザーのアクセス権を、URL、ディレクトリ、またはアプリケーションレベルまできめ細かく制御できます。Arrayは、監査機能も強化されており、ユーザーがログインしてからログアウトするまでのすべてのユーザーアクションをカバーします。

リアルタイムトランザクションのソリューション

多くの組織は、高速な応答時間に対するますます厳しい要件に直面しています。顧客向けのWebサイトからのより高いパフォーマンスを要求する顧客であろうと、ERP システムに強打している外部ユーザーであろうと、誰もが自分が求めているものを手に入れるのを待ちたくありません。

多くの場合、時間はまさにお金です。たとえば、金融サービスの分野では、膨大な金額がタイムリーなアクセスと取引に依存しているため、迅速な応答時間が不可欠です。株価は毎秒文字通り変化し、1分ごとに大きく変動する可能性があります。多くのトレーダーが伝統的なオフィスにいないという事実により、問題はさらに悪化します。むしろ、彼らはクライアントを訪問する道にいますが、それでも彼らは取引アプリケーションへの高速で安全なアクセスを必要としています。

このような場合は、SSL VPNソリューションが推奨されるオプションとなる可能性があります。これは、各クライアントマシンにIPsecソフトウェアをインストールして保守するよりもはるかに簡単であるためです。ただし、統合されたSSL VPNソリューションでは、特に大規模なユーザーベースの場合に、トレーディングアプリケーションが必要とする種類の応答時間(通常は5ミリ秒未満)を提供できない可能性があります。

常時接続のサイト間接続

SSL VPNはリモートアクセス用のIPsec VPNに取って代わっていますが、IPsecは依然としてサイト間VPN接続に広く使用されています。サイト間構成では、リモートアクセス構成よりも多くのユーザーが単一のVPNデバイスに同時に接続される可能性が高いため、システムのスケーラビリティを高くする必要があります。

アレイのAGシリーズはSite2Site、サポートのサポートサイト間VPNにSSL VPNトンネリングソリューションをハブアンドスポーク13万同時ユーザーと256の仮想ポータルをサポートする能力を持ち、アレイは、SSL VPNテクノロジーの進化におけるこの次のステップを実行するための適切な位置にあります。

リモートの従業員を保護するためのマイクロソフトのベストプラクティス

安全なリモート作業への移行

COVID-19が世界中に広まるにつれ、何万人もの人々が、何万人ものマイクロソフトの従業員を含め、遠隔地の仕事に移りました。クラウドへの移行により、すべてのユーザーのIDとネットワークアクセスを管理する方法が変わりました。ネットワークへのアクセスに使用されるデバイスが安全で健全であることを保証するのに役立ちました。そして、重要な生産性アプリにアクセスするためのより良いエンドユーザー体験を作り出しました。社内のITチームであるCore Services Engineering and Operations(CSEO)が主導するこの変革は、Microsoft製品が顧客、データ、およびアプリケーションを保護し続けながら、膨大な従業員のリモート作業を迅速に可能にするのに役立ちました。

続きを読む

2020年のエンドポイント保護プラットフォームに関する購入者のガイド

エンドポイント保護がITセキュリティ技術スタックで最も重要なコンポーネントであることは秘密ではありません。

結局のところ、IDC Researchのデータによると、企業のデータ侵害の大部分は、70%以上がエンドポイントデバイスの侵害から始まります。また、ビジネスIT環境がますます複雑になり、エンドポイントの数と新しいデバイスタイプが増加するにつれて、これらのデバイスの1つが攻撃者のエントリポイントになるリスクが急増しています。

ただし、組織のエンドポイントを保護するための適切なソリューションを選択することは簡単な作業ではありません。けれども大多数の企業は、すでにエンドポイントのいくつかの種類実装した保護を、データ侵害が発生される速度は、これらのイベントは、彼らの犠牲者の原価計算されているどのくらいとともに、上昇し続けています。

Ponemon 研究所はデータの平均総費用を報告し、米国での違反は今$ 3.9百万突破します。しかし、全体的なIT支出は常に高額であり、何百ものエンドポイントセキュリティツールが利用可能であるという事実にもかかわらず、実際のリスクエクスポージャーは増加しています。

