fbpx

セキュリティ

優れたVPNソリューション

仮想プライベートネットワーク(VPN)は、過去20年間、企業の主力でした。これにより、企業、政府機関、部門は、信頼できないネットワークを介して安全に通信を送信できます。ここ数年で、それらはほとんどのSD-WANソリューションのトランスポート非依存オーバーレイになりました。

問題は、これらのテクノロジの構成と、フェーズ、モード、および暗号化アルゴリズムが多すぎるということは、セキュリティの確保と維持が面倒な作業になる可能性があることです。これが、優れたVPNソリューションが、クラウドを介して安全かつ迅速に安全な状態になるための迅速かつ簡単な方法を提供する場所です。

続きを読む

クラウドセキュリティプラットフォームの解説

クラウドセキュリティチャレンジ

組織はWork-from-Cloudモデルをますます採用しています

最近の世界的な出来事により、多くの企業がリモートワーカーを有効にすることを余儀なくされましたが、移行を促進するためのITセキュリティーのフィックスは一時的なものでした。リモートの従業員がいない場合も含め、その他の企業は、サブスクリプションサービスのコストとメンテナンスの節約とビジネス生産性の利点を認識し、急増するイベントなしに、しかし十分に成熟したクラウドセキュリティチームとポリシーなしに急落することを決定しました。

クラウドIDの安全な使用を維持することは困難です

従業員がクラウドに移行するたびに、組織のほとんどのデータも移行します。 さらに悪いことに、オフィスの従業員もリモートの従業員も、クラウドのセキュリティとファイル共有のベストプラクティスを無視する傾向があり、アカウントの乗っ取りや企業データの損失や盗難のリスクが高まります。

クラウドセキュリティソリューション

特権や構成の強化からクラウドの脅威への即時対応まで、クラウドアクセスのライフサイクル全体を通じてクラウドIDとアクセスを保護します。

安全にユーザーをオンボード

  • ユーザーが仕事に必要な最小限のアクセス権限を特定します

使用状況を監視する

  • すべてのアイデンティティ動作を継続的に監視し、クラウドサービス全体の異常なアクティビティを検出します

最小特権アクセスを強制する

  • 非アクティブなユーザーとベンダーを取り除く
  • 適切なサイズの未使用で危険な特権
  • SoD やコンプライアンス違反の防止

完全にオフボードのユーザー

  • オフボーディングの外部請負業者を特定する
  • SSO内外で管理されているユーザーを含む、クラウドサービスのユーザー

脅威を検出して対応する

識別するポリシーを設定する:

  • 不正使用されたアカウント
  • 脅威を考える
  • データのオーバーシェアリング
  • 権限の疑わしい登録

使い方

アクセス特権、リソース共有権限、およびクラウドアクティビティを単一のIdentity Impactモデルに関連付けることにより、セキュリティチームがデータ侵害またはアカウントの侵害が発生した場合に最大爆発半径を持つユーザーを迅速にゼロインし、即座にアクションを実行できるようにします 組織の露出を減らします。

主な特徴

  • APIで数分で開発
  • 最新のポリシーにより、有意義な洞察をすぐに得ることができます
  • SaaS、IaaS、IDaaSサービス全体での特権アクセスと非特権アクセスおよびアクティビティの統合監視
  • 自動化されたルールベースおよび機械学習ベースの検出

設定値

ゼロ設定。メンテナンス不要。価値実現までの時間ゼロ。

すぐに使用可能な展開

プラットフォームは、最も人気のあるSaaSおよびIDaaSサービスとのAPI統合を通じて100%クラウドで提供されます。 組織は数分でオンボーディングされます。

その瞬間から、SaaSプラットフォームは、事前に構築された検出器とポリシーでクラウドアカウントを自動的に保護し、ビジネスの継続性を妨げることなく、組織の財務上の生計と評判を確保します。

価値実現までの時間ゼロ

展開後すぐに、事前構成されたポリシーと設定を活用して、次の使用例に対処できます。

  • 外部の請負業者に対するアクセス制御を発見し、維持することで、過度または危険なサードパーティベンダーのアクセスを検出し、4 番目のパーティとの共有をブロックします。
  • インサイダー脅威、アカウント乗っ取り、データ侵害などのアイデンティティベースの脅威を検出して対応します。
  • 確実な特権アクセスとユーザーは、管理者または他の特権ユーザーによる危険なアクション、管理アカウントの変更、およびSoD 違反を検出します。
  • 識別ミスの不適切な割り当てや重複した割り当てを排除し、直接割り当てられた「非表示」のアクセス許可を削除して、アクセスの削除を実際の問題にします。

大幅なコストと管理の削減

顧客は通常、クラウドセキュリティ管理のオーバーヘッドとコストを大幅に削減します:

  • 手動アクセス認証の時間と労力を削減します。
  • IDと権限の手動追跡を排除します。
  • サービス全体に単一のポリシーセットを適用することにより、ポリシー作成を最小限に抑えます。
  • 終了後にアカウントへのアクセスを誤って保持したと思われる不満を抱いた元従業員や請負業者による、または不注意による従業員の誤用による、ビジネスクリティカルなデータの暴露、盗難、破壊を停止します。

ビジネスを危険にさらしているクラウド内の4 つの人間以外のエンティティ

クラウドサービスを連携させるエンティティもセキュリティリスクをもたらします。ここに検討する価値がある4つがあります。

今日の平均的な規模の企業では、従業員は何百もの異なるクラウドサービスを使用しています。これらのアプリはすべて、API、ロール、権限の委任を使用して互いに統合し、クラウド内のワークフローをできるだけ直感的かつ効率的にします。その過程で、データの共有と公開が簡単になります。そのため、SecOpsは通常、誤ってまたは意図的にデータを公​​開し、結果としてIDを盗まれる可能性がある人間のユーザーに焦点を当てています。

しかし、これらの統合を可能にするためにバックグラウンドで機能し、通常は気付かれないようにする役割など、多くの「人間以外の」エンティティがあります。ここでは、クラウド環境で常に綿密に監視する必要がある上位の役割を4つ示します。

続きを読む

レガシーVPNのジレンマを克服する

脅威の状況が変化した

ビジネスは、標準的な組織の範囲を超えて成長しています。現在、従業員とパートナーは、任意の場所(ホームオフィス、顧客サイト、パートナー施設など)の会社のアプリやデータとやり取りしています。しかし、オフサイト接続の多くの側面が進化したとしても、他の側面は必死に進化する必要があります。スタッフと統合されたサードパーティのリモートワークモデルは一般的ですが、それを可能にするアクセスモデルは古く、壊れています。

1980年代までさかのぼって、企業は境界セキュリティを実施するためにファイアウォールに依存してきました。その境界の内側では、多くのネットワークは依然として比較的「フラット」でオープンなままです。ほとんどのリソースは、かなり自由に相互に通信できます。残念ながら、これは悪意のある攻撃者が境界を侵害したり、このセキュリティモデルの下で信頼されたエンドポイントを侵害したりする可能性があることを意味します。足場を固めることにより、企業の環境やブランドに広範囲にわたる被害をもたらすことがよくあります。

サードパーティが状況を把握すると、リスクのレベルがさらに高まります。それらは、サードパーティのシステムに侵入して、親組織のデータまたは顧客環境を危険にさらす可能性があるため、悪意のある人物によって定期的に標的にされています。

多くの企業はデジタル変換に取り組んでおり、リソースをクラウドに移行し、システムアプリとデータへの単一IDアクセスを可能にします。これは、クラウドと内部環境の両方へのアクセスを可能にするIDです。これらの環境全体でアクセスを管理するのはアイデンティティです。

ゼロトラストの成熟により、アイデンティティの概念が新しい「境界」として進化し、会社の資産にアクセスするための新しいアプローチが必要になりました。ゼロトラストのアプローチは、新しいリスクの状況で現代のビジネスがどのように機能するかを調整するものであり、ビジネスとITの両方にとってすぐに必須の要件になりつつあります。この新しい現実に適応することはもはやオプションではありません。それは、より良いビジネスが作動する方法、ミラーリングセキュリティモデル要求競合をたとえば、自分のため、そしてを通じて成長パートナーシップ、買収やデジタル変換を。新しい境界は不可欠ですが、ゼロトラストなどの新しいアクセスアプローチなしではそうではありません。

競争より速く動く

私たちがき最近見られ、事業環境ができ単なる時間で変化します。これらの変化の下で調整、存続(または繁栄)できる企業は、それができない競合他社を克服する立場にあります。今日、独自のセキュリティルーチンを迅速に拡張して、サードパーティ、買収した企業、さらには新しい市場の現在の従業員を保護する組織の能力は、勝つためにさらに重要になっています。

しかし、テクノロジーは、通常、イネーブラーであり、これらの取り組みにおいてビジネスを実際に妨げています。「有効化」は、通常、企業内でプライベートなデータとアプリケーションの制御された共有を表します。理想的には、この共有はあるべきAST 簡単なユーザーのために、展開、およびのために確保する企業。残念ながら、レガシーテクノロジーは導入を悪化させ、使いやすさを低下させ、セキュリティの脆弱性を露呈することがよくあります。

