fbpx

セキュリティ

WalkMeとは?アーキテクチャと合わせて解説します

WalkMe ™—エンタープライズクラスのガイダンスおよびエンゲージメントプラットフォーム—は、ユーザーがソフトウェアまたはWebサイトを使用するときに行動を起こすように促します。WalkMe ™は、さまざまな業界や業種の企業が売上とコンバージョン率の向上、UXの向上、サポートコストの削減、従業員の生産性の向上に使用しています。一連のヒントバルーンを通じて提供される包括的な段階的なガイダンスは、ユーザーが画面から離れたり、ビデオチュートリアルを見たり、退屈なマニュアルやFAQページを読んだりすることなく提供されます。

WalkMe は、カスタマーサービスマネージャー、ユーザーエクスペリエンスマネージャー、トレーニングプロフェッショナル、SaaSプロバイダー、セールスマネージャーなど、プロフェッショナルがオンラインエクスペリエンスを通じて見込み客、顧客、従業員、パートナーを導き、引き付けるために設計されたクラウドベースのプラットフォームです。

続きを読む

DMZとは?構成する際のポイントや導入するべきセキュリティツールを紹介

DMZとは?

DMZ(DeMilitarized Zone)とは「非武装地帯」を意味し、内部ネットワークを外部からの脅威から保護する緩衝地域のことです。
外部からの不正アクセスやマルウエア感染からメールサーバーやWebサーバなどを守るための役割を果たします。

DMZは、プライベートIPアドレスとグローバルIPアドレスを使い分ける技術であるNAT(Network Address Translation)の制限も可能です。
NATには、プライベートIPアドレスとグローバルIPアドレスを1:1で紐付ける静的NAPTと1つのグローバルIPアドレスを複数のユーザーで使い分ける動的NAPTがあります。

上手く使い分けることで、複数人のユーザーが利用しても外部からの不正アクセスのリスクを大幅に軽減することが可能です。
DMZの機能を活かした身近な例として、PS1や任天堂スイッチなどのオンラインゲームでは、ネットワーク接続の際にDMZが利用されています。

DMZを構成するポイント

ファイアウォール、WAF(Web Application Firewall)、IDS/IPS(不正侵入防止)検知システムをセットで導入しましょう。

ファイアウォールの設置

インターネットと内部ネットワークの間にファイアウォールを設置することで、信頼性の低いアクセスやマルウェアを検知した場合は、ファイアウォールがブロックします。
従来は、ファイアウォールとは隔離された位置にDMZを設けていました。

仮にファイアウォールを突破されても、DMZから内部ネットワークへ通信する際には再びファイアウォールを経由するため、1度目で検知できなかったマルウェアや不正アクセスをブロックすることができます。

ですが、近年のサイバー攻撃の多様化や攻撃者の技術向上により、さらに強固なセキュリティ対策を取る必要が出てきました。
セキュリティレベルを上げるために、ファイアウォールをもう1台追加してDMZをサンドイッチする形での構成も増えています。

WAFの導入

WAFは、Webアプリケーションの脆弱性を狙った不正アクセスやサイバー攻撃を防ぐ、アプリ版のファイアーウォールです。
ファイアウォールとの違いは、IPアドレスやポート番号でアクセスの中身を判別するのではなく、シグネチャでアクセスの中身を判断しています。
つまり、攻撃者に見られるアクセスの特徴やマルウェアに見られるデータの有無を確認して、アクセスの良し悪しを判断しているのです。

WAFを導入することで、検知されにくい不正アクセスやサイバー攻撃を防げます。
例えば、個人情報を打ち込む入力フォームを悪用したクロスサイトスクリプティングやSQLインジェクションといった、サイバー攻撃を防ぐことが可能です。

また、アプリケーションに脆弱性が見つかった場合、修正プログラムが配布されるまでの防御壁としても期待ができます。

IDS/IPSシステムも導入

IDS/IPSシステムを導入することで、ファイアウォールでは検知しきれなかったサイバー攻撃をブロックします。
ファイアウォールは、IPアドレスやポート番号から安全な通信か不正な通信かを判断しています。
そのため、内外部の通信を行うLANやWANなどの接続口に設置されることが多いです。

ただし、ファイアウォールはIPアドレスやポート番号が許可されているサイバー攻撃を防ぐことができません。
偽装されたものでも、ファイアーウォールが正常と判断すれば内部ネットワークへのアクセスを許してしまうからです。
例えば、対象のWebサイトやサーバーになりすますDDos攻撃や他人のPCを利用して攻撃を行う協調分散型DoS攻撃、ワームなどのサイバー攻撃を防ぐことはできません。

その点、IDS/IPSシステムは、OSやソフトウェア、ネットワークを中心に不正アクセスやマルウェアなどの異常を検知し、ブロックします。
ファイアウォールでは防げないDDos攻撃や大量のリクエスト送信でシステムダウンに追い込むフラッド攻撃を防ぐのに有効です。

機密情報の保存場所に注意

外部ネットワークと同じセグメントや隣接されたセグメントに、技術データや顧客情報など重要な情報は保存しないでください。
バッファーオーバーフロー攻撃に備えるためです。

バッファーオーバーフロー攻撃は、ターゲット対象のPCにキャパシティ以上のデータを送りつけてシステムダウンに追い込む場合や、OSやアプリケーションの脆弱性を突いて誤作動を起こして悪用するケースがあります。

ファイアウォールだけでは対応できず、内部ネットワークに影響する可能性が十分あるため、企業の機密情報が入ったデータサーバーは、外部とアクセスする公開サーバーと近づけないでください。

DMZの注意点

ファイアーウォールやIDS/IPSシステムを導入してもできないことがあるので、注意してください。

内部ネットワーク感染対応に弱点

ファイアーウォールやIDS/IPSシステムは、外部からの脅威を防ぐために有効なセキュリティツールです。
ただし、内部感染した場合の対応には弱点を抱えており、システムの導入段階でマルウェア感染していた場合や未知の脆弱性を突かれてマルウェア感染した場合などは、DMZにも影響が及んでしまいます。

内部感染した後に対処する機能はファイアウォールやDMZでは不十分であるため、セキュリティレベルを上げるためには複数のセキュリティツールを併用すべきです。

連携サーバーの通信制御

公開サーバーと非公開サーバーが連携している場合、どちらかのサーバーに異変があった場合に、臨機応変に対応してアクセスをブロックするといった対応は取れません。
TCP/UDPポートと呼ばれる通信プロトコルを使用すると、外部から内部ネットワークの侵入ができるからです。

上記の現象を防ぐには、アンチウイルスソフトを導入して被害を食い止めましょう。

DMZ導入で得られる3つのメリット

ファイアーウォールやWAF,IDS/IPSシステムの導入で、どのようなメリットが期待できるのでしょうか。
DMZを導入することで得られるメリットをまとめました。

不正アクセスのリスク軽減

外部に公開されているWebサーバーやメールサーバー、プロキシサーバーなどは外部からの攻撃を受けやすい状況にあります。
インターネット上に公開されているため、技術データや顧客データといった重要な情報がサーバー上に保存されている場合は、攻撃者にとって格好のターゲットになるからです。

ファイアーウォールやIDS/IPSシステムを導入したDMZを設置することで、不正な外部アクセスやマルウェアの侵入リスクを軽減するため、内部ネットワークを外部からの脅威から防げます。

標的型攻撃への対策

攻撃者が企業の情報資産を盗むために特定のターゲットを対象に何度も攻撃を仕掛けることを標的型攻撃と呼びます。
標的型攻撃には取引先を装った社員への偽装メール、システムやPCを使用不可能な状態に追い込むランサムウェアなど、企業に深刻な被害をもたらす攻撃ばかりが揃っています。

WebサーバーをDMZに置いて内部ネットワークと隔離することで、仮に攻撃を受けた場合でも被害を最小化することが可能です。

標的型攻撃の一例

種類 攻撃内容 想定される被害 事例
ビジネスメール攻撃
  • 取引先や経営層を装ったメール
  • 送信元を偽装したメール
  • エクセルやワードなど、添付ファイルへマルウェアを忍ばせたメール
  • アカウントを乗っ取った悪用メール
  • 個人情報流出
  • 企業の機密情報流出
  • 金銭的盗取
  • 日本航空
  • トヨタ紡績
  • キャタピラー
ランサムウェア
  • システムやPCを動作不能な状態に追い込み、復旧させる代わりに多額の身代金を要求
  • 金銭的盗取
  • システム復旧による業務の停滞
  • ビジネス機会の損失
  • WannaCry
  • TeslaCrypt
  • Bad Rabbit
サプライチェーン攻撃
  • ターゲット企業を直接狙わずに、セキュリティレベルの低い企業を起点にターゲット企業の情報資産を盗取
  • ソフトウェアやシステムを開発している企業に不正侵入し、マルウェアを感染
  • 経済的損失
  • 社会的信用損失
  • 個人情報の流出
  • 企業の機密情報流出
  • 三菱電機
  • ぴあ
  • スウェーデン交通局

情報漏洩対策

企業の機密情報をDMZに置き、内外部のネットワークからアクセスを遮断することで、情報漏洩を防ぎます。
仮に社内のネットワークがサイバー攻撃やマルウェア感染したとしても、最小限の被害に抑えることが可能です。

また、悪事を働くような社員がいた場合でも、内部ネットワークから離れているため、容易に機密情報や顧客データを盗み出すことはできません。

DMZが抱える2つのデメリット

人為的ミスの増加やサイバー攻撃への対処には限定的といったデメリットを抱えています。

人為的ミスの増加

内部ネットワーク、DMZ、外部ネットワークの3つのセグメント構成となることから、設定・運用・管理が複雑になります。
外部のネットワークは維持しつつ、内部からDMZのアクセスは遮断する必要があるため、セキュリティ分野への知識や経験が豊富な社員でないと、管理が務まりません。

また、DMZセグメント内のサーバーに変更を加える場合も用途別によって変更する必要があるため、設定の複雑さが原因で人為的ミスを招くリスクが高まります。

サイバー攻撃を完全に防げるわけではない

インターネット上に公開しているWebサーバーやファイルサーバーといった公開用サーバーにDMZセグメントを設けることで、被害の拡散を防げます。
内部ネットワークへのアクセスが遮断されているからです。

ですが、サイバー攻撃そのものを完全に避けれるわけではありません。
もちろん、ファイアーウォールやIDS/IPSシステムは不正アクセスや信頼性の低いアクセスをブロックし、外部からのマルウェア感染のリスクを軽減できます。

ただし、近年ではWindowsのPowershell機能を利用したファイルレス・マルウェアやシステムの脆弱性を狙ったDDos攻撃など攻撃の種類も多様化しています。

DMZのみを利用すればセキュリティ対策が万全というわけではないので、別のセキュリティツールと併用してセキュリティレベルを高めてください。

複数のセキュリティツールの導入を検討するべき

個々のデバイス機器のセキュリティ監視や効率的なセキュリティ運用を実現するセキュリティツールの紹介をします。

EDR

EDR(Endpoint Detection and Response)は、社員の利用するノートPCやスマートフォンなどのデバイス機器をエンドポイントと位置づけ、端末内のセキュリティ監視を行うセキュリティソリューションです。