この厄介な傾向を逆転させるために必要なのは考え方の転換です。最も成功しているITセキュリティリーダーは、ゼロトラストパラダイムに従ってアーキテクチャを採用および設計したリーダーです。ゼロトラストモデルでは、安全であることが証明されていない限り、何も信頼すべきではないため、ネットワークを備えた内部の「信頼できる」ゾーンは廃止されました。代わりに、継続的な検証と監視、および遍在するセキュリティ制御が実装されます。

ゼロトラストの中心的な前提、つまり検証なしにデータやネットワークトラフィックが「安全」であると見なされないことを念頭に置き、組織がセキュリティインフラストラクチャを構築する際に取り組む必要のある主要な傾向と新たな課題を考慮して、最も重要なものを特定できます。エンドポイント保護プラットフォームがプラスの投資収益率(ROI)を実現し、今日の攻撃に対する回復力を高めるために必要な要素。

適切な高度なエンドポイント保護プラットフォームを選択する

企業がエンドポイント保護プラットフォームに投資するときに期待した価値を実現していない主な理由は、攻撃者が常に技術と戦略を進化させており、従来のエンドポイントセキュリティソリューションのベンダーが追いついていないためです。

昨日のレガシー環境ではなく、今日のクラウドベースの分散された多様なITアーキテクチャ用に設計された高度なエンドポイント保護プラットフォームを選択することが非常に重要です。また、エンドポイント保護が、現在広く使用されている攻撃戦略に対抗する強力な防御を提供することと、将来のあらゆる可能性に対する予防策を提供することが重要です。

2020年のサイバーセキュリティの主なトレンドと、それがエンドポイント保護プラットフォームの必須機能にどのように変換されるかを見てみましょう。

現在の脅威の景観における真に包括的で強固な防御のために、高度なエンドポイントソリューションは次の条件を満たす必要があります。

  1. ゼロトラスト環境での使用を目的として設計され、不明なファイルとランタイム実行可能ファイルを100%含む手段を提供します。
  2. マルウェア、悪意のあるスクリプト、およびファイルレス攻撃を検出する複数の方法を統合します。
  3. 複数のデバイスタイプとプラットフォームにわたって可視性と制御をシームレスに拡張します。
  4. クラウドネイティブアーキテクチャで展開と監視を簡素化します。
  5. エキスパートヒューマンアナリストの機能と高度なアルゴリズムベースの分析を組み合わせて、悪意のあるアクティビティをすばやく検出する能力を最大化します。

1.ビルトインゼロトラスト機能

本物のゼロトラストベースのアプローチは、未知のファイルが常に実行されるのを防ぐものです。これには、PowerShellスクリプトやその他のファイルレス攻撃、および従来の悪意のあるソフトウェアファイルが含まれます。ソリューションが未知のファイルの動作をテストするために実行することを許可し、それらのファイルが潜在的に悪意のあるものであるかどうかを判断すると、環境はその決定- 作成プロセスが動作するたびに危険にさらされます。

仮想化されたサンドボックス環境ですぐにすべての不明なファイルを含むソリューションを探し、包括的な判定プロセスを通じてそれらが安全と見なされた後にのみ、ホストシステムリソースおよびファイルストアへのアクセスを許可します。理想的には、判定は迅速である必要があり、パフォーマンス(およびそれにより、エンドユーザーエクスペリエンス)は封じ込めプロセスの影響を受けません。

攻撃者は、人工知能(AI)、機械学習(ML)、および予測数学をさらに活用しており、防御はそれらに沿って進化しなければならない

自動化はビジネスに多くの利点をもたらすことができますが、それはだ、新しいを生じさせる攻撃の種類。自動化により、クレデンシャルのスタッフィングなど、手動で大規模に達成するのが難しい攻撃を簡単に開始できます。高度なマルウェアがシステムの典型的な動作について「学習」できるようにすることで、企業ネットワーク内で何ヶ月も何年も検出されずにとどまることができます。また、ソフトウェアの脆弱性を探すために、膨大なデータを調べて、精力的なマシンを動作させることができます。

セキュリティの専門家は現在、自動化ベースの攻撃の量の劇的な増加を見ており、数学は彼らの成功を支持しています。であるためには成功し、擁護者から自社のネットワークを防ぐために、攻撃の100%を停止する必要があり突破されています。攻撃者は、すべての万の試みに一度だけ成功した場合、彼らはよまだあなたの環境を損なうことに終わります。