レガシーテクノロジー:展開と使用が難しい

テクノロジーは、ITとユーザーを妨げるのではなく、助ける必要があります。迅速に移動するには、企業はユーザーを迅速に有効にする必要があります。たとえば、VPNはITとユーザーの両方にとって問題があります。一般に不器用なVPNクライアントソフトウェアは、展開、トレーニング、継続的なサポートを困難にします。多くの場合、VPNでは、ユーザーが事前に構成された会社所有のパーソナルコンピューティングデバイスを使用して、必要なリソースにアクセスする必要があります。ハードウェアの問題、スケーラビリティの制限、およびライセンスの依存関係は、新規ユーザーへの展開をさらに遅くするだけに役立ちます。

ネットワークアクセス:寛容、制御されていない

信頼できないユーザー(全員)をネットワークに入れることは、究極の負け負けのシナリオです。ネットワークは設計上開いているため、コントロールを失うことになります。エンドポイントがネットワークに入る瞬間から、あらゆる方法で任意のビットを渡すことができるため、可視性が失われます。エンドポイントにネットワークレイヤーへのアクセスを許可し、インフラストラクチャを公開したままにします。

レガシー技術は、いくつかの理由でサードパーティおよび従業員のセキュリティリスクを悪化させます。第1に、VPN は過度に寛容な「ホームは解放され、一度認証すれば監視されない」という態度で動作するため、ITは認証後のユーザーアクティビティを不必要に認識しません。とき誰も真に信頼されないことができ、それらが境界を横切って輸送されている実際の上に、ネットワーク、および、あるアプリケーションのドアに、より多くの場合より、貴重なデータの完全かつやすいの両方の脆弱性を悪用します。今日、企業のセキュリティを確保するために、ユーザーアクティビティを継続的に監視し、継続的に検証してアクセスする必要があります。

既存のリモートアクセスソリューション、つまりDMZとVPNは、別のより寛容なIT時代の企業向けに設計されました。それ以来、以下のマクロトレンドが境界線を解消することにより、それらは実質的に無効になっています。

  • クラウドの急増
  • BYOD
  • IoT
  • SaaSの採用
  • リモートワーク

エンタープライズアプリケーション:公開するには脆弱すぎる

上記のように、アプリケーションがますます多くのユーザーに広く公開されると、リスクが増大します。平均的なアプリケーションは、脆弱性の数十、幅広いシステム全体広がり、ネットワーク及びソフトウェアの攻撃面を有しています。OWASPの最も一般的なアプリケーションの脆弱性トップ10は、多くのアプリケーションに存在し、一般的なツールと十分に文書化された技術を使用して簡単に悪用されます。ネットワークレベルのアクセステクノロジーは、アプリケーションの攻撃面でこれらのホールを見つけ、潜在的に危険なユーザーに直接公開することにより、これらの脆弱性によってもたらされるリスクを悪化させます。

さらに悪いことに、これらの脆弱性は時間の経過とともに数と重大度が増加します。特に、ユーザーが最も必要とするメンテナンスされていない(ただしビジネス上重要な)アプリケーションではなおさらです。

使いやすさとネットワークセキュリティの問題をビジネスで合理化できたとしても、ほとんどのエンタープライズセキュリティ組織は、比較的信頼されていないユーザーにアプリケーションの脆弱性を過度に公開することによってもたらされるリスクの増大を受け入れません。この理由だけでも、多くの組織はアクセスの拡大を進めないことを選択しています。変化に対応できるビジネスの能力は、公式にはITによって制限されています。

アプリケーションレベルのアクセスソリューション

これが、アプリケーションアクセスへの新しいアプローチであるApp Access Cloudを開発した理由です。プライベートアプリへのアクセスが実装しやすく、安全性が高く、厳重に管理されています。App Access Cloudは、レガシー(または仮想化された)ネットワークレベルのソリューションの妥協や複雑さを伴うことなく、従業員とサードパーティのどこからでもアクセスできるようにするために考案されました。

ローカルネットワークを介してユーザーをトンネリングする代わりに、ユーザーは単一の集中化された場所であるアプリケーションアクセスクラウドを介してアプリに直接送られます。ネットワークやアプリ自体に触れることなく、ユーザーとプライベートアプリ間のアクセスを仲介します。VPNトンネルやエージェントは必要ありません。長い展開や複雑な構成はありません。ネットワークセキュリティのリスクはありません。代わりに、ユーザーは、必要なアプリにシームレスに接続し、アプリとエンタープライズで可能な最も簡単で安全な方法で作業します。そしてその基盤では、App Access Cloudはユーザー、デバイス、および基盤となるネットワークが侵害され、敵意を持っていると想定し、厳格なゼロ信頼プリンシパルによって管理されている安全な仮想インフラストラクチャを確立します。

シンプルな導入

  • 10分
  • ソフトウェアのみ
  • IDP統合、DNS構成、証明書の発行はすべてオプションです

ゼロトラストを導入するには、企業ネットワークに1つ以上のコネクタを導入するだけです。コネクタは軽量でソフトウェアベースの安全なコンポーネントで、インストールに約3分かかります。エンタープライズネットワークにインストールされるのはこれだけです。ユーザーエンドポイントがネットワークに導入されることはありません。これがエンドでの唯一の展開であり、アプリケーション、ネットワーク、または接続デバイスへの変更は必要ありません。すべてが数分かかります。

コネクタはApplication Access Cloudに接続して戻り、使い捨ての証明書を使用して相互に認証します。接続が確立されると、アプリケーションはアプリケーションアクセスクラウドで公開され、エンドユーザーが利用できるようになります。

Application Access Cloudは、公開されたアプリケーションへの透過的なフロントエンドとして機能します。ほとんどの場合、ユーザーはリクエストを仲介していることにさえ気づいていません。背後では、アプリケーションに接続する前に、各ユーザーリクエストがポリシー(ID、デバイスポスチャ、時刻、geoIP 、使用履歴)と照合されます。ポリシーの目的で追加されたコンテキストは、ユーザー、デバイス、またはアプリケーションによってピボットできるアクティビティログも充実させます。

ユーザーがリソースへのアクセスを許可されると、ユーザーは許可されたリソースへの一時的な1対1の接続を獲得します。セッションは承認されたセッションであるだけでなく、継続的な承認アプローチを採用しています。セッション内の各ユーザー要求は個別に承認されます。一部のリクエストは、許可されたセッションでブロックされることさえあります。つまり、組織は、管理対象外のデバイスにRDPサーバーへのアクセスを許可しますが、同じセッションでのファイル転送要求をブロックできます。ポリシーでは、管理対象外のデバイスを使用するヨーロッパ以外のユーザーがセッションを視覚的に記録することも指定できます。

Application Access Cloudは、パブリックインターネットからリソースとアプリケーションを削除するだけでなく、攻撃対象を大幅に削減します。従来のソリューションは、本質的にイーサネットケーブルのように動作し、任意のビット(不正および不正)をやり取りすることでネットワークアクセスを提供します。ただし、アプリケーションアクセスクラウドは、アプリケーション分離テクノロジーを適用して、ユーザーにアプリケーションのネットワークへのアクセスを許可することなく、管理および制御されたアクセスを提供します。すべてのリクエストはユーザーと状況のコンテキストを取得します。リクエストは、解体、サニタイズ、および再構築のプロセスを通じて、プロトコルに対しても検証されます。そうして初めて、アプリケーションレベルの要求がポリシーに対して承認され、アプリケーションに中継されます(アプリケーション層のみ)。ユーザーは、アプリケーション自体に実際に触れることなく、アプリケーションにアクセスできます。

Application Access Cloudを通じて公開されたアプリケーションは、すぐにセキュリティアップグレードを利用できます。TLS 1.3は、現在TLSをまったくサポートしていない場合でも、すべてのアプリケーションで有効になっています。プロトコルは既知の攻撃に対して強化され、ヘッダーとチャネルはホワイトリストに制限され、基盤となるインフラストラクチャはユーザーから見えなくなります。

ゼロトラストなセキュリティアプローチ

これまでに読んだことのあるものとは逆に、ユーザーが実際にネットワークにアクセスする必要はほとんどありません。ほとんどすべてのユースケースで、ユーザーが必要とするのはアプリケーションへのアクセスだけです。