マルウェアや異常を検知した場合はすぐに管理者に知らせるだけでなく、被害を拡大させないために感染源を隔離する能力も持ち合わせています。
また、感染経路の把握・分析をすることで、自社システム内における脆弱性を発見し、さらなるサイバー攻撃による二次災害を防ぐことが可能です。

サイバー攻撃やアプリやネットワーク上の脆弱性発見といったセキュリティインシデントは、初動対応が非常に重要です。
初動対応を適切に行わないと被害が拡大します。
EDRは、セキュリティインシデントを最小化するために優れたセキュリティツールだと言えます。

SOC

SOC(Security Operation Center)は、企業のシステムやネットワーク上におけるセキュリティ監視を24時間365日行います。
セキュリティ分野の知識や経験に長けた人材確保に悩む企業やコストや人材に余裕のない中小企業におすすめののセキュリティツールです。

SOCは企業が使用しているファイアーウォールや侵入検知システムなどの監視やログ分析を行い、異変やマルウェアの有無を確認します。
また、デバイス機器やネットワーク機器などを一元管理できるシステムを保有しているため、セキュリティインシデントが起きた場合には、素早く対処を行うことが可能です。

SOCはセキュリティ知識や経験豊富な人材から構成されているプロフェッショナル集団であるため、自社のセキュリティ管理を一任できます。
企業にとっては効率的な運用を行えるだけでなく、高いレベルでのセキュリティ対策を実現することが可能です。

組織全体でセキュリティ意識を向上することが大切

今回の記事ではDMZの特徴について紹介してきました。
DMZをはじめとしたセキュリティツールは、不正アクセスやマルウェアといった外部からのサイバー攻撃を軽減し、効率的なセキュリティ運用も可能にしてくれます。
つまり、企業の情報資産を守るために必要不可欠なものです。

ですが、企業全体で情報資産を守る意識やセキュリティインシデントを防ぐ意識を高めないと、情報流出のリスクは軽減されません。
些細なきっかけからでも情報漏洩は起きるからです。

例えば、社員が所属している企業の許可を得ずに自分の私物であるスマートフォンやノートPC,クラウドサービスを業務に持ち込んで、情報漏洩のリスクが高まるシャドーITが、現在問題となっています。

セキュリティ保護が不十分な場所で私物を利用した場合、PC内のデータをハッキングされる場合やIDやパスワードを乗っ取られて悪用されるリスクが、考えられます。

仮に許可されていない私物の持ち込みが原因で情報漏洩につながった場合、企業を解雇されるだけでなく、莫大な損害賠償を求められる可能性があります。
損害賠償額は個人が簡単に賠償できる額ではありません。

全ての社員に可能性があることなので、組織全体で情報資産を守る意識を高める取り組みが必要です。

 

 

IDaaSによる統合アクセス管理

コア製品の機能

IDaaSは、受賞歴のあるSSOおよびID管理プラットフォームにより、現代の企業にスピードと整合性をもたらします。当社のソリューションポートフォリオは、ユーザー、デバイス、アプリケーション間の接続を保護し、企業がアプリポートフォリオ全体でビジネスの完全性と運用速度の新しいレベルを推進するのに役立ちます。

IDaaSは、企業が最大速度で運用できると同時に、洞察とガバナンスを提供し、リスクを軽減する整合性を提供する新しいクラスのソリューションを提供します。この新しいクラスのID管理は、リアルタイムで4つの主要なエンタープライズ要件を満たします。

  • シングルサインオン(SSO)を超えて、サードパーティアプリケーション、認証ソリューション、カスタム統合と簡単に統合できるクラウドベースのディレクトリに拡張します。
  • 企業データに触れるすべてのタイプのユーザー(従業員、請負業者、パートナー、顧客など)全体にリーチを確立します。
  • 導入と使用を容易にするために、ITおよびビジネスユーザーに非常に便利な機能を提供します。
  • すべてのユーザー、デバイス、アプリケーションにわたってビジネスの整合性を確保し、全体的、効率的、安全、かつコンプライアンスに準拠したアクセス制御を提供します。

IDaaSは、シングルサインオン、多要素認証、ディレクトリ統合、ユーザープロビジョニング、数千の事前統合アプリケーションを含むカタログで構成されるオンデマンドソリューションを提供します。IDaaSにより、企業は、クラウドベースのIDおよびアクセス管理(IAM)ソリューションとオンデマンドのシングルサインオン(SSO)サービスを提供するヨーロッパのサービスを使用して、クラウド内およびファイアウォールの内側の両方でアプリケーションへのアクセスを保護および管理しやすくなります。 EUで事業を展開する2つのプロバイダーでホストされています。したがって、IDaaSは、ヨーロッパのデータレジデンシーとコンプライアンス標準に準拠するサービスを提供するとともに、場所の好みの要件にも対応します。

IDaaS UAMプラットフォーム

IDaaSの統合アクセス管理(UAM)プラットフォームは、生産性とコラボレーションを促進するアプリ、デバイス、データのロックを解除するための鍵です。2500以上のお客様と提携して、必要なスマートセキュリティと期待する楽しい体験を提供します。

IDaaS統合アクセス管理プラットフォームは、企業の進化するアクセスニーズを満たすための創造的なオプションを提供する堅牢な機能セットを備えた拡張可能なソリューションです。当社のコアプラットフォームには、シングルサインオン、多要素認証、一元化されたクラウドディレクトリ、ユーザーライフサイクル管理、コンテキストセキュリティポリシー、レポート、および5,000を超える組み込み済みの統合された広範なアプリカタログなどの機能が含まれます。

シングル・サインオン

IDaaSはSAML、OAuth、OpenID 、WS-Trust などの多くの標準をサポートし、エンドユーザーに幅広いアプリケーションへの統一されたアクセスを提供します。IDaaSのシングルサインオンポータルを使用すると、ユーザーは1組の資格情報を入力するだけで、デスクトップ、スマートフォン、タブレットを介して、クラウド内およびファイアウォールの内側にあるWebアプリにアクセスできます。これにより、データを安全に保ちながら生産性が大幅に向上します。IDaaSのポリシー主導のパスワードセキュリティと多要素認証により、許可されたユーザーのみが機密データにアクセスできるようになります。必要な長さ、複雑さ、パスワードの再利用に関する制限などのより厳しいパスワードポリシーを実装できるほか、セッションタイムアウトとパスワードリセットセルフサービスポリシーを使用して、ユーザーを妨げることなく保護を強化できます。

ソーシャルログイン

ソーシャル認証により、エンドユーザーはFacebook、Google +、LinkedIn、TwitterなどのサービスのソーシャルIDを使用してIDaaSにサインインできます。IDaaS SSOポータル内のすべてのアプリにアクセスするためにIDaaSパスワードを作成する必要がないため、これにより、より合理的なエクスペリエンスが提供されます。IDaaS管理者がソーシャルサインインを非常に簡単に実装できるようにしました。この機能は、消費者、メンバー、学生などが使用する外部向けアプリに特に役立ちます。

自己登録

ソーシャルログインの重要な部分は、顧客が自己登録できることです。自己登録はIDaaSプラットフォーム自体で行うことも、RESTful APIを介して顧客の既存のWebアプリケーションと統合することもできます。

モバイル

顧客がモバイルワーカーをサポートできるように、IDaaSはSAMLとパスワード同期の組み合わせを介してネイティブ常駐アプリと統合します。SAMLをサポートするネイティブ常駐アプリは、IDaaSのシングルサインオンで自動的に動作します。SAMLをサポートしない他のアプリケーションは、フォームベースの認証を介して統合されます。つまり、ユーザーはSSOパスワードを使用してモバイルアプリにサインインできます。IDaaSのネイティブアプリケーションでは、ユーザーは外出中にフォームベースの認証、SAML、およびWS-Federationを使用してアプリにサインインできます。

IDaaSアプリカタログ

IDaaSの5,000を超える事前統合アプリケーションのカタログにより、エンタープライズアプリケーションのシングルサインオンとユーザープロビジョニングを簡単に実現できます。IDaaSは積極的に統合を維持し、新しいものを毎日追加します。

クラウドディレクトリ

IDaaSは、API、直感的なWebベースのインターフェースを備えたクラウド内の安全なディレクトリとして機能し、ユーザー、マネージャー、グループの関係、認証ポリシーなどを管理できます。組織階層を維持し、リアルタイムで他のアプリやディレクトリと同期される独自のカスタムユーザーフィールドでユーザーオブジェクトを拡張します。

IDaaSは、Active DirectoryおよびLDAPコネクタを介して、複数のフォレストとドメインを持つ複雑なディレクトリインフラストラクチャに簡単にプラグインできます。

1分間のActive Directoryコネクタのインストール-ADCをWindowsサービスとして展開するWindows実行可能ファイルをダウンロードすることにより、IDaaSのリアルタイムActive Directoryコネクタ(ADC)がインストールされるため、Windowsの再起動後に手動で再起動する必要はありません。ADCはプロキシに対応しており、ファイアウォールを変更することなく展開できます。IDaaSへのすべての通信は、ユーザー同期と委任認証の両方でTLSを介して行われます。

  • 高可用性-IDaaSは各ADCのヘルスステータスを維持します。高可用性を実現するために、複数のサーバーに複数のADコネクタをインストールすることもできます。接続に失敗した場合、IDaaSは次に試行します。また、ドメインディスカバーもサポートしています(ドメインコントローラーがオフラインになった場合、ドメイン内で別のドメインコントローラーを検出して接続を維持できます)。
  • リアルタイムのユーザー同期-リアルタイムのユーザー同期とは、Active Directoryでユーザーが作成、更新、または無効にされると、変更が即座にIDaaSにプッシュされ、ユーザーの更新がそれぞれのクラウドアプリに反映されることを意味します。これにより、時間と労力を大幅に節約できるだけでなく、従業員が退職する際の効果的な「キルスイッチ」としても機能します。
  • 強力な管理機能-Active DirectoryはIDaaS内で強力な新機能を転送します。たとえば、Active Directoryの任意の属性をアプリケーションまたはポリシーの割り当てのインジケータとして使用したり、ユーザーのアクティブ化などの一括操作を実行したりできます。
  • 任意のディレクトリ属性のマッピング-少なくとも、IDaaSは電子メールアドレス、SAMアカウント名、distinguishedName 、およびメンバー(つまり、セキュリティグループメンバーシップ)を同期します。IDaaSでカスタムフィールドを作成し、Active Directory属性をそれらのフィールドにマップして、ダウンストリームアプリに同期します。
  • 複雑なディレクトリインフラストラクチャ-複数のディレクトリを持つ組織にとって、IDaaSは、いくつものActive DirectoryとLDAPディレクトリの統合を可能にし、それらを他のアプリケーションへの統合ディレクトリとして提供するため、真の命の恩人です。ほとんどのアプリケーションは顧客ごとに1つのディレクトリとのみ統合できますが、IDaaSのディレクトリ統合機能とSAMLの組み合わせはこの制限を克服します。

IDaaSへのユーザーの入力

IDaaSは、ユーザーをIDaaSのクラウドディレクトリに追加するさまざまな方法を提供します。

ADC経由:

ADCは、以下を介してIDaaSとシームレスに統合することにより、Active Directoryを会社が使用するクラウドアプリケーションと密接に結び付けます。

  • Active DirectoryのすべてのユーザーアカウントをIDaaSにコピーするため、手動でインポートする必要はありません
  • 新規および更新されたユーザーのActive Directoryを継続的に監視し、IDaaSでそれらのユーザーを即座に作成/更新します
  • ユーザーがIDaaSにログインしようとしたときに、Active Directoryの認証情報でユーザーを認証します
  • ユーザーがActive Directoryから削除された後、IDaaSからオプションでユーザーを削除または一時停止します
  • IDaaSでアプリケーションアクセスを提供するロールにユーザーをマッピングします
  • 特定の範囲のIPアドレスのドメインのユーザーにシングルサインオンを提供します
  • Active Directoryコネクタは、Active Directoryに対するIDaaSユーザー認証を管理し、Active Directory(AD)とIDaaS間のユーザーのリアルタイム同期を提供します。Active Directoryコネクタは、デスクトップSSO実装のリダイレクトサービスとしても機能します。これは、ポート443での発信SSL接続です。

IDaaSを使用して、企業LANの外部からADパスワードをリセットする場合、IDaaS ADコネクタに昇格された特権を付与して、ADに書き戻すことができます。

LDAP経由:

内部ディレクトリをクラウドアプリケーションと統合することは、IT管理者を苛立たせ、組織全体のメンテナンスの頭痛の原因となる、高価で扱いにくいプロセスになる可能性があります。IDaaSのLDAP統合は、わずか1分で完了することができるノータッチインストールプロセスにより、使いやすさの新しい標準を設定します。

  • 1分間のインストール:LDAPコネクターは、WebSphere、WebLogic、JBossなどのJavaコンテナーにデプロイできるJava Archive(JAR)ファイルをダウンロードすることによってインストールされます。または、javaまたはjre を使用してシェルから単純に実行することもできます。
  • ファイアウォールの変更は不要:LDAPコネクタは、IDaaSと通信するためにファイアウォールの変更を必要としません。これは、すべての通信が2つの別々のアウトバウンドSSL接続で実行されるためです。
  • 高可用性:LDAPコネクターは、ドメインごとに複数のLDAPサーバーが存在する高可用性モードもサポートします(図2を参照)。LDAPサーバーごとに複数のLDAPコネクターをインストールできます。これらはすべてIDaaSに同時に接続されます。1つのコネクターが1次コネクターとして指定されています。IDaaSがプライマリコネクタに到達できない場合、セカンダリコネクタの1つが自動的にプライマリに昇格します。
  • ユーザーの自動同期:LDAPでユーザーが作成、更新、または無効化されると、変更は数分以内にIDaaSにプッシュされます(デフォルトでは、LDAPディレクトリの変更が5分ごとにスキャンされますが、この間隔はコマンドラインオプションとして構成できます。 )
  • 完全なLDAP属性マッピング:少なくとも、IDaaSは電子メールアドレス、ユーザー名、およびグループメンバーシップを同期します。IDaaSを設定して、追加のフィールドを同期し、カスタムフィールドにマッピングすることもできます。管理者が明示的にこの機能を有効にしない限り、IDaaSはLDAP からのパスワードを同期しないことに注意してください。
  • LDAPグループ:IDaaSは、ユーザーグループメンバーシップを自動的にインポートします。これを使用して、ユーザーへのアプリケーションの割り当てを自動化できます。これは、IDaaS構成内でルールを表現できるようにする強力なルールベースのマッピングを介して行われます。

G Suiteディレクトリ経由:

IDaaSとG Suite(以前のGoogle Apps)の統合により、既存のG Suiteユーザー管理システムと会社で使用されているウェブベースのアプリケーションが緊密に連携し、G SuiteアカウントをルートとするIdentity and Access Managementシステムが提供されます。これは、以下によって実現されます。

  • ユーザーアカウントをG SuiteからIDaaSにインポートするため、手動でインポートする必要はありません。
  • 新規または更新されたユーザーのG Suiteを継続的に監視し、IDaaSでそれらのユーザーを即座に作成/更新します。
  • ユーザーがG SuiteアカウントでIDaaSにログインできるようにします。

G Suite SAMLコネクタと一緒に使用すると、G Suite Directory ConnectorはIDaaSとG Suite間のリアルタイムの双方向統合を作成し、ユーザーが追加されるたびにIDaaSを更新したり、G Suiteで更新されたり、ユーザーが追加されるたびにG Suiteを更新したりできますまたはIDaaSで更新されました。

IDaaS VLDAP

IDaaS VLDAPを使用すると、LDAPサーバーを実行する必要がなくなります。IDaaSのクラウドディレクトリにLDAPインターフェイスを追加し、高可用性、スケーラブルなLDAPサービスを提供します。

インストールやメンテナンスの必要がないため、優先度の高いイニシアチブに集中できます。 さらに良いことに、これはIDaaS OTPと統合されており、LDAPに安全な多要素認証をもたらします。

クラウドにおける仮想LDAPの生活IDaaSが、それは、現代の企業がクラウドサービスの組み合わせを持っていることを実現して設計されており、ファイアウォールの背後にあるオンプレミスインフラ生活だ- これはいつでもすぐに変更するつもりはないということ。これをハイブリッドエンタープライズと呼びます。

この現実に対処するため、IDaaS VLDAPはVPN、ネットワーク接続ストレージ(NAS)、古いWeb サーバー、オフィスのWiFi と統合され、Azure AD、Workday、Google AppsなどのクラウドディレクトリのIDを使用できるようにします。または、オンプレミスのActive Directoryと既存のLDAPサーバーからのIDを統合することもできます。また、ITの心臓部であり、認証の唯一の信頼できる情報源としてLDAPを引き続き使用できます。

多要素認証

ユーザー名とパスワード以外の2番目の認証要素を使用して、企業のVPNとWiFi 、G Suite、Office 365、Salesforce.com、数千のクラウドアプリケーションへの安全なアクセス。した場合には、誰かがユーザーの資格情報を盗む、ワンタイムパスコード・トークンの追加は、アクセス侵入者防止するための大きな障壁です。IDaaS Protectは、Android、Android Wear、Apple iOS、Apple watchOSで利用できます。

IDaaS Protectにはプッシュ機能があり、これは帯域外認証ソリューションとしても機能し、中間者攻撃を防ぐのに役立ちます。ユーザーはボタンを押すだけでOTPコードを送信できます。

適応認証

IDaaS適応認証は、機械学習を使用して、ユーザーに多要素認証(MFA)を要求するかどうかを決定します。ネットワーク、デバイス、地域、時間などの幅広い入力を使用して、新しいログイン試行のリスクをスコアリングするユーザープロファイルを作成します。リスクスコアが高いログイン試行では、IDaaS Protectまたはサードパーティの認証プロバイダーからの多要素認証が求められます。たとえば、ユーザーが外出時にワンタイムパスワード(OTP)を要求するようにユーザーポリシーを設定し、そのユーザーが定期的に自宅で仕事をしている場合、適応認証は同じIPアドレス/ブラウザ/ OTPを使用するオペレーティングシステムからの定期的なログインのパターンに気づきます。最終的に、ユーザーはMFAなしでそのIPアドレス/ブラウザ/オペレーティングシステムの組み合わせからログインできます。ただし、そのユーザーが不明なIPアドレスからログインする場合、2番目の認証要素を提供する必要があります。

静的ルールは、ユーザビリティとセキュリティの最適なバランスを常に提供するとは限りません。たとえば、企業のWi-Fiを利用しているからといって、ユーザーのログインが安全であるとは限りません。逆に、ホームオフィスのリモートワーカーは、そのデバイス上でのユーザーの位置と動作について信頼が築かれているため、完全に信頼できます。IDaaSの機械学習は、場所やデバイス上でのユーザーの行動を追跡し、認証の決定をリアルタイムでリスクスコア付けし、多要素認証をトリガーするために使用できる行動プロファイルを構築します。適応認証は、IDaaSがサポートするすべてのMFAプロバイダーとメソッドで機能します。

  • IDaaS Protect for iOS and Android
  • Windows PhoneおよびWindowsデスクトップ用のIDaaS OTP
  • IDaaSのセキュリティに関する質問
  • Duoのセキュリティ
  • Google認証システム
  • Symantec VIP Access
  • Yubico Yubikey
  • RSA SecurID
  • Vasco Digipass およびIdentikey
  • FireID セキュリティ
  • SafeNet認証マネージャー
  • スイベルセキュアPINsafe

IDaaS ProtectのOTPジェネレーターは、ユーザーがログインプロセス中にスマートフォンまたはプッシュウォッチでプッシュ通知に応答するだけで、多要素認証(MFA)からの摩擦を取り除きます。IDaaS保護OTP(ワンタイムパスワード)は、電話を介してIDaaSに送信され、そこで検証されてユーザーがログインします。ユーザーのモバイルデバイスがインターネットに接続されていない場合、ユーザーはIDaaSアプリポータルのワンタイムパスワードを入力できます。IDaaSが有効なワンタイムパスワードを受信するとすぐに、ユーザーはログインします。

簡単なロールアウト

まず、ユーザーはAppleおよびAndroidアプリストアで入手できるIDaaS Protect OTPモバイルアプリをインストールします。次に、ユーザーはIDaaS App Portalにサインインし、指示に従ってモバイルアプリケーションインスタンスをIDaaSアカウントに登録します。登録すると、ユーザーはIDaaSにサインインするときに有効なワンタイムパスワードを入力できます。

認証方法としてIDaaS保護が有効になっている場合、ユーザーが初めてIDaaSにログインしたときに、セットアップが自動的に起動します。

  1. モバイルデバイスでApp Storeを起動し、IDaaS Protectを検索して、インストールして起動します。
  2. 別のデバイスで、IDaaSにログインします。
  3. プロンプトが表示されます。IDaaS Protectを選択します。
  4. QRコードが表示されます。モバイルデバイスからコードをスキャンしてセットアップします。

アルゴリズム

IDaaS ProtectのOTPソリューションは、RFC 6238 — VeriSign、Symantecなどによって設計された時間ベースのワンタイムパスワードアルゴリズム(TOTP)に基づいています。RFCでは、クロックが同期された2つのエンドポイントがHMAC アルゴリズムに基づいて安全なワンタイムパスワードを交換する方法について説明しています。ワンタイムパスワードは30秒間有効ですが、アルゴリズムの実装により、ソリューションの信頼性を高めるために、モバイルデバイスでの時間ドリフトを許容できます。

アイデンティティとライフサイクル管理

SCIM、JIT、およびAPIベースのプロビジョニングのサポートを通じて、IDaaSはオンボーディングおよびオフボーディングプロセスを自動化し、人間の関与を減らし、役割、部門、場所、役職、およびその他の属性に基づくアクセス制御を合理化します。HCMやレガシーディレクトリ(Active Directoryなど)の変更は数秒以内にダウンストリームアプリケーションに同期され、露出を最小限に抑えるのに役立つ効果的なユーザー終了スイッチが提供されます。

アプリケーションでユーザーを手動で作成、更新、削除すると、多大な労力とエラーが発生しやすくなります。IDaaSは、リアルタイムのユーザープロビジョニング、インポート、マッチング、重複排除、およびIAMディレクトリへのジャストインタイムプロビジョニングを行うことで支援できます。