自動化された攻撃の増加により、ビジネスの規模や業種に関係なく、すべてのIT環境にゼロトラストの原則を実装することがこれまでになく緊急になっています。レガシーアンチウイルスソリューションと新しい動作ベースのマルウェア検出プラットフォームの両方のベンダーは、自社製品が最大99%〜99.9%の攻撃を検出してブロックできることを誇っています。ときにあなたがしている攻撃の莫大な量直面オートメーション容易にすることが、しかし、これらの検出率が著しく不十分です。

2.マルウェアおよびファイルレス攻撃を検出する複数の方法

ファイルの署名ベースのブラックリストは、特に最初の防御層として、依然として効果的です。迅速であるため、既知のマルウェアを迅速にブロックする方法を提供します。ただし、重要な保護価値を提供するには、ブラックリストを他の複数のファイル判定方法と組み合わせて使用する必要があります。これには動作分析が含まれます。この動作では、ファイルの特性と実行時の動作が、システムやネットワークに脅威を与えない決定的な環境で分析されます。追加の調査を必要とするごく一部のファイルを調査できる専門のヒューマンセキュリティアナリストがいる場合にのみ、完全に正確な決定を下すことができます。

感染したエンドポイントにファイルをインストールしないスクリプトまたはメモリ常駐のアーティファクトを通じて多数の成功したランサムウェア攻撃が実行されるため、従来のマルウェアファイルと同じくらい効果的にこれらのタイプの脅威をブロックするようにソリューションを設計する必要があります。

RANSOMWAREはまだ発展途上であり、犯罪者はそのターゲットを選択するようになるとますます洗練されてきている

ランサムウェア攻撃は、グローバルビジネスのコストが2019年に115億ドルを超えると推定されており、専門家によると、ビジネスは2019年の終わりに14秒ごとに攻撃されたとされています。攻撃は2020年末までに11秒に1回発生すると予測されています。 FBIは、ランサムウェア攻撃の実際の量は実際には安定しており、その成功率はかつてないほど高く、犯罪者によって強要されている金額と主張しています。

これらの攻撃は、ドライブバイダウンロード、悪意のある電子メールの添付ファイル、または感染したリンクをクリックしたユーザーから届きます。一部のランサムウェア株は既知のソフトウェアの脆弱性をターゲットにしていますが、他のランサムウェア株は、従来のシグネチャベースのマルウェア対策プログラムでは検出されないゼロデイエクスプロイトです。

3.複数のデバイスタイプとプラットフォームにわたる可視性と制御

エンタープライズコンピューティング環境が進化して、ますます多様なデバイスが組み込まれるようになったら、WindowsおよびOS Xだけでなく、iOS、Android、Windows Server、およびLinuxデバイスもサポートするエンドポイント保護プラットフォームを探してください。ソリューションがすべてのタイプのデバイス上の重要なオペレーティングシステムアクティビティを監視し、干渉をブロックできることを確認してください。また、複雑なネットワーク環境全体で、単一の使いやすいダッシュボードインターフェイスからアプリケーションアクティビティとシステムプロセスを監視できることを確認します。

エンタープライズネットワークは複雑さと多様性が増しており、より多くのデバイスタイプを組み込み、より多くのサイトでより多くの処理を実行している

新しい10年の初めにエンタープライズコンピューティング環境を再形成する可能性が最も高い2つの開発は、5Gモバイルデータネットワークの登場とエッジコンピューティングの使用の増加です。5Gセルラーネットワークが最初に利用可能になったのは2019年ですが、接続は依然として高価で、主要な大都市圏に限定されています。2020年には、国全体で劇的なカバレッジの増加が見込まれるため、これは変化します。5Gデータネットワークにより、「独自のデバイスをもたらす」(BYOD)サポートと、企業のIT環境に接続するますます多くのタブレットやモバイルデバイスの需要が急増します。

同時に、エンタープライズネットワークは、「スマート」センサーや、収集したデータをビジネスインテリジェンスに変換するのに十分な処理能力を備えたオンサイトコンピューティングデバイスなど、接続するデバイスの数を増やすという課題に直面します。まとめると、これらの傾向は、IT部門がセキュリティで保護する必要があるエンドポイントの数が天文学的に成長する準備ができていることを意味します。接続されたデバイスの数が増えると、効果的な集中管理を提供するという課題が飛躍的に複雑になります。