  • すべての単一のパケットが認証され、パケットがアプリケーション層でのみ中継されるという信頼。ネットワークスキャン、n日間の攻撃、盗まれたアプリの資格情報の使用を排除します。
  • VPNのようにアプリケーションとそのホストに直接ネットワークレベルのアクセスを取得する代わりに、アプリへの仲介接続。攻撃対象領域と横方向のネットワーク攻撃を制限します。
  • 追加のソフトウェアやユーザーアクションを必要とせずに、どこからでも任意のデバイスからアプリへのシームレスなアクセス。BYODを使用し、必要に応じてアプリやデータに簡単にアクセスでき、管理オーバーヘッドなしで広く展開できます。
  • アプリケーションレベルで実行される実際のユーザーアクションを可視化するための詳細なパケット検査。真の可視性、ポリシー制御、ビジネス対応の分析を実現します。また、セッション記録機能の制御なども可能になります。
  • ポリシーベースラインに対するユーザーの行動を継続的に評価し、ほぼリアルタイムで潜在的な違反を特定して対処します。資格情報ベースの侵害の可能性を制限します(多くの場合、検出が困難です)。
  • プラットフォーム内から、またはAPIを介した他のソリューションを通じて対処できる、潜在的に悪意のあるアクションの検出。悪意のあるイベントを継続的かつ迅速に検出して対応する柔軟なアプローチを試してください。
  • エージェントレス展開、クラウド実装のブローカーテクノロジー、集中管理です。実装とメンテナンスを合理化し、迅速な価値の実現と自動スケーラビリティを実現します。

構造

  • インターネット:ユーザー、管理者
  • セキュリティ:アクセスレイヤー、管理コンソール、可視性コンソール
  • エンタープライズ:AWS、データセンター

A . SaaS

システムに送信されるすべてのパケットの認証、承認、ルーティング、およびログに使用される、非常にスケーラブルで冗長なクラウドアプリケーションです。企業インフラストラクチャのみによってアクセスされること、及び完全に野生インターネットから隔離されています。疑わしいアクティビティをブロックまたは警告するために、蓄積されたデータに対して宣言ルールとAIを制御して実行します。

B . コネクタ

コネクタは、エンタープライズネットワークにデプロイされる軽量のコンテナです。それらはSaaSと相互認証し、軽量で限定的なアプリケーションプロトコルを使用して通信します。許可された接続をホワイトリストに登録されたアプリに中継し、アプリケーションレイヤーを除くすべてのレイヤーを制御します。

C. 可視性コンソール

管理者がさまざまなアプリでのアクティビティと、システムでトリガーされたアラートを表示できるようにするWebサービスです。データは、アプリ、セッション、ユーザー、ユーザーグループ、サイトなどによってピボットできます。

D. 管理コンソール+ API

ポリシー、アプリケーション、コネクタ、ユーザー、およびその他すべてのコンポーネントを管理するために使用されます。管理者は、当社のWebインターフェースまたはAPIを使用して、システムとその構成を操作します。

安心のアプリケーションアクセス

企業がアクセスを拡張する必要があるとき、そのアクセスに対するセキュリティの脅威はさらに危険で必然的に増大します。新しい問題が発生し、競争力を高め、気密のセキュリティを確保するための新しい革新的なソリューションが必要になります。セキュリティとアクセスの問題は、従業員とサードパーティの両方へのアクセスを、オンサイトおよびクラウド内のプライベートアプリケーションに拡張することで発生します。VPNはこれらの問題をさらに悪化させるだけです。アプリケーションへのアクセスをシンプル、安全、かつ厳重に管理できる最新のクラウド中心のソリューションを提供します。これは、ビジネスの革新をもたらすだけではありません。それはそれらを救うかもしれないゼロトラストソリューションです。より詳しいVPNからゼロトラストネットワークへの移行方法は、他の記事をご覧ください。

クラウド内のユーザーIDを保護するためにすべてのCISOが知っておくべき6つのこと

パブリッククラウドは優れたビジネスイネーブラーでしたが、ユーザーアクセスに関連する多数の盲点を作成し、深刻なセキュリティ上の課題をもたらしました。SaaSアプリとIaaSサービスの数と種類が指数関数的に増加し続けるにつれて、ユーザー特権、リソース権限セット、アプリ機能、およびリスクの管理がますます困難になっています。

したがって、承認は、もはや便利な機能ではなく、必須です。IDaaSによりユーザーIDの権限を明確に定義し、慎重に検証する必要があります。組織の攻撃対象領域を減らすために未使用の権限を排除し、過剰にプロビジョニングされたユーザーを特定し、適切なサイズの権限を付与する必要があります。そうしないと、データ漏洩とクラウドアカウントの侵害の結果は悲惨なものになり、多くの場合元に戻せません。

機密性の高いクラウド情報へのアクセスを制御するための5つのヒントを紹介します。

続きを読む

【チェックリスト】 データセンターとマルチクラウドアプリケーションの使いやすさ

ゼロトラストワールドでの安全なアクセス

セキュアアクセスにより、ゼロトラストの世界では、準拠デバイスを備えた認証済みユーザーのみが、いつでも、どこからでも、どのネットワークを介しても、許可されたアプリケーションと情報に接続できます。

セキュアアクセスは、デジタルトランスフォーメーションを可能にし、従業員、顧客、同僚、パートナーがシームレスに作業、通信、コラボレーションできるようにするため、今日の労働力にとって重要です。ただし、新しいサイバー脅威とセキュリティ侵害が見出しにあるため、企業は生産性とセキュリティのバランスも確保する必要があります。

従来、セキュリティは主に制御に基づいているため、これは困難な目標でした。IT管理者はルールを適用してビジネス要件を満たし、コンプライアンスの義務を遵守します。このアプローチでは、ユーザーエクスペリエンス(UX)が最適化されず、ユーザーが仕事を終わらせるために回避策を模索する可能性があります。シャドウIT の成長は、ユーザーがセキュリティで保護されていない個人用デバイスや認可されていないクラウドサービスを利用して目前のタスクに対処することに非常に優れていることを示しています。

対照的に、セキュアアクセスは、シームレスでシンプルなユーザーエクスペリエンスを念頭に置いて設計されており、ゼロトラスト保護も提供します。これは、制限ではなく有効化に基づくモデルです。目的は、セキュリティを損なうことなく、企業情報、アプリケーション、サービスへの簡単で摩擦のないアクセスを提供することです。その一方で、常に変化する環境に合わせたセキュリティポリシーの実装、管理、適応をITが簡単かつ柔軟に行えるようにします。ゼロトラストは、企業の境界の内外を信頼する必要はなく、ネットワークはアクセスを許可する前に、接続しようとしている人や何かを確認する必要があることを前提としています。接続が許可されるのは、IDが認証され、接続されたデバイスのセキュリティ状態が検証され、ユーザーまたはモノが目的のアプリケーション、サービス、または情報へのアクセスを許可された後です。

安全なアクセスの概要

セキュアアクセスは、企業データ、アプリケーション、IT資産に対するビジネスリスクを次のように軽減します。

  • ユーザーとデバイスの可視性と洞察の強化
  • 権限のないユーザーによるアクセスを禁止する
  • 侵害されたデバイスのリスクの排除
  • 安全でないネットワーク接続の使用の防止
  • インサイダーの脅威と感染の拡大を阻止
  • モノのインターネット(IoT)への露出を減らす

安全なアクセスの提供を形成する傾向

ITチームは、5つの主要なトレンドに牽引されて、常に変化のトレッドミルにいます。

  1.  ITの消費化は革命的です。今日の職場の性質を完全に変え、デジタルビジネスの変革に貢献しています。企業は、スマートデバイスやオンラインアプリの急増に直面しています。2020年までに労働力のほぼ50%を占めるミレニアル世代は、技術に精通しており、外出先での豊富なパーソナルデジタルエクスペリエンスに慣れており、自分のモバイルデバイスを使用して職場でも同様のデジタルエクスペリエンスを期待しています。企業は、労働力のダイナミクスをサポートし、主要なコンプライアンスおよびセキュリティ要件を損なうことなく、この消費者のようなユーザーエクスペリエンスを従業員に提供するという課題に直面しています。
  2. ネットワークはますます攻撃を受けています。新たなサイバー脅威とヘッドラインでのデータ漏えいにより、セキュリティ侵害は危機的な比率に達しています。脆弱性とインシデントに対する平均検出時間(MTTD)と平均応答時間(MTTR)を削減することは、組織にとってこれまで以上に重要です。ITがインサイダーアクティビティ、特権の誤用、非準拠および不許可のデバイス、およびデバイスの損失の結果である脅威と戦うためには、可視性、リアルタイムの防止、および自動応答が不可欠です。
  3. クラウドコンピューティングとハイブリッドIT環境が標準です。従来のデータセンター環境は、企業、クラウド、クラウドサービスの混合環境に変化しました。この新しい世界では、ITリソースは通常、企業独自のプライベートクラウドにデプロイされるか、サービスとしてのソフトウェア(SaaS)、サービスとしてのインフラストラクチャ(IaaS)、サービスとしてのプラットフォーム(PaaS)などのサードパーティのパブリッククラウドを活用します。マルチクラウドが新しい標準になっているにもかかわらず、クラウドのセキュリティは、従来のデータセンターの保護ほど信頼されていない場合があります。結局のところ、GoogleやAmazon Web Services(AWS)などのクラウドプロバイダーが提供する主な製品は、セキュリティではなく、スペース、処理能力、帯域幅です。アプリケーションと情報への適切で保護された接続を確保するために、企業は、実証済みのデータセンターのセキュリティをクラウドに拡張できるセキュアアクセスソリューションを必要としています。
  4. 企業アクセスのための複数のセキュリティサイロの使用。ハイブリッドIT環境は、ITが既存のデータセンターのセキュリティポリシーを拡張してIaaSおよびSaaSの状況をカバーするため、この傾向に大きく貢献しています。残念ながら、さまざまなコンピューティング環境内でアクセスセキュリティに対処するためにポイントソリューションを使用すると、ギャップが残り、可視性が制限され、一貫性のないポリシーが生成されます。これはまた、多くの場合、複雑でイライラするユーザーエクスペリエンスをもたらします。でESGによる2017年の報告、サイバーセキュリティの66%とIT専門家が合意または強くセキュリティ・アナリティクスことで合意し、それが複数の独立したポイントツールに基づいているため、と操作の有効性が限られています。
  5. モノのインターネット(IoT)が爆発しています。プリンター、スマートTV、パーソナルWiFi 、防犯カメラ、センサー、その他の周辺機器が一般的になりつつあります。これらのデバイスはすべて、ラップトップ、デスクトップ、スマートフォンを介して、またはエンタープライズネットワークに直接接続され、さらにIPネットワークを介して他の企業やサードパーティのリソースに接続されることもよくあります。デフォルトのパスワードの変更からパッチのインストールまで、これらのシステムのセキュリティは多くの場合、せいぜい後付けであり、頻繁にIoTデバイスを攻撃や誤用に対して脆弱にします。通常、組織はこれらのデバイス、および内部システムとデータに接続する無数の方法を認識していません。IoTとクラウドを使用して製造出力を向上させるインダストリー4.0の台頭に伴い、サイバーセキュリティへの懸念がITから運用技術(OT)ドメインに波及しています。ハッカーは今やIoTを標的型攻撃の新しい機会と見なしており、セキュリティの弱点と従業員の無知を利用しています。IoTによってもたらされるリスクを制御するには、組織は、ITおよびOTのエンドツーエンドの可視性、コンテキスト認識、およびリアルタイムアクションのために、セキュリティアーキテクチャを再設計する必要があります。