IDaaSのエンタイトルメントを備えたリアルタイムのユーザープロビジョニングは、Salesforce、AWS、O365、ServiceNow、WebEx、Box、Dropbox、EchoSign、Google Apps、GoToMeeting、RemedyForce 、Zendesk など、さまざまなアプリケーションのこのプロセスを自動化および合理化します。IDaaSは、ロール、プロファイル、グループなどのユーザー資格を制御するための柔軟なルールを提供します。以下のSFDCロールベースのプロビジョニングの例をご覧ください。

IDaaSユーザープロビジョニング

  1. 従業員、請負業者、顧客
  2. salesforseによるAttributeとグループのフィルタリング
  3. Profile:販売:yesware
    Profile:ヘルプデスク:BMC Recedyforce
    Profile:コミュニティ:salesforce community cloud
    許可のセット:CPQ:STEEL BRICK
    許可のセット:分析:+ ableau

ライフサイクル管理

  • 一元化されたクラウドディレクトリ
    Active Directory、LDAP、Workday、Googleアプリケーションなど、任意の数のディレクトリとユーザーを同期します。ADまたはGoogleからIDaaSおよびその他のアプリケーションへのユーザーを数秒以内に作成、更新、削除、および一時停止します。リアルタイムの同期により、オンボーディングがより効率的になり、ITが不正なユーザーにキルスイッチを提供します。
  • リアルタイムのユーザープロビジョニング
    自動化されたオンボーディングおよびオフボーディングプロセスは、単一のディレクトリからすべてのアプリケーションへの従業員のアクセスを管理します。初日のユーザーのエンタイトルメントに基づいて、適切なすべてのアプリケーションへの自動ユーザープロビジョニングを取得し、ユーザーの役割が変更されたときに自動的にアクセスを変更し、必要に応じてアクセスを取り消します。
  • 柔軟な資格マッピング
    自動ユーザープロビジョニングは、ライセンスと資格も自動化します。ライセンスと資格の定義は、IDaaSのIDプロビジョニングシステムに基づいて、アプリケーションに自動的に割り当てられ、ユーザーにプロビジョニングされます。
  • すべてのアプリケーションに対して1つのセキュアなSSOポータル
    IDaaSのシングルサインオンポータルユーザーは、1組の資格情報を入力するだけで、デスクトップ、スマートフォン、タブレットを介して、クラウド内およびファイアウォールの内側にあるWebアプリケーションにアクセスできます。ログインのポリシーベースのアクセス制御、および場所、アプリケーション、ユーザー特権レベルに基づくパスワードのリセットにより、増大する攻撃から組織を保護します。
  • 一元化された監査証跡
    IDaaSの監査証跡は、すべてのユーザーの変更とアクティビティを記録します。これは、強力な統計や遡及的なフォレンジックに使用できます。
  • リアルタイムのユーザーのプロビジョニング解除
    ユーザーのプロビジョニング解除またはオフボーディングは、元従業員からの企業データへの不正アクセスを防ぐために重要です。Active Directoryのリアルタイムユーザー同期により、ユーザーを無効にすると、数分または数時間ではなく、数秒以内にターゲットアプリケーションで有効になります。

柔軟な管理役割と特権

IDaaSは柔軟な管理ロールと特権を許可します。つまり、IT管理者はユーザーにアカウント、グループ、または特定のユーザーを管理する権限を与えることができます。これは、LOBマネージャーが自分のグループとユーザーを管理できることを意味します。IDaaSは、中央IT管理者にLOBマネージャーに追加の自由と責任を与える権限を与えますが、それらの特権をいつでも取り消す権限を与えます。管理者は、ユーザーが自分のアカウントで何を見ているかを確認できる「想定ユーザー」機能を気に入っています。

きめの細かいポリシー制御

IDaaSを使用すると、ユーザーは企業ネットワーク外にいる場合などに、制限されたIPアドレスに基づいてターゲットアプリケーションへのアクセスを制限したり、不明なブラウザーからの追加認証を要求したりできます。IDaaSを使用すると、管理者はアプリの管理をユーザー管理から切り離すこともできます。たとえば、管理者は、アプリへのアクセス権の付与とは関係なく、特定のユーザーにセキュリティポリシーを割り当てることができます。

また、IDaaSを使用すると、管理者はActive Directoryグループと正確に相関するかどうかに関係なく、アプリケーションアクセスの論理構造を定義できるため、オンプレミスのセキュリティアクセス許可を変更することなく、ルールを数秒で作成および書き換えることができ、その方法に完全な柔軟性を提供しますオンプレミスのADモデルを変更したり遵守したりすることなく、クラウドアプリのアクセスを管理したい。この例として、外部のグラフィックデザイナーのプロビジョニングがあります。彼が社内の従業員である場合、彼はActive Directoryのマーケティンググループに属します。ただし、請負業者は内部のマーケティングチームのアプリケーションのサブセットにアクセスできるようにしたいだけです。さらに、社外コンサルタントには、正社員よりも厳しいセキュリティポリシーを課したいと考えています。管理者は、Active Directoryを変更して、この要件をサポートするまったく新しい権限構造を作成する必要はなく、ADの外部のIDaaSでこれを行うことができます。これは、LOBに多大な影響を及ぼします。

パスワードのリセット

IDaaSを使用すると、ユーザーはリモートでパスワードをリセットできます。IDaaSは、電子メール、SMS、または一連の質問に基づいてユーザーを確認し、ユーザーの身元を確認します。SSOログインにオペレーティングシステムログインを使用することで、ユーザーのサインインが簡素化され、サービスデスクの負荷が軽減されます。通常、パスワードのリセット要求はサービスデスクの負荷の20〜30%を占めるため、ITがより価値の高いアクティビティに集中する時間を確保できます。

IDaaS Active Directory Connectorにユーザーパスワードの変更と同期を容易にする権限を付与すると、パスワードの有効期限が切れているかアカウントがロックされている場合、IDaaSポータルからパスワードを変更するように求められます。ユーザーには、簡単に実行できるワークフローが表示され、現在のパスワードと新しいパスワードを2回入力するように求められます(ドメインの資格情報を変更するときにユーザーがデスクトップワークステーションで体験するのと同様)。新しいパスワードが確認されると、IDaaSはActive Directoryで一致するようにユーザーのパスワードを変更し、IDaaSでパスワードプロビジョニングが設定されているすべてのアプリケーションにこれをプロビジョニングします。さらに、ユーザーがパスワードの有効期限が切れる前にパスワードを変更したい場合は、IDaaSにサインインして、IDaaSポータルからいつでもパスワードを変更できます。

IDaaSは、エンドユーザーにActive Directory(AD)パスワードを変更するように自動的に要求します。

  • ADでユーザーのパスワードの有効期限が切れると、次回IDaaSにログインするときにパスワードを変更するように求められます
  • ユーザーはIDaaSポータルで[パスワードの変更]を選択することにより、IDaaSを介して積極的にADパスワードを変更できます
  • ユーザーがポータルを介してパスワードを変更すると、IDaaSは、パスワードプロビジョニングがアクティブになっているADおよびすべてのクラウドアプリケーションとパスワードの同期を維持します

人事主導のアクセス管理

従業員のアイデンティティ管理は、ITとHRの共同責任です。IDaaSによるクラウドベースの人事主導のID管理により、企業は、HRMS内で従業員データを正確に維持するという人事の役割の恩恵を受けます。次に、そのデータは自動的にIT関連機能に拡張され、ITがすべてのHRシステム、ITディレクトリ、およびアプリケーションへのアクセスを制御および監視できるようになります。

従業員にとって、必要なアプリケーションへの迅速なアクセスは、集中型アクセスポータルから簡単かつ安全です。手動のユーザープロビジョニングと従業員が管理するアプリパスワードは、絶対確実なものではありません。

IDaaSのクラウドベースのソリューションにより、ITチームは面倒な統合プロジェクトを回避し、迅速に統合できます

  • 就業日
  • UltiPro
  • Namely
  • BambooHR

IDaaSのユニバーサルクラウドディレクトリと、Active Directory、LDAP、G Suiteを含むその他のITディレクトリ。

IDaaSで定義されたリアルタイムの従業員ステータスとカスタマイズされたセキュリティポリシーに基づいて、アプリケーションへの従業員アクセスを即座に許可および取り消します。会社のデータと従業員のPIIは、アクセスセキュリティの層が追加されているため、より安全です。

IDaaSアクセス

IDaaS Accessは、オンプレミス、リモートデータセンター、プライベートクラウド(まとめて「顧客管理」)でホストされているWebアプリケーションへのアクセスを制御するクラウド管理サービスです。顧客は、クラウドアプリケーションに使用されるものと同じIDaaS管理ユーザーインターフェイスとAPIを使用して、ソリューション構成とアプリケーションアクセスポリシーを管理します。内部アプリケーションとクラウドアプリケーションの両方へのアクセスを管理するこの統一されたアプローチは、全体的な管理を大幅に簡素化し、コストと複雑さを軽減すると同時に、セキュリティとユーザーエクスペリエンスを向上させます。世界中の場所に関係なく、商用、オープンソース、およびカスタムの顧客管理アプリケーションへのアクセスは、統合クラウドポータルからユーザーに提供されます。

IDaaS Accessは、高速で遅延の少ないネットワーク上のローカルポリシーサーバーを持つエージェントを必要とする、おしゃべりなレガシーWebアクセス管理ソリューションによって課せられた制限を取り除きます。IDaaSは、構成、ポリシー管理、およびポリシー配布ポイントです。構成とポリシーはIDaaSからローカルの実施ポイント(顧客管理アプリケーションのゲートキーパー)に配布されます。

アクセス実施ポイント

エンフォースメントポイントと呼ばれる軽量のIDaaS Accessソフトウェアコンポーネントは、IDaaS からダウンロードされ、アプリケーションが存在するローカルネットワークにインストールされます。実施ポイントは、HTTPリバースプロキシを含むゲートウェイタイプ、またはApache、IIS、Java EEなどの顧客のWebサーバーと統合するエージェントタイプにすることができます。

実施ポイントの各インスタンスはIDaaSで一意に識別されます。施行ポイントは、起動時に自己登録し、安全でファイアウォール対応の接続を使用して、IDaaSから構成、ポリシー、およびソフトウェアの更新を自動的に取得します。

Access Enforcement Pointにより、IDaaSは、CA SiteMinderやOracle Access ManagementなどのレガシーIAMソリューションと同じ方法で、ファイアウォールの背後にあるアプリケーションのヘッダーベースの認証を容易にします。

Enforcement PointとSiteMinderのような本格的なWeb Access Management(WAM)製品との違いは、それが非常に軽量で、IDaaSのクラウドバックエンドにすでにあるすべてのIDaaS機能を利用していることです。 ユーザーの認証、多要素認証の実施、IDの管理、リスクスコアリング、イベントロギングはすべてクラウドで行われます。

図2に示すように、実施ポイントはユーザーアプリケーションセッションを管理し、SAML認証要求とIDaaSへの応答を処理し、アクセスポリシーの評価と実施を実行し、ローカルおよびIDaaSのセキュリティイベントを記録します。認証が必要な場合、SAMLリクエストはエンフォースメントポイントによってアイデンティティプロバイダーであるIDaaSに送信されます。IDaaSは、IDaaSで利用可能な多数のIDおよび認証サービスのいずれかを含む顧客定義のポリシーを使用して認証を処理します。次に例を示します。