4.クラウドネイティブアーキテクチャ

簡単に言うと、レガシーエンドポイント保護ツールは、今日のクラウド対応のデジタルビジネス環境向けに設計されていません。プラットフォームが自動的かつ継続的に更新するクラウドネイティブアーキテクチャは、展開を簡素化し、組織全体のすべてのユーザーが最新の脅威インテリジェンスから同時に利益を得ることができるようにします。今日の最も高度なソリューションでは、クラウドベースのファイル判定プラットフォームへのアクセスにより、専門の人間のサイバーセキュリティ研究者が24時間365日体制で、この種の調査に必要なファイルを調査します。

あらゆる規模のビジネスがクラウドへの移行を加速していますが、セキュリティインフラストラクチャが常にペースを維持しているわけではない

大多数の企業にとって、クラウドへの移行は飛躍的なスピードで進んでいます。クラウドインフラストラクチャとサービスの市場は、他のI​​T部門の3倍の速度で成長しており、予測者はこのパターンが続くと予測しています。それでも、クラウド移行プロジェクトは、悪名高い複雑であり、それはだていないセキュリティの課題は、バリケードが進行することになるのは珍しいです。

比較的少数の組織が、単一のパブリッククラウドプロバイダーに直接飛躍します。ほとんどの場合、ハイブリッド環境またはマルチクラウド環境を構築することが最も理にかなっていますが、この「両方の長所」のアプローチは、制御と可視性の維持を非常に困難にする可能性があります。

5.エキスパートヒューマンアナリストへのアクセス

人間のインテリジェンスとマシンの効率を組み込んだエンドポイント保護ソリューションを探してください。最も単純なタスク(ファイルルックアップ、行動ウイルス分析、静的および動的ファイル調査)を処理するための自動化されたアクションの開始と、より複雑な状況での専門家の呼び出しを組み合わせることにより、ソリューションは、検出手順の速度と完全性のバランスをとることができます。

攻撃者の滞留時間はこれまでよりも長く、その結果、データ侵害はコストが高くなる

Ponemon Instituteによると、データ漏えいが発生してから発見されるまでの時間は、2019年に前例のない279日間と4.9%増加しました。これまでのように、侵害をより早く特定して封じ込めることができます。それに関連するコストが低くなります。しかし、今日のIT 環境で使用されている自動化ツールは、専門家による人間の監視で機能が強化されていない場合、識別と封じ込めの機能が不十分です。

見込みのあるベンダーに質問する

  1. このソリューションは、環境内のすべてのデバイスで実行されますか?
  2. 導入にはどのくらい時間がかかりますか?
  3. このプラットフォームで作業するために、チームのメンバーは何を知る必要があるのですか?
  4. どのような種類の予防的管理が実施されていますか?
  5. ベンダーはどこから脅威インテリジェンスを入手しますか?
  6. このソリューションはインシデント対応ワークフローとどのように統合されますか?24時間365日の専門サポートはベンダーから利用できますか?
  7. このソリューションを同じベンダーの他のセキュリティサービス、製品、またはプラットフォームと統合して、コストと複雑さを軽減できますか?

結論

エンドポイントのセキュリティは、今日よりも複雑になり、困難になりました。市場に出ているベンダーとソリューションの数を考えると、真に効果的なものを見つけるためにすべての競合する主張を整理することは非常に難しい場合があります。

現在利用可能な他のソリューションとは異なり、Advanced Endpoint Protection(AEP)プラットフォームは、特許出願中の自動封じ込め技術を使用しており、未知のファイルとランタイムを、ホストシステムリソースまたはユーザーデータへのアクセス権が与えられていない仮想化されたサンドボックス環境に限定します。非常に軽量で、パフォーマンスやエンドユーザーエクスペリエンスに影響を与えることなく動作します。AEPはゼロトラストアーキテクチャで使用するために設計されました。

Proofpoint、Crowdstrike、Netskope、Oktaでリモートワーカーを保護

リモート作業はかつてないほどITチームに挑戦しています。現在、従業員の3分の2 はオフィスの外で働いています。1彼らは会社のアプリやデータに、いつでもどこでも、どのデバイスからでもアクセスする必要があります。そして、そうする間、彼らは安全で準拠し続けなければなりません。