セキュアアクセスソリューションの要件

成功したZero Trust Secure Accessソリューションの重要な要素は何ですか?

統合モバイルセキュリティ

まず、ゼロトラストセキュアアクセスソリューションは、企業のモビリティが労働力の生産性を高めることを可能にする必要があります。これには、さまざまなデバイスとオペレーティングシステム全体で透過的な方法で可視性とコンプライアンス制御を有効にする必要があります。ユーザーの場所やデバイスの所有権に関係なく、ラップトップ、スマートフォン、タブレットなど、デバイスの自動セルフサービスオンボーディングを提供することで、モバイルデバイスの安全な使用を簡素化します。モビリティの実現には、BYODシナリオでプライベートアプリケーションから仕事用アプリケーションとデータを分離することにより、コンプライアンスを保証する機能も必要です。最後に、Secure Accessソリューションは常にサポートする必要があります。

シンプルで使いやすいUX

ゼロトラストセキュアアクセスソリューションは、シンプルで統合されたユーザーエクスペリエンス(UX)に対するユーザーの消費者ベースの期待も考慮する必要があります。たとえば、エンドユーザーは、デバイス、オペレーティングシステム、アプリケーションインフラストラクチャ全体にわたるアプリケーションへのシングルサインオン(SSO)の利便性を求めています。IT管理者は、アクセスセキュリティのすべての要素を調整する直感的で柔軟な方法を求めており、複数のセキュリティシステムとコンソール間でデータとアクションを関連付ける必要をなくします。さらに、クラス最高のソリューションは、統合されたApplication Delivery Control(ADC)ソリューションを活用することでユーザーエクスペリエンスを最適化し、ユーザーがサイト上のアプリケーションにアクセスするかリモートにアクセスするかに関係なく、あらゆる需要を満たすためのタイムリーな応答を保証します。

エンドツーエンドのハイブリッドITセキュリティとVの互換性

サイバー攻撃の増加とハイブリッドIT環境への移行が相まって、ゼロトラストセキュアアクセスソリューションはエンドツーエンドのハイブリッドITセキュリティを提供する必要があります。このようなソリューションでは、アプリケーションがエンタープライズデータセンター、プライベートクラウド、パブリッククラウドでホストされているか、SaaSとして提供されているかに関係なく、SSO認証とアプリケーションへのロールベースおよびデバイス準拠の承認済みアクセスを組み合わせる必要があります。Software Defined Perimeter(SDP)は、新規または既存のハイブリッドIT展開に適用できる魅力的な「ゼロトラスト」アーキテクチャを提供します。SDP は、明示的な認証、コンプライアンスチェック、および承認が完了するまで、リソースをすべてのユーザーおよびデバイスから見えないようにしたり、アクセスできないようにする「最初に認証および検証」アプローチを規定しています。全体的な結果は「ダーククラウド」になり、ハッカーは見えないものを攻撃できないため、ネットワークの攻撃面が減少します。

統合されたスケーラブルなプラットフォーム

複数のセキュリティサイロに関連する問題は、統合されたZero Trust Secure Accessプラットフォームを採用することで軽減できます。統合プラットフォームは、オンプレミス環境とクラウド環境全体で物理および仮想IT リソースをサポートする適切なアプリケーションアクセスを提供します。また、従来のPC、モバイル、さらにはIoTデバイス全体にエンドポイントカバレッジを提供する必要があり、エージェントおよびエージェントレスクライアントテクノロジーのアプリケーションが必要です。ユーザーとデバイスの増加を考えると、統一されたプラットフォームは、安定した状態を処理するために十分にスケーラブルである必要があります

ユーザー、デバイス、アプリケーション用の統合ポリシーエンジン

ポリシーの統合は、複数のセキュリティサイロによって生じる可能性のあるギャップに対処するもう1つの方法です。サイロ化されたソリューションとは異なり、ポリシーの統合により、ルールを一度記述すれば、企業全体に自動的に適用できます。SDPアーキテクチャは、コンテキストに対応した統合された一元化されたポリシーエンジンを提供し、ユーザー、ロール、デバイス、場所、時間、ネットワーク、アプリケーション、およびエンドポイントのセキュリティ状態に基づいて、きめ細かいポリシーを適用できます。IT管​​理のワークロードを最小限に抑え、サードパーティのソリューションとの相互運用性を確保するには、ポリシーの適用を標準ベースにする必要があります。

複数のベンダーソリューション間のシームレスな統合

統一されたプラットフォームとポリシーエンジンの確立は、複数のベンダーソリューションにまたがるゼロトラストセキュアアクセス制御を調整できる単一のベンダーと提携することで、より簡単かつ効果的になります。IT管​​理のワークロードを最小限に抑えるには、双方向の相互運用性を標準ベースにして、さまざまなサードパーティソリューションをサポートする必要があります。このアプローチを適用することで、単一のベンダーは新しいテクノロジーが利用可能になったときにそれを組み込み、エンタープライズの可用性、回復力、弾力性、およびスケーラビリティーを向上させることができます。

新しいエンドポイント、サービス、アプリケーションへの拡張性

最後に、IoTとマルチクラウドのセキュリティに対するニーズの高まりからわかるように、ゼロトラストセキュアアクセスソリューションは、インテリジェントで適応可能でなければなりません。ソリューションは、高度なデバイスプロファイリング、分類を使用して、ネットワークおよびプライベートクラウド上の認可されたおよび認可されていないIoTデバイスを検出、セグメント化、および監視できる必要があります。

分析と脅威への対応。さらに、IOTデバイスはITおよびOT(運用技術)の統合を含む企業アプリケーションとインターフェースするため、セキュアアクセス機能は、可用性、パフォーマンス、コンプライアンス、またはセキュリティを犠牲にすることなく、将来のユースケースに対応できる十分な柔軟性が必要です。

今日と明日の安全なアクセス

あらゆる手段でのアプリケーションとデータのアクセシビリティを提供しながらグローバルセキュリティを確保することは、労働力のモビリティ、動的で進化する脅威、マルチクラウド環境、IoT の現在の傾向を考えると、すべてITに影響を与える課題です。ユーザーエクスペリエンス、エンドポイントの多様性と脅威、ハイブリッドクラウドの移行、プラットフォームとポリシーの統合、エコシステムの相互運用性を考慮できる包括的で柔軟で直感的なSecure Accessソリューションを通じて、IT管理者は、アクセスセキュリティのすべての要素を調整する直感的で柔軟な方法を求めており、複数のセキュリティシステムとコンソール間でデータとアクションを必要必要をなくします。

セキュアアクセスソリューションを導入すると、企業は場所、デバイスの種類、デバイスの所有権に関係なく、従業員、ゲスト、請負業者によるポリシーの遵守を実施できます。ユーザーは生産性が向上し、承認されたネットワークリソースやアプリケーションへのアクセスを犠牲にすることなく、どこにいても自由に作業できます。ITは、マルウェア、データ損失、IoTリスクを軽減できます。ITは、リソースを最適化し、企業全体でデジタル変革を可能にする能力を備えています。