  • お客様のActive DirectoryまたはLDAPサーバーでの認証
  • IDaaS Protectおよびプッシュ通知を含む多要素認証
  • 行動分析に基づく適応認証
  • サードパーティのIDプロバイダーを使用するための信頼できるIdP

実施ポイントは、IDaaSからのSAML応答を処理し、固定タイムアウトと非アクティブタイムアウトでアプリケーションセッションを作成し、IDアプリケーションを有効にする安全なHTTPヘッダーを設定します。HTTPヘッダーは、SAML応答で実施ポイントに渡されます。

ヘッダー名を簡単にカスタマイズして、アプリケーションの既存のHTTPヘッダー(SiteMinder、Oracle Access Manager、TAMなどのレガシーソリューションによって設定されたものなど)に対応させます。たとえば、ユーザーID HTTPヘッダーをSiteMinderのSM_ ユーザー名に設定できます。

実施ポイントは、ヘッダーインジェクションを処理し、クラウドベースのバックエンドと通信するリバースプロキシを含むDockerコンテナーです。コンテナーはIDaaSのクラウドバックエンドへの送信TLS接続を維持します。これにより、管理者はIDaaSの管理ユーザーインターフェイスを介して構成の更新をプッシュできます。

Dockerコンテナは非常に軽量であり、リバースプロキシ機能だけでなく、ユーザー認証やアプリ設定の取得のためにユーザーをIDaaSのクラウドバックエンドにリダイレクトする役割のみを果たします。

Docker

Dockerは、Docker、Incによって開発された、オペレーティングシステムレベルの仮想化(コンテナー化とも呼ばれる)を実行するコンピュータープログラムです。Dockerは主にLinux用に開発され、cgroups やカーネル名前空間などのLinuxカーネルのリソース分離機能を使用します。また、OverlayFS などのユニオン対応ファイルシステムを使用すると、独立したコンテナーを単一のLinuxインスタンス内で実行できるため、仮想マシンの起動と保守のオーバーヘッドを回避できます。

システム要求

UCPおよびDTRノードのサイジングに関するベストプラクティスガイドにいくつかのガイダンスを提供します。ワーカーノードは通常、コンテナーが実際に実行される場所なので、より堅牢なサイズになります。

Dockerの一般的なガイドラインは次のとおりです。

  • 8vbのメモリと20GBのディスク容量を備えた2vCPUはUCPノードに適しています
  • 16GBのメモリと20GBのディスクを備えた4vCPUは、DTRの高度なノードに適しています(レプリカ間で共有ストレージを使用)
  • ワーカーノード用に64GBのメモリを搭載した4vCPUまたは8vCPU

プラットフォームサポート

Dockerは、Docker CloudやAmazon AWSなどのクラウドサービスを含む、幅広い開発およびエンタープライズホスティング環境をサポートしています。2つの主要なバージョンがあります。

  • Community Edition(CE)-シンプルで古典的なオープンソースのDockerエンジン。
  • Enterprise Edition(EE)-CEと同じですが、プラットフォームの認定とDocker Inc.によるサポートが提供されます。

Dockerは、ほとんどすべての一般的なLinuxオペレーティングシステム、Mac、およびWindowsで実行できます。 ホストオペレーティングシステムのサポートの完全なリストが提供されます。

IDaaSデスクトップ

IDaaSデスクトップは、パスワードなしの作業環境とクラウド向けに最適化されたITインフラストラクチャに向けたもう1つのステップです。

Active Directoryは、誰もがファイアウォールの背後にあるオフィスのPCで作業していた当時は良好でした。IT部門は、一連のPC全体に適用されるActive Directoryのパスワードポリシーを構成できます。

今日の写真は大きく異なります。企業はますますMacを使用し、請負業者を雇い、従業員がリモートで作業できるようにしています。また、クラウドコンピューティングにより、企業ネットワークにめったにない分散した労働力が可能になりました。その結果、ラップトップの大部分はActive Directoryに対して認証されません。つまり、これらのデバイスの古いパスワードまたは脆弱なパスワードです。クラウドで生まれ、Active Directoryさえ持っていない企業も同様です。

IDaaS DesktopはMacとPCをIDaaSのクラウドディレクトリにバインドし、ユーザーがどこにいてもライブディレクトリに対して常に認証されるようにします。

IDaaSデスクトップの主な利点:

  • クラウドアプリ用のクラウドディレクトリ
    クラウドで運用する企業にとって、ADはファイアウォールの反対側にあります。デスクトップはIDaaSのクラウドディレクトリに対してラップトップを認証します。最新のAPIがあります。
  • ADライセンスの節約
    IDaaS Desktopでは、すべてのデバイスのADライセンスを購入する必要はありません。
  • SSOエクスペリエンスの向上
    ユーザーがラップトップにサインインすると、自動的にIDaaSにサインインします。2回サインインする必要はありません。覚えておくべきパスワードが少ないです。
  • 信頼できるデバイスへのアクセスを制限する
    PKI証明書を使用すると、IDaaSへのアクセスを、IDaaS Desktopがインストールされ、IT部門によって認可されているデバイスのみに制限できます。
  • もう1つのパスワードを削除
    ユーザーはIDaaSパスワードを使用してラップトップにサインインするため、ラップトップ用の個別のパスワードが不要になり、セキュリティの危険性が軽減されます。
  • データ漏洩防止
    デバイスが紛失または盗難に遭った場合、IDaaS Desktopを使用すると、管理者はデバイスに保存されているデータへのアクセスを禁止できます(IDaaS Desktop Proでのみ利用可能)。

IDaaSデスクトッププロ

IDaaS Desktop Proは、新しい種類のエンドポイント管理です。ラップトップまたはデスクトップコンピューターをIDaaS Cloud Directoryに登録し、IDaaS Cloud Directoryの認証情報でのみアクセスできる安全なプロファイルをマシンに作成します。

新しい安全なプロファイルに入ると、資格情報を再度入力しなくても、Webアプリやデスクトップアプリに自由にアクセスできます。つまり、オペレーティングシステムにログインすると、IDaaSアプリケーションポータルや、SAML対応のウェブアプリやデスクトップアプリにアクセスするために再度ログインする必要はありません。

主な機能
  • 統一アクセスポリシー
    デバイスとセキュリティポリシーの管理をすべて1か所で簡単に行うことができます。新しい従業員のオンボーディングと元従業員のオフボーディングを簡単かつ迅速にします。

    • IDaaS Desktop:OK
    • IDaaS Desktop Pro:OK
  • VPNフリー
    アクセスにVPNは必要ありません。ユーザーの生産性と満足度を高めるために、ダウンロードを高速化し、ラップトップのバッテリー寿命を延ばします。

    • IDaaS Desktop:OK
    • IDaaS Desktop Pro:OK
  • Active DirectoryとLDAPの統合
    IDaaSのADおよびLDAPコネクタを使用して、ファイアウォールの背後にあるADまたはLDAPに認証を安全に委任します。

    • IDaaS Desktop:OK
    • IDaaS Desktop Pro:OK
  • PKIによる強力な認証
    IDaaS Desktopは強力な認証のために各PCまたはMacに一意の証明書を発行します。これは、デバイスを紛失した場合に管理者が取り消すことができます。

    • IDaaS Desktop:OK
    • IDaaS Desktop Pro:OK
  • デバイス認証
    ユーザーは、起動時にIDaaSパスワードとロック画面でPCまたはMacにサインインします。

    • IDaaS Desktop:NG
    • IDaaS Desktop Pro:OK

レポートとインテリジェンス

IDaaSは、ユーザーの動作、アプリケーションの使用、および潜在的に不正な使用を分析するために使用できるいくつかの標準レポートを提供します。カスタムレポートは、ユーザー、アプリ、イベント、ログインの4つの標準レポートタイプに基づいて、ゼロから作成できます。セキュリティ担当者は、失敗した削除、保留中の承認の削除、失敗の変更、保留中の承認の変更、プロビジョニングの失敗、プロビジョニングの保留中の承認など、プロビジョニングタスクの保留中や失敗など、ログに記録されたプロビジョニングイベントに関するレポートを実行できます。

同じレポートタイプに基づいて、カスタムレポートをいくつでも作成できます。デフォルトでは、レポートには、そのレポートタイプで定義されたデータセット内のすべてのレコードがリストされます。たとえば、User Detailsレポートタイプには、IDaaSアカウントのすべてのユーザーがリストされます。必要なレコードのみをフィルタリングする1つ以上の条件を適用できます。たとえば、過去1か月にIDaaSにサインインしたアクティブユーザーのみをリストする条件を適用できます。レポートに適用できる条件の数に制限はありません。IDaaSは、非常に詳細な分析とイベントのトリガーのためのSIEM統合も提供します。

一元化された監査証跡

  • IDおよびアクセス管理の主な利点は、すべてのユーザー管理とログインアクティビティを一元的に記録できることです。IDaaSの監査証跡は、すべてのユーザーの変更とアクティビティを記録します。これは、強力な統計や遡及的なフォレンジックに使用できます。

報告書

レポートは、IDaaSのデータセットを定義するレポートタイプに基づいています。4つの異なるレポートタイプから選択できます。

  • ユーザーの詳細:ユーザー、グループ、ディレクトリ、認証要素、最終ログインなどに関する詳細を表示します。
  • アプリの詳細:アプリケーション、その設定、ロールメンバーシップ、ユーザーなどを表示します。
  • イベント:サインインの失敗、ユーザーの作成などを表示します。
  • ログインの詳細:ユーザー名、パスワードの強度など、すべてのアプリケーションのユーザーログインを表示します。

標準レポート

  • IDaaSには、1クリックですぐに洞察を得ることができる12の標準レポートが付属しています。非アクティブなユーザー、アプリケーションの使用状況、ログインアクティビティについて詳しく説明します。脆弱なパスワードを持つユーザーを確認するか、ユーザーをグループと権限で調べます。

カスタムレポート

  • IDaaSのカスタムレポートを使用して、必要に応じて具体的に取得します。4つの異なるレポートタイプにより、新しいレポートを即座に作成したり、標準レポートを複製してカスタマイズしたりすることが簡単にできます。ユーザー、アプリ、ログイン、イベントにドリルダウンして、必要な情報を見つけます。または、さらに分析するためにレポートをExcelにエクスポートします。

SIEM統合

さらに、IDaaSは、追加の分析とレポートのために、JSONイベントストリームを介して複数のSIEMサービスにイベントをエクスポートできます。

IDaaSで実行されたすべてのユーザー、管理者、またはAPIのアクションは、日時のスタンプ、名、姓、IPアドレス、発生したイベントで追跡されます。IDaaSのイベントブロードキャスターは、IDaaSイベントデータをAXAのSIEM(セキュリティ情報およびイベント管理)ソリューションに送信して、IDaaSによって生成されたイベントを収集、分析、および表示できます。AXAは、JSON形式のデータを受け入れる任意のSIEMソリューションにIDaaSイベントデータを送信できます。イベントブロードキャスターは、HTTP POSTを介してJSON形式のリアルタイムイベントデータをリスナーに送信し、エンドポイントに送信します。10個のイベントがあるか、10秒ごとのいずれか早い方のタイミングでPOSTを実行します。IDaaSを使用すると、アプリケーション認証をストリーミングし、次のような200以上のアプリケーション関連イベントのイベントにアクセスできます。