続きを読む

ゼロトラストネットワークアクセス戦略には3つのニーズがある

クラウドの緊張の下でVPNがきしみ始める

クラウドコンピューティングの登場と拡大は、従来のVPN 技術アーキテクチャにとって大きな課題です。企業のデータセンターを介してトラフィックのバックホールを強制すると、レイテンシが発生し、その結果、多くの場合、ユーザーエクスペリエンスが低下し、生産性が低下します。SaaSアプリケーションの使用率が急上昇し、アプリケーションインフラストラクチャのオプションとしてIaaSおよびPaaS環境が増加し続けているため、ラップトップからデータセンターに「トロンボーン」してからクラウドベースのアプリケーションに戻る必要があるトラフィックは非効率であり、リモートユーザーの生産性を低下させます。ネットワーク管理のコストと複雑さを増大させます。エッジコンピューティング。アプリケーションをさらに細分化し、複数に配置します。 ロケーションでは、VPNアーキテクチャの潜在的なレイテンシの問題のみが複雑になります。

続きを読む

デバイスの整合性とゼロトラストフレームワーク:企業の基盤を守る

最近のリモート作業環境への移行により、多くの企業や政府機関に新たな課題が生じ、組織のセキュリティモデルに大きな影響を与えています。突然、多くのユーザーは、企業ネットワークのオンプレミスにある多くのセキュリティ層によって保護されなくなりました。代わりに、セキュリティポリシーは、ユーザーがデフォルトでリモートであり、大量の信頼できないインバウンド接続が標準であるという新しい現実をサポートするために進化する必要があります。ゼロトラストのようなセキュリティ概念を組み込むことは、企業のラップトップ、BYODデバイス、およびホームネットワーキングギアの組み合わせを含むことが多いこれらのリモート作業環境を保護する上で重要な部分になる可能性があります。

続きを読む

セキュリティ対策はアイデンティティから始まる

クラウド時代は、企業のセキュリティに対する考え方を根本的に変えています。保護の焦点はもはや物理ネットワークではありません。従来のネットワーク境界がクラウドに拡大するにつれ、セキュリティの出発点は今やユーザーのアイデンティティである必要があります。

これにより、適切な人々が適切なリソースにアクセスし、適切な作業を行うことが保証されます。これらの5つの原則に従うことで、完全にリモートまたはハイブリッドのホームオフィスでの作業に適した堅牢なID戦略を実装できます。

クラウドベースの仮想ランドスケープにおける最初の防御線は、常にアイデンティティである必要があります。

オープンスタンダードを受け入れる

さまざまなデバイス、アプリ、サービスの仮想作業環境では、ID管理へのアプローチがオープンスタンダードをサポートすることが重要です。

たとえば、OAuth 2.0、OIDC、SAML などの標準により、ユーザーが作業しているデバイスに関係なく、アプリやクラウド全体でシングルサインオンが可能になります。同様に、SCIMは自動ユーザープロビジョニングを可能にし、FIDOアライアンスの新しい標準によりサインインをより安全にします。

Azure AD などのこれらのオープンスタンダードをサポートするAPIとプロトコルを備えたIDソリューションを選択すると、進化するリモート作業の変化と課題に対するセキュリティ戦略が将来にわたって保証されます。

新しいテクノロジーを活用する

セキュリティリスクを軽減する簡単な最初のステップは、多要素認証(MFA)を有効にすることです。これにより、資格情報ベースの違反が99%以上削減されることが証明されています。MFAは、登録済みの携帯電話に送信されるコードや指紋のスキャンなど、サインオン時に追加の身分証明書をユーザーに要求します。

MFAは非常に安全ですが、ユーザーは多くの場合、パスワードを覚えておく必要があることに加えて、追加のセキュリティレイヤーに不満を感じます。別のオプションは、FIDO(Fast Identity Online)セキュリティキーの使用です。これは、WebAuthN 標準と組み合わせて、パスワードの使用を完全に排除できます。FIDOは、パスワードなしの認証のオープンスタンダードであり、ユーザーは外部セキュリティキーまたはデバイスに組み込まれたプラットフォームキーを使用してサインインできます。

ゼロトラストは、クラウドの移行とリモートの労働力に関連するリスクに特に対処するための別のセキュリティモデルです。ゼロトラストアーキテクチャ内では、企業ネットワークの内外を問わず、すべてのユーザーとデバイスは信頼できないと見なされます。「決して信頼せず、常に検証する」という原則に基づいて、リソースへのアクセスは、ユーザーのIDとデバイスの正常性が評価および承認された後にのみ許可されます。