ゼロトラストの謎を解く

企業ネットワークと単一のセキュリティ境界の時代は終わりを迎えています。ユーザーはますますリモートで作業し、公共のインターネットを介して作業を行っています。Software-as-a-Service(SaaS)アプリ、クラウドプラットフォーム、およびその他のクラウドベースのサービスの台頭により、リソースを保護するための主要な要素としてネットワークを使用することの効率が低下しています。ネットワーク間の境界がぼやけているため、単一の封印された企業ネットワークに依存することができなくなり、その中にあるすべてのシステムに信頼を与えることができなくなりました。

ゼロトラスト、セキュリティについて考える方法とセキュリティを行う方法に関するサイバーセキュリティの哲学に入ってください。ゼロトラストは、「何も信頼せず、すべてを検証する」という原則に基づいており、物理的またはデジタル的な場所に関係なくリソースを保護し、デフォルトでは何も信頼しないことに重点を置いています。

1つのベンダー、製品、または技術がゼロの信頼を得ることはありません。むしろ、文化の変化と、リソースを確保するパラダイムを変化させるためのさまざまなソリューションが必要です。

この記事では、ゼロトラストの概念、ゼロトラストモデルを実装する利点、および組織がそれに向けて移行するために必要な手順に関するガイダンスを示します。

時が変わった

信頼は情報技術の分野では、特に、その信頼が暗黙のうちにある場合、つまり、資格がないか疑問がない場合、危険な言葉です。

大規模な封印された企業ネットワークセキュリティ境界を作成し、その内部のすべてを信頼することは、設計に欠陥があることが何度も証明されています。これらの柔らかくて歯ごたえのあるセンターは、ハッカーの夢です。中に入ると、それらはしばしば見えなくなります。ネットワーク全体に広がり、重要なシステムにアクセスするなど、セキュリティ制御と最も強力なチェックは境界でのみ行われるので、それは簡単です。

あなたがそれが好きかどうかに関係なく、境界は侵食されています。

ユーザーは、喫茶店の公衆Wi-Fiのような信頼できないネットワークでリモートで作業したいと考えています。クラウドにデータを保存して、必要なときにいつでもアクセスできるようにしたいと考えています。彼らは自分の個人用デバイスを使用または使用して、企業のデータとリソースにアクセスしたいと考えています。ユーザーがいつでもどこでも好きなように作業できるように、摩擦のないアクセスがユーザーから求められています。

サービスとしてのソフトウェア(SaaS)アプリ、クラウドプラットフォーム、およびその他のクラウドベースのサービスを使用すると、データが企業の境界の外側に残り、パブリッククラウドプラットフォームは、企業の境界内で実行されるデバイスまたはサービスの多くが今ではその外で実行されます。私たちのワークロードは、私たちが所有し、制御し、信頼しているネットワークから離れて、それらを処理するのに最も費用効果の高い場所に移動しています。

すべてがどこにでもあります。静的な防御機能を備えた古い「企業ネットワーク」モデルでは、企業がクラウドなどの機能を利用できると同時に、データ、ユーザー、顧客を保護できません。パラダイムシフトが必要です。

ゼロトラストに入ってください

ゼロトラストは、これらの脅威とビジネスの仕組みの変化に対処するセキュリティへの全体的なアプローチです。これは、セキュリティをどのように考え、どのように実行するかについてのモデルと哲学です。

企業ネットワークの内外を問わず、ネットワーク自体であっても、自動的に信頼する必要はありません。従来のファイアウォールのような静的な防御を備えた、ネットワークの場所に基づく暗黙的な信頼は制限する必要があります。

最終的に何かが信頼される必要があるが、ゼロ信頼して、この信頼関係は一時的なものである以上、およびデータの複数のソースから動的に確立私たちがきた今まで使用し、過去に、それが評価され再常にあります。データのソースには、アクセス要求自体に関する情報、ユーザー情報、システム情報、アクセス要件情報、脅威インテリジェンスが含まれます。さらに、データおよび(または)リソースへのアクセスは、必要に応じて、接続ごとにのみ許可されます。

私たちは、インターネットを日常的に使用することにより、信頼されていないネットワークに関する豊富な経験を持っています。公共のインターネットに面しているコンピューターは、従来の境界内のコンピューターとは非常に異なる方法で保護されており、外部の脅威からコンピューターを保護するために、さらなる監視と多層防御が必要です。

ゼロトラストモデルは、すべてのデバイスをインターネットに接続しているものとして扱うようにガイドします。単一の境界を持つのではなく、多数のマイクロ境界(またはマイクロセグメント)を作成し、すべての周囲およびすべての間にチェックと制御を適用する必要があります。

ゼロトラストを採用することの主な利点

ゼロトラストモデルを採用すると、無数のメリットがもたらされます。そのため、人生を楽にするために、いくつかの中核的なものを選びました。

IT資産全体の管理

オフィス内から、使用するクラウドプラットフォームまで。企業の境界外での制御の欠如やリモートユーザーとの苦労はもうありません。

すべてのユーザーを同じ方法で管理および保護する

企業の境界の内側または外側とは見えなくなり、すべてのユーザーを同じように扱うことができます。これにより、ITセキュリティが簡素化されると同時に、すべてのデバイスとユーザーが平等に扱われます。

使用中のインフラストラクチャを完全に制御していない場合でも、セキュリティを維持する

アイデンティティ、場所、デバイスのヘルス、MFAを使用して、および監視と分析重ねることで、あなたはね、まだ環境、プラットフォーム、またはサービスのあらゆる種類の間で強力なセキュリティを持つことができます。

マルウェアや攻撃者の動きを大幅に削減

むしろ、ネットワーク全体の行動の自由を持つよりも、一度彼らがしている内部、攻撃者は感染したユーザがアクセス権を持っていたシステムの最低限へのアクセス権を持っています。認証されたユーザーを信頼し続けることにより、これらのシステム間でチェックが行われ、拡散する能力がさらに制限されます。

ゼロトラストのまとめ

  • ネットワークの「内部」はありません
  • 何も信用せず、すべてを検証します
  • セキュリティはリアルタイムで適応する必要があります

ゼロトラストは大きなアイデアであり、それについて多くの発展的な議論があります。本質的に、私たちは、ゼロ・トラストの主要な概念を、旅の途中で覚えておくべきいくつかのことわざに要約することができます。

ネットワークの「内部」はありません

コーヒーショップの公共Wi-Fiなどの信頼できない場所からビジネス全体を運営していること、すべてのデバイスがすべてのネットワークの中で最も危険なネットワークである公共インターネットに直接接続されていると仮定します。これを現実と考えると、従来の企業の境界の背後にいることに頼ることができない方法でセキュリティを適用する必要があります。

管理用および社内システム用の企業の「信頼できる」ネットワークは常に存在しますが、目標は、アプリケーションプロキシやその他のテクノロジーを使用して一般ユーザーがこれらのネットワークに近づかないようにし、攻撃対象を大幅に減らすことです。

何も信用せず、すべてを検証します

ネットワークの内側と外側の両方に攻撃者がいて、常に攻撃し続けていると仮定します。接続を検討する前に、ユーザーやデバイスを自動的に信頼して認証する必要はありません。想像あなたがしているすべての方向から一定の攻撃を受けて、あなたは、ビルドにプッシュされている、あなたの防御をレイヤー、あなたのリソースへの堅実な認証および承認し、常にあなたの財産全体で起こってすべてを監視し、分析します。

セキュリティはリアルタイムで適応する必要があります

ゼロの信頼を実現するために導入するセキュリティポリシーは動的で、できるだけ多くの異なるテクノロジーからのできるだけ多くのデータソースからの洞察に基づいて自動的に変更する必要があります。「THIS DEVICE」の「THIS USER」などの静的ポリシーは「THIS THING」にアクセスできますが、そのユーザーがデバイスにアクセスしているときにそのデバイスが危険にさらされている場合は保護されません。ポリシーが悪意のある動作の識別などのデバイスの状態も考慮に入れている場合、ポリシーはこれを使用して、管理者の労力なしで状況に動的に適応できます。

これは、長い間、サイバーセキュリティに対するソフォスの戦略と哲学の一部でした。あなたはそれを同期化されたセキュリティとして知っていたら、私たちの製品は彼らがお互いに持っているユニークな洞察を共有することができます。これにより、これらのすべての洞察を利用して、適応性のある動的なポリシーを設定できるため、ポリシーが静的でなく、簡単に循環することはありません。

これの多くは、既に行っている可能性のある優れたセキュリティポリシーとベストプラクティスであり、GDPRの準備ができていれば、この作業の多くはすでに完了しています。

ゼロトラストの原則

何も信用しません。ずっとです。何も信用しない場合、リスクがある場合は常に、関連するセキュリティ対策を模索する必要があります。

すべてを確認します。チェックに合格することで自然に信頼が得られると思い込まないでください。資格情報を持っているからといって、信頼できるというわけではありません。それはあなたが資格を持っていることを意味するだけです。また、資格情報が盗まれる可能性があります。