  • 誰がどのアプリケーションにアクセスしたか
  • 高リスクのログイン試行—進行中の潜在的な攻撃を示します
  • リスクスコアが高いログイン試行-進行中の攻撃の可能性を示します
  • ログインに失敗したユーザー—進行中の攻撃の可能性を示します
  • 最近パスワードを変更した人—攻撃のもう1つの潜在的な指標
  • 多要素認証デバイスを紛失したユーザー-潜在的なセキュリティの弱点を示しています
  • 停止されたユーザー-侵害されたアカウントが非アクティブであることを確認するため
  • ユーザーのプロビジョニングおよびプロビジョニング解除アクティビティ-ユーザーが退職した後にシステムから削除されたことを追跡する
  • どのアプリケーションが最も人気があり、十分に活用されていない可能性があり、予算の浪費の潜在的な領域を示しています

これらの機能は、すべてのアプリケーションにわたってマシンデータを一元化して相互に関連付ける必要があるSecOpsチームにとって重要です。これにより、対象を絞った攻撃とデータ到達の早期検出が容易になり、監査証跡がデバイスとアプリケーションへのアクセスにまで拡張され、より広範なユーザーアクティビティの監視が可能になります。

IDaaSのAPIを使用すると、カスタマイズされた脅威管理機能を既存のSIEMシステムに組み込むこともできます。REST API呼び出しを使用して、MFAやパスワードのリセットを要求するなどの疑わしい動作を表示しているユーザーアカウントに対して、より高度なセキュリティ対策を実施できます。極端な場合、ユーザーアカウントが停止されることさえあります。

テクノロジーの概要

建築

他のほとんどの最新クラウドプロバイダーと同様に、IDaaSのテクノロジースタックは完全にオープンソースソフトウェアに基づいています。次の図は、IDaaSのクラウドサービスを構成する主なテクノロジーを示しています。

Ubuntu LinuxはIDaaSのアーキテクチャ全体の基盤となるオペレーティングシステムです。

PostgreSQLは、強力なオープンソースコミュニティを持つ信頼性の高いデータベースとしての評判が高いため、永続データのリレーショナルデータベースとして選択されました。特定のタイプのデータは非常に特定の読み取り専用操作のためにElasticSearchに保存され、Redisはアーキテクチャ全体でより一時的なタイプのデータとキャッシュに使用されます。

アプリケーションは元々完全にRuby on Railsで構築されており、ユーザーインターフェースとAPIの両方を提供していました。長年にわたってサービスの複雑さが増すにつれて、Node.jsなどの新しいテクノロジーが、特定の特定の大容量、低レイテンシのワークロード、および特定のAPIに導入されました。IDaaSがAPIファーストのアプローチに移行するにつれて、Reactを使用してユーザーインターフェイスの新しい部分が実装されました。

IDaaSのほとんどのサービス間通信はリアルタイムですが、特定の操作は本来キューイングされており、そのようなワークロードにはRabbitMQを使用しています。

IDaaS AWS

IDaaSは、AWSインフラストラクチャでグローバルに実行できるように提供されています。セキュリティの章に示されているすべてのセキュリティの側面と認証が適用されます。IDaaSには、独立した第三者の監査会社が実行する外部SOC 2 Type 1および2監査があります。NDAが実行された場合、レポート全体を共有できます。

オンプレミス/オンデバイスのコンポーネント

IDaaSが他のほとんどのクラウドサービスと異なる点の1つは、オンプレミスでもクラウド内でも、顧客のIT環境とやり取りすることです。この対話を容易にするために、特定のIDaaSコンポーネントを顧客のITインフラストラクチャ内にインストールする必要がある場合があります。

ADコネクタ

ほとんどの企業は、Active DirectoryでユーザーIDを管理しています。IDaaSでユーザーを認証し、他のアプリと同期するには、IDをIDaaSのクラウドディレクトリに保存する必要があります。AD Connectorは、ドメインコントローラーで実行されるWindowsサービスであり、次の図に示すようにこれら2つの機能を実行します。

  • ファイアウォール
    • Active Directory
    • ADコネクター
  • TLS接続
    • API
    • MUX

Active DirectoryとIDaaSはファイアウォールの反対側にあるため、プロキシアウェイADコネクタはMUXと呼ばれるサービスへの送信TLS接続を確立し、IDaaSに接続されているActive Directoryインスタンスへの接続を維持します。接続は永続的に維持され、IDaaSがファイアウォールの背後にあるActive Directoryに認証を委任するために使用されるため、パスワードをIDaaSと同期する必要はありません。

お客様は、冗長性のために、および追加のフォレストとドメインのために、複数のADインスタンスを接続することを選択できます。1つのADインスタンスが利用できなくなった場合、IDaaSはそのインスタンスをしばらくスキップし、残りの利用可能なADインスタンスを続行します。同じメカニズムが、パスワードのリセットと、Active Directoryでのユーザーのロックおよびロック解除に使用されます。

IDaaSの独自の機能は、Active Directoryのユーザー更新をリアルタイムで同期できることです。これは、Active Directoryの変更通知をサブスクライブすることで行われます。これにより、変更がIDaaSのクラウドディレクトリに即座にプッシュされます。これらの更新はIDaaSのAPIに対してTLSを介して実行され、この接続はオンデマンドで確立されます。IDaaSは、IDaaSのクラウドディレクトリからActive Directoryでユーザーを作成または更新することもできます。

Active Directoryコネクタは、ソフトウェアを手動でダウンロードすることなく、IDaaSの管理ユーザーインターフェイスを介して自動的に更新できます。同じ画面から、ログをIDaaSにプッシュしてトラブルシューティングを簡素化できます。

AD Connectorは、数百万のユーザーがいるディレクトリを処理するようにテストされています。

LDAPコネクター

LDAPコネクターは、OpenLDAP 、NETIQ eDirectory 、IBM Domino LDAP など、Active Directory以外のLDAP実装用に特別に設計されています。さらに、Javaベースであるため、WindowsとLinuxの両方で実行できます。

LDAPコネクターの全体的な機能は、いくつかの例外を除いて、ADコネクターの機能と非常に似ています。ユーザーをリアルタイムで同期する代わりに、LDAPコネクターは定期的にLDAPをスキャンしてユーザーの変更を確認し、変更をIDaaSにプッシュします。ADコネクタと同じように、IDaaSのクラウドディレクトリからLDAPへのユーザーの書き込みをサポートしています。LDAPコネクターは、何百万ものユーザーがいるディレクトリーを処理するようにテストされています。

ブラウザ拡張

IDaaSのブラウザ拡張機能は、Chrome、Internet Explorer、Edge、Safari、Firefoxをサポートし、パスワードの保管とフォーム入力ベースの認証に使用されるオプションのコンポーネントです。フェデレーションをサポートしないアプリケーションは、ブラウザー拡張機能を使用してサインインできます。ブラウザー拡張機能は、IDaaSのクラウドバックエンドから資格情報を取得し、そこでパスワードボールトに暗号化されて保存されます。

フォームベース認証では、Webアプリケーションは、ユーザーが入力するユーザー名とパスワードのWebフォームを表示します。これらの場合、IDaaSブラウザー拡張機能は、保存および暗号化されたログイン/パスワードを取得し、アプリケーションのログインページに自動的に挿入して、ユーザーを認証するためにフォームから取り出します。

ブラウザ拡張機能は何をしますか?

IDaaSのブラウザ拡張機能:

  • SAMLまたは単純なHTTP認証POSTをサポートしないアプリにユーザーをサインインします。
  • IDaaSのポータルを起動する迅速かつ簡単な方法をユーザーに提供し、すべてのSSOアプリのドロップダウンリストをユーザーに提供するツールバーにIDaaSショートカットアイコンを提供します(ドロップダウンはInternet Explorerでは使用できません)。
  • ユーザーがアプリケーションのログインページに直接アクセスしたときにIDaaSのログインポップアップをトリガーし、IDaaS SSOを使用してログインするかどうかをユーザーが選択できるようにします。
  • フォーム認証されたアプリを個人または会社のアプリカタログに追加するようユーザーに求め、組織全体のアプリを簡単に追加できるようにします。
  • 基本認証を使用するアプリにユーザーをサインインします(ログインフォームはHTMLページではなくブラウザの一部です)。Safariでは使用できません。

IDaaS保護

IDaaS Protectは、多要素認証に使用されるモバイルワンタイムパスワードアプリケーションです。IDaaS ProtectはiOSとAndroidの両方で利用でき、IDaaSだけでなく、G SuiteやFacebookなどのサードパーティアプリでも使用できます。IDaaS ProtectのOTPジェネレーターは、ユーザーがログインプロセス中にスマートフォンまたはプッシュウォッチでプッシュ通知に応答するだけで、多要素認証(MFA)からの摩擦を取り除きます。IDaaS保護OTP(ワンタイムパスワード)は、電話を介してIDaaSに送信され、そこで検証されてユーザーがログインします。ユーザーのモバイルデバイスがインターネットに接続されていない場合、ユーザーはIDaaSアプリポータルでワンタイムパスワードを入力できます。IDaaSが有効なワンタイムパスワードを受信するとすぐに、ユーザーはログインします。

IDaaS保護機能

  • 複数インスタンスのサポート
    • 同じアプリの複数のユーザーアカウントのサポート。例:管理者アカウントまたは非管理者アカウントでアプリにログインします。
    • TOTPをサポートするIDaaS以外の複数の管理アカウントのサポート。
    • 異なるユーザーに対する同じオーセンティケーターの複数インスタンスのサポート。例:従業員用のDUO、VIP、RSA などの1つのインスタンスと請負業者用の2番目のインスタンス。
    • リスクスコアに基づく複数の認証要素のサポート。例:ポリシーでは、SMS、セキュリティ質問、およびOTPを低リスクスコアに基づいて許可します。リスクスコアがしきい値を超えると、OTPのみが使用可能になります。
  • すべてのデバイスとOSにわたるモバイルデバイスでのすべてのユーザー構成のバックアップと復元のサポート。
  • Android、Android Wear、Apple iOS、Apple watchOSで利用できます。
  • ログインプロセス中のスマートフォンまたはウォッチでのプッシュ通知のサポート。
  • オフラインアクセスのサポート。ユーザーのモバイルデバイスがインターネットに接続されていない場合、ユーザーはIDaaSアプリポータルでワンタイムパスワードを入力できます。
  • IDaaSアカウントでモバイルアプリインスタンスを登録するための指示に従うのは簡単です。

ゲートウェイ

ゲートウェイは、リバースプロキシとして使用されるNGINX Webサーバーを含む実施ポイントです。Dockerスクリプトは、ゲートウェイを顧客のLinuxシステムにインストールします。ロケーションおよびロードバランシング要件に基づいてゲートウェイにパーティション化された保護されたアプリケーションを使用して、顧客サイトに任意の数のゲートウェイを展開および設定できます。冗長性とフェイルオーバーには複数のゲートウェイが必要です。