ユーザーの摩擦を最小限に抑え、識別プロセスをさらに簡素化するために、組織は機械学習アルゴリズムを活用することもできます。これは、クラウドに大規模にデプロイされた場合、毎日何兆ものデータポイントを処理して各ユーザーの行動パターンを学習し、異常または高リスクの認証試行にフラグを付けることができます。

ガバナンスを強化および自動化する

強力なガバナンス手順を実施することは、IDセキュリティを維持するために不可欠です。しかし、何千人ものユーザーを扱う場合、それは困難な作業になる可能性があります。アクセスを許可するのは簡単なことですが、他の人が辞任したり、役割を変更したりするときに、アクセス権を削除することを覚えておくことは、さらに困難な場合があります。

アイデンティティーシステムは、ユーザーの役割、場所、およびビジネスユニットに基づいて、リソースへのアクセスを自動的にプロビジョニングおよびプロビジョニング解除する必要があります。従業員とパートナーは、必要なときにアクセスを要求し、迅速かつ正確なシステム応答を取得できる必要があります。

管理者は、特にユーザーが役割を変更するときに、定期的にアクセス許可を確認するように求められます。そして、これらすべてのプロセスは、異常なパターンと認識されていないリスクを常に監視する機械学習とAIによって駆動され、通知される必要があります。これらのIDプロバイダーテクノロジーによって提供される利用可能なデータと可視性のレベルは、オンプレミスシステムと一致することはできませんが、組織はIDに対してまったく新しい運用アプローチを採用する必要があります。

1つの包括的なソリューションを主張する

異なるベンダーの異なるソリューションを使用して、アイデンティティへのモジュール式アプローチを採用する場合、必然的にギャップと脆弱性が存在します。

対照的に、すべてのアプリケーションとさまざまなID をサポートする1つの全体的なソリューションを選択すると、完全なセキュリティと制御が提供され、重要な企業データに対する保証が強化されます。

完全に統合されたIDおよびアクセス管理スイートにより、すべての従業員、ビジネスパートナー、顧客のIDに加えて、アクセスに必要なすべてのリソースを1か所で管理および保護できます。

分散型アイデンティティに移行する

組織の誰もが、自分の個人データが安全でプライベートであると感じるべきです。これは、人々に自分のデジタルIDの所有権を与えることで実現できます。

IDシステムを「分散ID」の原則で強化することにより、ユーザーおよび組織がデータをより詳細に制御できるようにすることができます。

日常生活に統合される自己所有のIDにより、ユーザーは共有するものと誰と共有するかを選択でき、必要に応じてそれを取り戻すことができます。無数のアプリやサービスに幅広い同意を与え、IDデータを多数のプロバイダーに分散させる代わりに、IDデータを保存および管理できる安全で暗号化されたデジタルハブを提供します。

マイクロソフトは、Decentralized Identity Foundation(DIF)、W3C Credentials Community Group、およびより広範なIDコミュニティのメンバーと積極的に協力して、標準を開発し、Decentralized Identityの新しいエクスペリエンスを開拓しています。共同で、開発者と企業がユーザーを制御する製品、アプリ、サービスの新しい波を構築できる、統合された相互運用可能なエコシステムを開発しています。

Microsoft Azure Active Directoryは、ドバイに拠点を置くグローバルな運輸会社のスタッフが仮想チームとしてコラボレーションし、クラウド内のアプリケーションに安全にアクセスするのに役立ちます。

オンプレミスのフットプリントを削減するためのビジネスドライブシフトの一環として、同社はレガシーHRシステムをSaaSソリューションに移行しました。Azure ADを使用すると、従業員は安全かつ簡単にサインインして情報にアクセスできます。また、人事チームは、離れた場所にいる請負業者のID を短期間管理することもできます。

120か国で事業を展開する世界最大のコンテナ物流会社の1つは、多様なグローバルクライアントベースの信頼を維持するために顧客データを安全に保つ必要があります。

2017年のサイバー攻撃を受けて、同社はMicrosoft Azure Active DirectoryにID保護および条件付きアクセスツールを実装することを選択しました。これらにより、脅威と危険な動作が可視化され、各ユーザーに条件付きアクセスを簡単に提供できます。

変更はバックグラウンドで迅速かつシームレスにアクティブ化できるため、ユーザーは作業を中断する必要がありません。これは、企業のデータ保護を強化し、グローバルな運用にさらなるセキュリティを追加する、アイデンティティへの統合されたインテリジェントなアプローチです。