これを覚えておくために、4つの単純な原則に分解できます。

  • 常に識別する
  • 常に制御する
  • 常に分析する
  • 常に安全

常に識別する

単一で信頼できるIDのソースが必要であり、シングルサインオン(SSO)でどこでも使用できます。多要素認証(MFA)を使用して、すべてを認証する必要があります。ユーザーがどこにいても、アクセスしようとするものは何でも、資格情報を検証し、2番目(または3番目)の要素があることを検証し、定期的に再認証を要求します。

資格情報が盗まれたり、システムが乗っ取られたりした場合、MFAおよび定期的な再認証により、攻撃者はすぐに阻止されます。

常に制御する

必要に応じてコントロールとチェックを適用し、最小限の特権の原則を採用して適用します。ユーザーは、自分のジョブを実行するために必要な最低限のものにのみアクセスできます。ドイツ人スタッフのみが使用する人事システムがある場合、ドイツ人スタッフのみがアクセスできるようにする必要があります。アクセスのリスクが低いと考えられている場合でも、他の誰もがアクセスするべきではありません。

常に分析する

認証が成功した、またはそのユーザーまたはデバイスにアクセスが許可されたからといって、それが信頼できるとは限りません。インサイダーの脅威や悪意のある人物が有効な資格情報にアクセスする可能性があります。すべてのネットワークおよびシステムアクティビティを記録し、定期的に分析および検査して、認証後の状況を確認します。SIEM(セキュリティ情報とイベント管理)、EDR(エンドポイントの検出と応答)、およびMDR(管理された検出と応答)は、まさにこのニーズに応えるために登場しました。

常に安全

サイバーセキュリティには「裏返し」のアプローチを使用します。重要なデータに焦点を当て、解決策を講じ、データが作成されてから破棄されるまでの、ネットワーク内のデータの移動に伴う脆弱性のポイントを特定する必要があります。

常にコンプライアンスや規制ではなく、何よりもリスクを考慮してください。コンプライアンスチェックまたは規制要件を満たすために純粋にセキュリティを適用することは危険です。コンプライアンス要件では、ネットワークの内容、フローとワークロード、システム、テクノロジーがわかりません。彼らはあなたのネットワークのあらゆる可能な要素に関連するリスクを知りません。リスクを考慮し、組織が直面する脅威をモデル化することで、セキュリティを強化、緩和する場所、およびマイクロセグメントを作成する場所を確実に把握できます。

ゼロトラストに向けて

では、どのようにしてゼロトラストに移行し、ゼロトラストが提供するすべての利点を活用するのですか

  • 表面を定義し、リソースを特定する
  • 標準経路と特権経路をマッピングする
  • Zero Trustネットワークを構築する
  • ゼロ信頼ポリシーを作成する
  • 周囲を監視して維持する

表面を定義し、リソースを特定する

最初に、保護、制御、および監視する表面を定義する必要があります。どのようなあなたのビジネスで使用されているすべてのリソース、サービス、アプリケーション、およびデバイスがありますか?ネットワーク全体で使用されているすべてのものの明確なスコープを持つことは、新しいゼロトラストメンタリティをそれに適用しようとするのに役立ちます。

標準経路と特権経路をマッピングする

すべての範囲を特定したら、次に、標準的な経路をマッピングする必要があります。標準的なものと期待されるものの間のフロー、動作、および関係は何ですか?このユーザーグループはこのアプリケーションにアクセスし、このデバイスはそのネットワークに接続し、このサービスはそのデータストアなどを使用しますが、特権パスとは何ですか?この管理者は、この管理コンソールに接続し、リモートデスクトッププロトコル(RDP)を使用して、機密データをホストしているサーバーにアクセスする必要があります。特権パスでは、ほとんどの場合、追加のセキュリティまたは制御が適用されます。

アーキテクトゼロ信頼ネットワーク

スコープ内にあるもの、およびすべての間の関係がわかったところで、ゼロトラストの哲学をそれに適用し始めることができます。どのセキュリティ対策とアクセス制御を適用するか、どこに適用するか、どのテクノロジーがどのリスクを軽減するのに最適かなどを特定します。

ゼロ信頼ポリシーを作成する

次に、接続または要求にコンテキストを追加するために、できるだけ多くの異なるデータソースを利用するゼロ信頼ポリシーを実装する必要があります。

周囲を監視して維持する

最後に、おそらく最も重要なこととして、新しく作成した境界を維持できるように、すべてを詳細な監視でオーバーレイする必要があります。

これは、管理者が直面する最大の変更の1つです。いったんアンチウイルスをインストールして構成でき、コンソールを見る必要がない場合、ゼロの信頼で、習慣を絞る必要があります。

発生するイベントを監視し、EDRなどのツールを利用して、脅威が環境に侵入した根本原因、および検出前または潜在的な違反の後に発生したイベントを理解する必要があります。

MDRのようなサービスはここで本当に役立ち、サイバーセキュリティの専門家があなたに代わってネットワークを監視し、脅威を粉砕することを支援します

ゼロトラストテクノロジー・スタック

ネットワーク上にあるすべてのリソースと資産を保護するには、多くのテクノロジーが必要です。すべての問題を解決する単一のベンダー、製品、またはテクノロジーはありません。

ゼロトラストテクノロジースタックは、ゼロトラストの管理と、さまざまなリソースおよび資産のセキュリティと制御という2つの主要な領域に対処する必要があります。

管理は3つのサブエリアに分かれています。

  1. 自動化とオーケストレーション
    動的ポリシーを定義し、すべての異なるテクノロジーを調整し、すべてを適切に配置するため
  2. 可視性と分析
    ネットワークの監視を維持し、すべてが機能していることを確認するとともに、脅威や違反が発生した場合または発生した場合にそれを特定する
  3.  API
    さまざまなテクノロジーを統合して、あるシステムから別のシステムにデータを取得する

リソースとアセットは、5つのサブエリアに分類されます。

  1. 人々
    あなたのビジネスのために、またはあなたのビジネスで働いているユーザー、管理者など
  2. データ
    すべての組織の生命線であり、おそらくセキュリティで保護するための最も重要な資産
  3. デバイス
    ビジネスの遂行に使用するサーバー、ラップトップ、仮想マシンなど
  4. ワークロード
    データの処理、計算の実行、レポートの生成などに使用するサービスとアプリ
  5. ネットワーク
    データが流れる通信チャネル、ウェブ、電子メール、Wi-Fi、インターネットなど

サイバーセキュリティに対するビジョン

ゼロトラストとサイバーセキュリティのビジョンである同期セキュリティは、同じ目標の多くを共有し、互いに補完し合っています。

システムとしてのサイバーセキュリティです。すべてのシステムアクティビティ、ユーザーの動作、ネットワークトラフィック、コンプライアンスの姿勢をリアルタイムで動的に監視しながら、ITの最も複雑なタスクを継続的に分析、適応、自動化します。すべてのテクノロジーは相互に情報を共有し、1つだけでは盲目になるような相互の洞察と可視性を提供します。

技術は話し合われるべきです。この話し合いを通してのみ、複数のデータソースに基づいて、ゼロトラストネットワークを実現するために必要な適応的で動的なポリシーを実現できます。

結論

現状では、ゼロトラストはサイバーセキュリティに対する哲学にすぎませんが、すぐに受け入れることはできません。ただし、セキュリティ境界が継続的に侵食されているため、採用の必要性がますます広がっていくでしょう。サイバー犯罪者はますます革新的になっており、防御策はこれに追いつくために苦労しています。ゼロの信頼モデルは、本当にすべてのサイバーセキュリティプロトコルに新たな基準を設定しながら、脅威を最小限にする方法を表しています。

今は違う考え方をする時です。進化の時です。

分散Webアプリケーションファイアウォールによるクラウドアプリケーションの保護

概要

ITセキュリティに対する責任は、ネットワークとITインフラストラクチャから、アプリケーションとソフトウェアアーキテクチャ自体に移行しています。IT組織は、今日の進歩するセキュリティの脅威に対処するだけでなく、このシフトの結果として次のような新しい課題にも対応する必要があります。

  • 分散アプリケーションのセキュリティ
  • クラウド技術との統合
  • 大規模でダイナミックな成長
  • 複数のアプリケーションとリスクプロファイル
  • 急速に変化する脅威とL7攻撃
  • 既存のセキュリティプロセスおよびワークフローとの相互作用

Web Application Firewallは、これらの課題すべてに対処できるように設計されています。

前書き

オンラインビジネスの大幅な成長と規模の拡大に伴い、新しい製品やサービスを展開するというプレッシャーが続いています。つまり、コードの更新と変更が頻繁に行われ、ソフトウェア開発がさらに複雑になります。現代のアプリケーションは、既成のパッケージ、社内サービス、サードパーティのコンポーネントやフレームワークなどのビルディングブロックから作成され、これらすべてに個別の抜け穴や脆弱性があります。