ゲートウェイ実施ポイント

少なくとも1つの実施ポイントをオンプレミス、リモートデータセンター、またはAWSやMicrosoft Azureなどのプライベートクラウドにインストールする必要があります。現在、実施タイプのゲートウェイのみが使用可能です。

IDaaS Accessゲートウェイ実施ポイントは、Dockerスクリプトを使用してインストールします。スクリプトは実施ポイントを実行し、IDaaSから構成をフェッチします。Dockerは、オペレーティングシステムレベルの仮想化を提供するソフトウェアテクノロジーであり、コンテナーとも呼ばれます。実施ポイントを導入するシステムにDockerをインストールし、次にこれらの手順を使用して、実施ポイントをインストールおよび実行するDockerコマンドをガイドします。

注意:実施ポイントがその構成を取得するには、IDaaSアカウントで定義されたゲートウェイタイプの実施ポイントが必要です。

システム要求

  • ホストオペレーティングシステム用のDockerの現在のバージョン
  • Dockerイメージとログファイル用に約100 MBのディスク容量
  • デュアルマルチコアCPU、16 GB以上のシステムメモリ

セッションアフィニティ

短いバージョンでは、ロードバランサーでクライアント/セッションアフィニティが必要である(この場合、Accessインスタンスは互いに独立している)か、失敗すると、Access Gatewayは共有Redisセッションストアを使用するように構成する必要があります(リポジトリのdocker-compose-multiの例でドキュメント化されています)。(IPアドレスや他の方法を接続するのではなく)Cookieを介してロードバランサーでセッションアフィニティを実行する場合、OL Access セッションCookie名は ” olaccess -session-id”です。ロードバランサーセッションアフィニティを使用すると、パフォーマンスが向上し、管理が容易になります(使用しない場合、お客様はRedisクラスターを管理する必要があります。現在の例では、コンテナー内のRedisの単一インスタンスを使用していますが、本番環境への導入にはさらに複雑さが伴います)。ロードバランサーをサポートするヘルスチェックエンドポイント(200 OKを返す/ healthエンドポイント)を追加し、このエンドポイントのドキュメントをこのセクションに追加する必要があります。

スケーリングとフォールトトレランス

IDaaS Accessは、単一の場所または多くのリモートの場所でホストされているサイトのパフォーマンス要件を満たすように拡張できる柔軟なアーキテクチャを備えています。このセクションでは、負荷をスケーリングするオプションについて説明します。

ファイアウォール

実施ポイントとの間のすべてのトラフィックは、HTTPプロトコルのみを使用します。実施ポイントは、IDaaSクラウドへの長期間のHTTPS接続を開始します。初期リリースでは、IDaaSへの接続は、起動時に施行ポイントの構成を取得するため、または構成またはポリシーの更新の管理者の展開時にIDaaSによってプッシュされたときに構成を更新するためにのみ使用されます。IDaaS Accessの今後のリリースには、ステータスの更新とイベントロギングも含まれる予定です。

フォワードプロキシ

フォワードプロキシは、すべての送信トラフィックが要求に使用する企業に展開できます。実施ポイントがIDaaSクラウドへのHTTPS接続を確立すると、これらのリクエストはフォワードプロキシを通じてルーティングされる必要があります。

ロギング

認証などのIDaaSクラウドで発生するイベントのログ記録は、他のサービスプロバイダーと同様にIDaaS Accessを使用する場合と同じです。実施ポイント内のイベントのロギングはデフォルトでコンソールに送信されますが、docker- compose.ymlを変更することで、ホストシステム上のファイルにログを記録するように構成することもできます。

開発者ツール

APIサポートと開発

IDaaSのREST APIは、企業の顧客と再販業者が、進化するビジネス要件に合わせてIDaaSプラットフォームをカスタマイズおよび拡張できるように開発されました。APIはOAuth 2.0によって保護されており、JSONメッセージ、検索、ページネーション、ソート、およびフィルタリングを提供します。

IDaaSのAPIを使用して、組織のデータを操作し、IDaaSのコア製品機能を組み込んで構築するサードパーティアプリを開発します。APIキーは、IDaaSのAPIへの完全なアクセス権を持つように構成することも、ユーザーを管理するためだけにスコープを設定することもできます。

IDaaSのAPIは、開発者向けに構築されており、OAuth 2.0 によって保護されたRESTful原則に基づいており、JSONメッセージ、検索、ページネーション、ソート、およびフィルタリングを提供します。IDaaS を使用すると、カスタムアプリとサードパーティアプリを統合し、ワークフローに合わせてシステムを拡張できます。

IDaaSのREST APIを通じて、以下のことができます。

  • ユーザーログインを作成または削除する
  • ユーザーのメタデータ/詳細を更新する
  • ユーザーのパスワードを設定(およびリセット)する
  • アプリケーション/ロールをユーザーに割り当てる
  • ユーザーがクリックしてアプリケーションを自動起動できる「埋め込み」URLを作成する
  • すべてのユーザーのリストを取得し、特定のユーザーの構成を読み取る

IDaaS APIがサポート

  • PHP
  • Python
  • Ruby
  • Java
  • NET

IDaaSには、広範なユーザーガイドがあります。

  • ユーザー認証
  • SAML
  • ユーザー、役割、アプリケーションの管理
  • 多要素認証
  • レポートの日付抽出
  • AWS統合
  • SCIM
  • OIDC
  • REST-API

委任管理

IDaaSの非常に柔軟な委任管理機能は、新しい特権モデルを導入し、スーパーユーザー特権を付与せずにユーザーに特定の特権を付与する機能に基づいて委任管理を許可します。

特権は、アクセスステートメントのコレクションです。各Accessステートメントは、特定の管理スコープの下で一連のアクションを実行する機能を付与します。アクションは、「アプリの更新」など、ユーザーが実行できる「もの」です。スコープは、「Salesforceアプリケーション」など、これらのアクションの「サブジェクト」です。

特権には、表現力豊かな言語を使用して能力を説明するJSON表現があります。構文は直感的で、IDEで簡単に編集でき、外部のバージョン管理ソリューションに保存できます。

管理者は、特権モデルのコピーを保存し、モデルのバージョンを比較し、新しいモデルを新しい環境にプッシュし、既知の状態にロールバックし、その他の操作を実行できます。

特権の管理と特権の割り当ては、APIによって完全に実行するか、個々のユーザーの条件付きプロビジョニングまたはロールによって自動化できます。

「Administrator Full Access」のような事前定義された特権のセットにより、管理者は独自の特権を定義できます。

例:

  • 監査者権限:すべてのリソースタイプに対する読み取り専用権限と、レポートを実行する権限を付与します。
  • コールセンターの従業員特権:内部ユーザー(外部ユーザーではなく)を範囲とする「想定ユーザー」を付与します。
  • Active Directoryグループ統合:ADグループ「コールセンター」のメンバーは、同じ名前でIDaaSロールにマップされ、これらのユーザーに特権を自動的に付与します。

クラウドプロビジョニング

IDaaSは、増え続けるクラウドアプリケーションへのアクセスを作成、管理、および制御し、ポリシーに基づいてユーザーデータを保持、一時停止、または削除する機能をサポートしています。することにより、ユーザオンボーディングを自動化し、プロセスをoffboarding、クラウドベースでユーザーの同期などのOffice 365、Gスイート、Salesforceのようなアプリケーションを、スラックなど、組織はできるので、役割、部門、場所、タイトル、およびその他の属性に基づいてアクセス制御を効率化セキュリティを改善しながらITの関与を減らし、生産性を高めるまでの時間を短縮します。これは、カスタムAPIまたはSCIMプロトコルを使用して実行できます。

クロスドメインID管理用のSCIMまたはシステムは、単一のIDaaSコンソールからのアカウントプロビジョニングを含むユーザー管理用の標準化されたAPIインターフェイスを提供します。

不確かな世界における脆弱システムの4つの要素

概要

コロナウイルスの発生により、200を超える国や地域で混乱が生じ、世界中で数百万人が確認されています。社会的距離を離し、遠隔で働き、学ぶことの義務は、私たちが相互作用し、サービスを提供し、サービスを消費する方法を変えることを余儀なくさせました。パンデミックにより、組織はすでに稼働中の生産性プログラムを運用および加速するより効率的な方法を採用する必要があります。私たちは進化する状況に適応し続けていますが、このパンデミックが収まったらすぐに、世界中の私たち全員がデジタル変革への加速された道でビジネスモデルと職場文化の地震の変化に適応する準備ができている必要があります。

デジタルの進化がこれまで以上に重要に

ほとんどの企業はある程度のデジタル変革イニシアチブを実施しており、デジタルの旅においては他の企業よりも成熟した企業もあります。スケールオンデマンドテクノロジー(クラウドなど)と、自動化、ロボット工学、人工知能(AI)などのテクノロジーは、脆弱なインフラストラクチャの基盤を構築するための要素です。運用に「脆弱性」を組み込むことの利点の1つは、ビジネスのあらゆる側面を再定義する新しいパラダイムを採用するためのデジタル変革イニシアチブを加速できることです。

ビジネスの「次の正常」に対するこれらのパラダイムシフトには、ほぼ確実に以下が含まれます。

  • リモートワークは、データセキュリティ、プライバシー、倫理方針に重点を置いて、多くの仕事のデフォルトオプションになります
  • アジャイルチームはリモートで運用され、消費者向けのエクスペリエンスを従業員に提供する必要性が生まれます
  • 「ラストマイル」配達のデジタル追跡(ハブから最終配達先への商品の移動、特に小売業者にとって重要)はさらに重要になり、物流とサプライチェーンに影響を与えます
  • 顧客体験の向上に重点を置き、デジタルは多くの分野で唯一のビジネスモデルとなります

真にデジタルビジネスのための推奨事項

COVID-19はあらゆる規模のあらゆる場所のビジネスに影響を与えていますが、新しい完全なデジタル現実を採用するインセンティブと推進力も提供しており、企業はデジタル変革イニシアチブを加速し、ビジネスの成果を加速し、将来に備えてレジリエンスを強化します。

この新しいデジタル経済を成功させるには、次のようなデジタル労働力をサポートするために、より優れたセキュリティ、オープンクラウドとAPI環境、および仮想化にレーザーを集中させる必要があります。