複雑なアプリケーションは、特に開発者が期限を守り、顧客データを保護するというプレッシャーにさらされている場合、より簡単なターゲットです。アプリケーションおよびセキュリティチームは、今日の動的IT環境におけるアプリケーションの脆弱性を解決することが困難であることに気付き、アプリケーションのベンダーは、キャンペーンの締め切りや製品のリリースサイクルに対応できるほど迅速にパッチを提供できない場合があります。

アプリケーションセキュリティの終わりのない物語

毎年、何千もの新しい脆弱性がWebアプリケーションで報告されています。非常に多くの新しい脆弱性があるため、セキュリティの分析とテストが複雑なため、多くの企業がアプリケーションのセキュリティ保護、維持、強化が困難であることは不思議ではありません。

アプリケーションベンダーも同様の問題を抱えています。自社のアプリケーションでサポートされている新しい脆弱性を特定するために注意を払う必要があるだけでなく、カスタム統合プロジェクトが自社または他のアプリケーションのセキュリティも侵害するかどうかを判断する必要があります。彼らがセキュリティの抜け穴を特定して解決するには、パッチやソリューションを市場に投入するためにかなりの時間とリソースを費やす必要があります。

一部のアプリケーションの脆弱性はサードパーティのコンポーネントまたはOSモジュールのパッチですばやく解決できますが、本番システムで解決するのにロジックの欠陥やデータリークに数か月かかることも珍しくありません。一部の既製のアプリケーションは、アプリケーションベンダーの優先順位と認識されるリスクに応じて、1年以上パッチが適用されない可能性があります。

Web Application Firewall(WAF)は、既製のソリューションとサードパーティのフレームワークを含む複雑なカスタムアプリケーションの両方で、アプリケーションレベルのセキュリティのためのスケーラブルなソリューションです。これを使用して、オンライントラフィックにビジネスルールを適用し、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を検査およびブロックしながら、送信トラフィックをフィルタリングしてクレジットカードデータをマスクし、PCI-DSSおよびHIPAAへの準拠を支援できます。発信データのフィルタリング。

クラウドアプリケーションは幅広い脅威にさらされている

セキュリティ予算は、以前はネットワークファイアウォールとウイルス対策ソリューションに焦点を当てていました。ただし、最近では、攻撃の主な標的がネットワークレイヤーからアプリケーションレイヤーに移行しました。これは、クラウドアプリケーションで使用できるオペレーティングシステムとサービスインターフェイスが強化され、プロファイルが縮小されているためです。その結果、強化されたネットワーク境界の背後にある実際のサーバーよりも、アプリケーションロジックまたはアプリケーションフレームワークをターゲットにする方がはるかに簡単になりました。多くのアプリケーションは社内で作成されますが、セキュリティが開発者の中核スキルになることはめったになく、アプリケーションのライフサイクル全体を通じてセキュリティの問題につながる可能性があります。

さらに、クラウドコンピューティングの幅広い採用により、アプリケーションがインフラストラクチャ、プラットフォーム、ソフトウェアの外部ホスティングプロバイダーを活用するにつれて、攻撃ベクトルが増加しています。包括的なパッチ管理システムを確立することは重要ですが、実際にはこのアプローチは非常に困難でコストがかかることがあります。典型的なWebアプリケーションは、オープンWebフレームワークに依存するサードパーティの開発者によってオープンソースコンポーネントに基づいて構築されています。相互運用性と開発期間の短縮は実現しますが、セキュリティの脆弱性を解決するために複雑なパッチ管理が犠牲になります。オープンソースコードの1つのコンポーネントの欠陥は、それが使用される各アプリケーション全体で使用されるインスタンスごとにパッチを適用する必要があります。動的なインフラストラクチャとアプリケーションフレームワークを備えたパブリッククラウド環境では、これを管理することが非常に困難になる可能性があります。

クラウドの複雑さ

クラウド専用に開発された大規模アプリケーションは、アクセス速度とスケーラビリティに重点を置いた設計で、非常に複雑になることがよくあります。多くのクラウドアプリケーションは、オープンAPIを介してサードパーティ開発に柔軟性を提供します。たとえば、Salesforceです。com、Googleドキュメント、Facebook、Twitterはすべて、カスタムアプリケーションからのアクセスを許可するために公開されたAPIの良い例です。これらの「サービスとして」のアプリケーションは、現在2つの方法で開発されています。(1)オンプレミスアプリケーションをクラウドに移行すること、および(2)アプリケーションをクラウドで直接開発および操作することです。

内部の企業ネットワークからパブリッククラウドインフラストラクチャに移行するアプリケーションは、保護されたソフトウェアを処理するように設計されていない外部の脅威にさらすリスクを伴います。一般的なセキュリティの脅威には、インジェクション攻撃、クロスサイトスクリプティング、クロスサイトリクエストフォージェリなどがあります。

攻撃者にとって重要な「ホットスポット」であるパラメーターの検証、セッション管理、アクセス制御など、クラウドでのWebアプリケーションの開発には、多くのセキュリティ上の課題があります。開発者がアプリケーションセキュリティの設計経験が限られている場合、セキュリティの問題があるアプリケーションを作成する可能性が高くなります。

OWASPトップ10-Webアプリケーションのリスク管理

Open Web Application Security ProjectであるOWASPは、Webアプリケーションセキュリティの主要なオープンソースコミュニティグループであり、ビジネスポリシーからアプリケーションの脆弱性に至るまで、オンラインアプリケーションに対する最も一般的なセキュリティの課題を示す「トップ10」年次レポートを定期的に発行しています。

たとえば、2013年7月に発行された最新の「トップ10」レポートでは、OWASPは、インジェクションの欠陥が最も高いリスクとして上昇したと述べています。高額のデータ漏洩のリスクがあるため、この種の脆弱性は顧客や企業の情報への不正なアクセスを迅速に引き起こす可能性があります。

このセキュリティの課題は、ビジネスポリシーに照らして入力を検証し、基になるアプリケーションアーキテクチャとは独立した方法でデータ漏洩の疑いがある発信データをスクリーニングできるソリューションの必要性を強調しています。

また、攻撃者が毎年新しいツールや手法を使用して、悪用される可能性のある新しいギャップや抜け穴を特定することは役に立ちません。したがって、ソリューションは、変化するリスクの優先順位に適応するのに十分な俊敏性と、何百万もの顧客とトランザクションを処理する高スループットのWebアプリケーションに対する大規模な攻撃を処理するのに十分に堅牢である必要があります。

従来のWebアプリケーションファイアウォールでは不十分な理由

Webアプリケーションファイアウォール(WAF)およびその他のセキュリティソリューションは、通常、ハードウェアアプライアンスに限定されます。専用のハードウェアボックスでは、単一のセキュリティポリシーメカニズム内で複数レベルの委任管理が許可されないため、クラウドインフラストラクチャに深刻なボトルネックが生じる可能性があります。その結果、従来のネットワークハードウェアに加えて、不要なスペースとリソースを占有する専用のWAFアプライアンス(クライアントアプリケーションごとに1つ)をラックに搭載する必要がある場合があります。その結果、セキュリティは仮想化環境の効率に対する障壁となり、このコストは顧客に転嫁されるため、より多くのアプリケーションをクラウドに移行することが難しくなります。

クラウドでは、インフラストラクチャとサービスが顧客間で共有されます。つまり、クライアントアプリケーションとビジネスユニットの多くが1セットのハードウェアアプライアンスを共有している可能性があります。各アプリケーションには、ポリシー設定、ユースケース、および管理施行要件の固有のレイヤーが必要であるため、セキュリティの維持は非常に複雑になります。たとえば、主要なエンタープライズまたはクラウドプロバイダーには、数千のクライアントアプリケーションがあり、それぞれに可変のポリシー設定があります。このような場合、アプリケーションポリシーとそれらのそれぞれのフィルター設定を管理する必要があります。

理想的な世界では、仮想およびクラウドアーキテクチャの課題に対応できるようにアプリケーションをゼロから設計し、セキュリティ対策を直接統合することで、現在のクラウドアプリケーションアーキテクチャの主要な問題を解決します。それまでは、パブリッククラウドコンピューティングの潜在的かつ経済的なモデルを最大限に活用するには、従来のWebアプリケーションファイアウォールアプライアンスの代替が必要です。

分散Web アプリケーションファイアウォールによるクラウドセキュリティ

クラウド内のWebアプリケーションのセキュリティは、スケーラブルで柔軟性があり、仮想であり、管理が容易である必要があります。以下は、ソリューションで探すべき主要な機能です。

大規模なスケーラビリティ

分散型WAFは、CPU、コンピューター、サーバーラック、およびデータセンターの境界を越えて動的に拡張でき、個別のハードウェアフォームファクターに限定されることなく、個々のアプリケーションの要求を満たすようにカスタマイズできる必要があります。リソース消費は最小限で、検出と強制のスループットに合わせてスケーリングする必要があります。クラウドにはあらゆるサイズと形状があり、アプリケーションのセキュリティプラットフォームは変化する需要に柔軟に対応できる必要があります。

クロスプラットフォームの移植性

データセンターを進化させて変換するときは、さまざまな従来のテクノロジーと仮想テクノロジーを使用するため、セキュリティ戦略は混合環境に対応する必要があります。既存のネットワークへの影響を最小限に抑えながら、既存のシステムと統合できる仮想ソフトウェアアプライアンス、プラグイン、SaaS、またはソリューションを検討してください。

分散管理と委任管理

Webベースのユーザーインターフェイスでは、セキュリティポリシーを管理するためのアクセスを管理者および顧客に委任する必要があります。構成は、保護対象の各アプリケーションに合わせて調整する必要があります。これにより、単一の中央ホストによって定義されるのではなく、アプリケーションごとにさらに細かい設定が可能になります。ルールセットの構成はシンプルで、セットアップウィザードでサポートされている必要があります。統計、ロギング、レポートは直感的で、他のシステムにシームレスに統合する必要があります。さまざまなポリシー適用スキームを効果的に管理できるように、複数管理者権限を利用可能かつ柔軟にする必要があります。あなたは、コア保護のセットを探す必要のための政策を委任する能力を個々のクライアントとアプリケーション。

検出と保護

アプリケーションの要求と応答に、ブラック、ホワイト、グレーのリストを使用して、セキュリティの強力な基盤が必要です。また、セキュリティ管理者の承認なしに新しいポリシーがアクティブ化されないように、検出専用モードで新しいルールセットをテストおよび調整できることも重要です。検出専用のルールセットが安定している場合にのみ、それをクラウドまたはデータセンター内の選択されたアプリケーションにコミットできます。これにより、セキュリティ管理者は、既存のポリシーの施行を犠牲にすることなく新しい階層化ルールセットをテストしながら、ポリシー変更の結果を予測することができます。特に大規模なクラウドアプリケーションでは、誤検知や防御の弱体化を回避することが不可欠です。

自動化された学習とルールセットの推奨事項により、セキュリティチームがポリシーを管理しやすくなり、各ルールセットのアクティブ化と非アクティブ化を完全に制御できます。このレベルの制御がないと、正当なトラフィックがブロックされ、ポリシー設定が侵害される可能性があります。

アプリケーションのシールド

動的なクラウドインフラストラクチャでアプリケーションを強化するには、プロアクティブなセキュリティ機能が不可欠です。検出は、今日のWebアプリケーションのセキュリティには十分ではありません。透過的で安全なセッション管理、URL暗号化、フォームフィールド仮想化などの機能により、アプリケーションの開発とデプロイメントの時間を節約しながら、攻撃に対する強力な抑止力が提供されます。セッション管理、URL暗号化、フォームフィールド仮想化は、アプリケーション自体ではなくebアプリケーションファイアウォールで行われるため、これらの機能は効果的です。

アプリケーションを1つの管理スキーマに統合するのに役立つ認証フレームワークも望ましいです。これにより、アプリケーションの前で認証を処理し、別のセキュリティレイヤーを追加できます。すべてのアプリケーションを専用の権限管理機能で統合することにより、ポリシーの管理を容易にすることができます。

既存のテクノロジーとの統合

ネットワークとアプリケーションのセキュリティの両方でベンダーロックインを回避します。インフラストラクチャまたはアプリケーションを拡張するソリューションは、既存のテクノロジーやビジネスプロセスとシームレスに接続する必要があります。可能な限り最高の保護を作成するには、セキュリティ技術を階層化する必要があるため、分散Webアプリケーションファイアウォールは、セキュリティインシデントおよびイベント管理システム(SIEM)と自由に通信する必要があります。

Web Application Firewall

Web Application Firewall(WAF)は、これらのベストプラクティスをサポートするように設計された純粋なソフトウェアWebアプリケーションファイアウォールです。モジュラー構造のため、クラウドコンピューティング環境に非常に簡単にデプロイでき、アプリケーションレベルのセキュリティのためのスケーラブルなソリューションになります。オンライントラフィックにビジネスルールを適用し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を検査およびブロックしながら、送信トラフィックをフィルタリングしてクレジットカードデータをマスクできます。ソフトウェアは、3つのスケーラブルなコンポーネントで構成されています。

  1. 執行者
  2. 決定者
  3. 管理インターフェース

執行者

エンフォーサは小さなコンポーネントまたはプラグインであり、あらゆる種類のデバイスにインストールできます。デバイスは、Webサーバーやプロキシ(ApacheやMicrosoft IISなど)にすることも、ネットワークファイアウォールやソフトウェアロードバランサーに統合することも、アプリケーション配信コントローラー(ADC)にすることもできます。エンフォーサは、要求データと応答データをDeciderと呼ばれるコンポーネントに送信し、必要に応じて要求と応答を変更します。エンフォーサは、Webアプリケーションファイアウォールがデータを分析してポリシーを実施するためのアダプタです。

決定者

ポリシーエンジンは、エンフォーサモジュールからのデータをチェックし、各リクエストもしくはレスポンスの管理方法を決定します。独自のアーキテクチャにより、1つから多数のCPUコアまでのスケーリングが可能で、水平方向のスケーリングも可能です。決定者はソリューションの計算集中型の部分であり、決定者のワークロードはその背後にあるWebインフラストラクチャの負荷に依存します。ユーザーとアプリケーションがより多くのトラフィックを生成するにつれて、決定者はより多くのCPUリソースを要求します。

管理インターフェース

管理システムを単一のサーバーとしてデプロイするか、完全に分散化してデプロイするかを選択できます。クラスターインストールでは、すべてのクラスターノードを使用して、アプリケーションとそのポリシーを管理できます。この分散型アーキテクチャはノードの障害に対して回復力があり、セキュリティ管理者のグループが個々のアプリケーションポリシーに取り組みながら、詳細な中央監視とアラート機能を提供できます。

統合されたADCの実装

統合されたADC展開では、WAFはサーバーアプライアンス、または仮想またはクラウドインフラストラクチャのVMのいずれかに展開できます。EnforcerとDecidersは、単一のプラットフォームとして管理されるTraffic Managerパッケージ内に共存します。管理GUは、標準を介してアクセスされるトラフィックマネージャコンソールです。

PaaSとSaaSの実装

サービスとしてのソフトウェア(SaaS)は、シンクライアント(通常は標準のWebブラウザー)を介して仮想化アプリケーションへのユーザーアクセスを提供します。ユーザーにとっての利点は、プログラムを所有することの頭痛の種なしにソフトウェアにアクセスできることです。スケーリングとリソース、そしてパッチとアップグレードはすべて処理されます。SaaSアプリケーションは通常、ユーザーごと、使用ごとに課金されます。

サービスとしてのプラットフォーム(PaaS)は、カスタムデータベースを構築するための仮想データベース、ストレージ、プログラミングモデルを顧客に提供します。このサービスは、プラットフォームの背後にあるスケーラブルなリソースを提供し、顧客がアプリケーションの存続期間を通じて成長できるようにします。あらゆる規模の企業にとって効果的なソリューションであり、多くの場合、使用モデルに基づいて課金されます。

共有クラウド(PaaSおよびSaaS)環境では、ロードバランサーとWebサーバーからの多くのエンフォーサープラグインが、別々のVMに展開されたDecider サービスと通信できます。このDeciderサービスの最初のVMが使用可能なCPU リソースの80%に達すると、クラウドの別のインスタンス上の新しいVM が自動的にプロビジョニングされ、起動されてDeciderクラスターに追加されます。Deciderサービスのクラスター全体のCPU使用率が40%を下回ると、Deciserインスタンスがクラスターから自動的に削除され、リソースがクラウドに解放されます。

IaaSの実装

サービスとしてのインフラストラクチャ(IaaS)では、大規模なリソースにアクセスして、完全な仮想ネットワークを構築および管理できます。アプリケーションのワークロードは時間の経過とともに変化するので、顧客はニーズに応じて仮想リソースをコミッションおよびデコミッションできます。顧客は、幅広いインフラストラクチャコンポーネントとサービスレベルアグリーメントからアプリケーション要件を定義し、インフラストラクチャの使用コストをサービス要件に合わせて選択します。

セキュア仮想Webアプリケーションファイアウォールは、IaaSクラウドに同様にデプロイできます。各顧客は、顧客間で共有されない3つのモジュールすべてのプライベートインスタンスを持つことができます。以前と同様に、多くのインスタンスをクラスター化して、より大きなトラフィック需要に対応するためにスケールアップできます。クラウドプロバイダーは、クラウドインフラストラクチャ内で自動スケーリングを提供して、個々のアプリケーションのライフサイクルを追跡することもできます。

大規模アプリケーション

パブリッククラウドに導入された非常に大きなアプリケーションの場合、分散型アプリケーションファイアウォールは、非常に高いトラフィックレベルに動的にスケーリングし、パブリックに面するアプリケーションの変化するトランザクションの要求に対応する必要があります。たとえば、仮想Web アプリケーションファイアウォールは、Amazon WebサービスやMicrosoft Azureグローバルデータセンターでホストされているような分散型クラウドアーキテクチャにデプロイできます。