  • ゼロトラストセキュリティモデルによるサイバーセキュリティの強化1:Cyber Security Insidersが作成したレポートによると、ゼロトラストネットワークアクセス(ZTNA)は59%の企業にとって優先事項となっています。ゼロトラストモデルは、その指針となる原則として「決して信頼せず、常に検証する」を実装しています。このモデルは、従来の境界セキュリティモデルからの劇的な変化を表しており、ネットワークセキュリティだけでなく、アプリケーションレベルのセキュリティとそれらへのアクセス方法への計画的な移行が必要です。 リモートワーカーに加えて、複数のデバイス(IoTデバイスを含む)の急増により、機密リソースを保護するための主要なメカニズムとして、従来のセキュリティモデルとネットワークセグメンテーションの概念を再検討する必要があります。ゼロ信頼モデルは、従来のアプローチと比較して、ゼロデイマルウェア攻撃に対する保護も提供します。
  • オープンハイブリッドクラウドでのスケーラビリティ:オープンクラウドには、オープンなアプリケーションプログラミングインターフェース(API)があります。顧客は、サービスとプロバイダーのどの組み合わせが時間の経過とともに自分たちのニーズに最適になるかを自由に選択できます。これは、ハイブリッドクラウド環境全体でインフラストラクチャをより効果的に調整することにもつながります。(Kubernetesのような)コンテナープラットフォームは、ハイパースケールプロバイダーによって提供されるオンデマンドの弾力性の費用対効果の高いエビデンスでハイブリッドクラウド環境を使用することにより、edivyを保護します。これにより、顧客のデジタルエクスペリエンスが向上するだけでなく、障害発生時にプロバイダーをシームレスに切り替えることができます。
  • Open APIによる開発の高速化:APIはしばらく前から存在しています。 実際、フォーブスは2017年を「API経済の年」と宣言しました。デジタル化が進み、エコシステムが絡み合う中で、オープンAPIは、より優れた品質のアプリとより優れた開発者エクスペリエンスにより、市場投入までの時間を短縮できる優れた選択肢を提供します。銀行業界とヘルスケア業界は、多くの地域でパートナーエコシステムに対応するためにすでにオープンAPIを採用しています。オープンAPIを採用すると、複数のサービスプロバイダーを通じて発生した場合でも、「ラストマイル」の配信を追跡するのに役立ちます。実際、オープンAPIは、顧客とのデジタルインタラクションの複数のチャネルとは別に、パートナーの競争力があり繁栄しているエコシステムにメカニズムを提供します。
  • 柔軟性とデジタルワークプレイス:労働力がリモートワークに移行するにつれて、コラボレーションがシームレスに行われることが不可欠になります。現在、多くのクラウドベースのコラボレーションツールと仮想デスクトップインフラストラクチャ(VDI)ソリューションが利用可能であり、企業のセキュリティニーズを満たすと同時に、従業員にコンシューマーグレードのエクスペリエンスを提供できます。AIと機械学習を組み合わせることで、これらの仮想化システムは、全体的なエンドユーザーエクスペリエンスを向上させることができます。ハードウェアや容量の計画に多額の先行投資を必要としないこれらのサービスへのオンデマンドサブスクリプションにより、企業は、需要を満たすためにスケールアップまたはスケールダウンするために必要な流動性と柔軟性をよりよく備えています。

Antifragileシステムの利点

抗脆弱性システムは適応性を超えるだけでなく、ストレスがかかると実際に改善されます。高度なデジタルテクノロジー(AI、クラウド、オートメーションなど)を使用すると、ランダムモデル、予期しない中断、ビジネスモデルの計画外の変更など、予測不可能な事態に適応、改善、および対応することができます。デジタルテクノロジーは、企業が脆弱なシステムを構築するための基盤を築くのに役立ちます。これは、弾力性を超えて、あらゆる環境での新しい機会と成長に対応できるようになるためです。

MPLSおよびIP VPNのテスト

前書き

米国および世界の他の地域での経済の引き締めに伴い、サービスプロバイダーの焦点は収益創出の新たな道を模索することに移りました。その結果、新しいサービスの開発と、仮想プライベートネットワークなどの既存のサービスの再パッケージ化の両方に対する関心が劇的に高まっています。

続きを読む

パスワードの終了は今から始まります

ゼロ・サインオン。モバイルデバイスがあなたのアイデンティティとなり、企業への安全なアクセスを実現します。

はじめに


トップセキュリティリスクであり、悪名高いエンドユーザーの苦痛ポイントであるパスワードは、思い出になろうとしています。多くのベンダーがパスワードの終焉を約束しています。モバイルデバイスをあなたのアイデンティティにし、企業への安全なアクセスを実現します。

さらに、既存の統合エンドポイント管理(UEM)がこの突破口の中心となり、当社のモバイル中心のゼロトラスト・セキュリティアプローチの基盤を作ります。つまり、組織をパスワードフリーのゾーンにして、スムーズな体験と生産性の向上を実現するために必要なものをすでに手に入れていることを意味します。

この電子書籍では、ゼロ・サインオンがパスワードの苦痛からどのように解放されるか、また、UEMへの投資を活用することで、組織がこのセキュリティの画期的な変化からどのように利益を得ることができるかを説明しています。

パスワードの問題点


81% の違反行為で、不正または弱いパスワードが使用されていました。

年間200回の未許可のアクセスがあります。

大企業が使用している最大129のAPPS。それぞれにパスワードが必要です。

ヘルプデスクのチケットの2/5はパスワードあるいはMFA ロックアウトからです。


パスワードは、セキュリティソリューションというよりも、セキュリティ上の負担となっています。パスワードは IT 部門にとっては頭痛の種であり、エンドユーザにとっては厄介なものであり、状況を改善するための努力は失敗に終わりました。

ITのセキュリティ対策の課題

違反の原因の第1位であるパスワードは、組織にとって非常に大きなリスクであり、ITにとっては継続的なセキュリティ上の課題となっています。

パスワードは、自動化されたブルートフォースプログラムを使用してクレデンシャルを推測して盗んだり、パスワードをクラックしたりすることが比較的簡単にできるハッカーの給料日になる可能性があることを表しています。電子メールや悪質なウェブサイトを利用してパスワードを勧誘するフィッシング攻撃など、さまざまなソーシャルエンジニアリングの手口がクレデンシャルの盗難に利用されています。その他にも、「ビッシング」(音声フィッシング)や「スミッシング」(SMS/テキストフィッシング)などの悪用も増えてきています。

低いユーザー体験

誰に聞いても同じ反応が返ってくる:ユーザーはパスワードに耐えられません。このフラストレーションの増大は、彼らのリスクを助長するだけです。パスワードを強化するために、パスワードはより複雑になっており、それを記憶することはさらに困難になっています。今やユーザーは、大文字と小文字、数字、特殊文字を含む少なくとも8文字のパスワードを記憶することが求められており、過去3ヶ月以内に一意でなければなりません。これらの文字列をモバイル機器に入力しようとすると、まったく新しいレベルのフラストレーションが発生します。

従業員が覚えておかなければならないパスワードの量が膨大であることが、問題をさらに悪化させています。組織内のすべてのクラウドサービスやその他のアプリケーションで、このようなイライラするパスワードのバリエーションが繰り返されています。その結果、忘れたり、リセットしたり、ロックアウトしたり、非生産性のパターンが蔓延したりします。


45%が企業用および個人用にパス ワードを再利用します。

ソニーの故障は “PASSWORD “というファイル名のディレクトリにリンクされていました。


リスクの回避

パスワードの要件がトリッキーになればなるほど、それに対処するためにリスキーな行動に駆り立てられる人が増えます。リセットの手間や失敗してロックアウトされるのを避けるために、ユーザーはパスワードの再設定に頼っています。

  • 複数のアカウントで同じパスワードを使用する
  • パスワードの付箋は、デバイス上で右に貼り付いている
  • すべてのパスワードを1つの明らかに名前のついたファイルに保存する

SSO。まだ1つのサインオンが多すぎる

業界では、シングルサインオン(SSO)でパスワードの複雑さの問題を解決し、多要素認証(MFA)でセキュリティを高めようとしていました。

SSO は、ユーザーがすべてのビジネスリソースにアクセスできるようにするために、1 つのパスワードだけを覚えておく必要があります。これはユーザーにとっては朗報であり、ハッカーにとってはさらに良いニュースでした。
SSO はハッカーにとってさらに効率的になり、1 つのパスワードを妥協するだけですべてのビジネスサービスにアクセスできるようになりました。

MFAは、不正アクセスをより困難にするために、レイヤードディフェンスを作成するように設計されています。ユーザーは、ユーザーが知っていること(パスワード)、ユーザーが持っていること(セキュリティ・トークン)、および/またはユーザーが何者であるか(生体認証)という2つ以上の独立したクレデンシャルを提示して初めてアクセスを許可されます。

そのため、現在では、パスワードを管理する必要があることに加えて、ユーザーがビジネスサービスにアクセスするためには、特定の数字のコードを入力する必要があります。アプリケーションやシステムでは異なるタイプのMFAが必要になることが多いため、アプリケーションごとに異なるパスワードを用意するよりも、さらに混乱を招くことになります。

SSOはパスワードを削除せずに減らしただけで、MFAはさらに複雑なものにしてしまいました。

パスワードのセキュリティとユーザーの課題は、解決するまで残っていました。

ゼロ・サインオン


どこからでも、どのOSのどのデバイスからでも、どのサービスにもパスワードフリーでアクセスできます。
私たちのデバイスは、安全なアクセスのためにバイオメトリクスを使用しています。


モバイルセキュリティのリーダーが、パスワードを置き換える方法を見つけ出し、ゼロサインオンの経験を作るのに苦労しました。

モバイルをIDとして安全にアクセスすることで、どこからでもシームレスな認証体験が可能になります。ユーザーは、一目見ただけ、または指でタップするだけで、あらゆるビジネスアプリ、デバイス、リソースに安全にアクセスすることができます。パスワードもSSOもMFAも必要ありません。シンプルにパスワードなしで、どのデバイスからでも、どのOSからでも、どこからでも、どのサービスにでもアクセスすることができます。

 

ゼロトラストのサイバーセキュリティの最新動向

エグゼクティブサマリー

最近のテクノロジーの進歩は、民間企業の能力や市民の期待に追いつくために、政府サービスを大幅に近代化する多くの機会を生み出しています。深刻なサイバーセキュリティ事件の拡散と継続は、政府のシステムとデータを保護するための現在のアプローチが不十分であることを示しています。今日のシステムは拡大し、モバイルやクラウド対応の環境へと進化しており、従来の境界線ベースのサイバーセキュリティアプローチは限界点に達しています。これらの欠陥や課題に効果的かつ迅速に対処しない限り、政府は国家資産を適切に保護することができず、テクノロジーの進歩がもたらす潜在的な利益を実現することができません。明らかに、サイバーセキュリティに対する新たな、より効果的なアプローチが必要とされています。「ゼロトラスト(ZT)」として知られる新しいアプローチは、システムとデータを保護する機関の能力を大幅に変え、改善する可能性を秘めています。ZTは、組織が人、データ、情報システム間のすべての相互作用を積極的に制御し、セキュリティリスクを許容できるレベルまで低減する必要があるという原則に基づいたセキュリティ概念です。

予算面での課題が増大し、人員の過剰な負担が生じ、有能な人材の採用と維持が困難になっているにもかかわらず、各機関は、新たな脅威やサービス要件に対応するために、老朽化したサイバーセキュリティ・アーキテクチャを近代化することが求められています。ACT-IACは、連邦CIO評議会からZT技術の成熟度、政府機関での使用に対する準備状況と適合性、ZTを追求することを選択した場合に機関が直面するであろう問題点を評価するよう依頼されました。本レポートは、その結果をまとめたものです。

現代のITセキュリティソリューションは、いくつかの最低限の特徴を組み込む必要があります。

  1. 信頼の枠組みの中で、ユーザー、デバイス、データ、サービスを分離し、すべてのアクセス要求が検証され、意図的に許可または不許可になるようにする
  2. 管理者に大きな負担をかけずに、攻撃に対して耐性があり、回復力があること
  3. 刻々と変化するサービス環境にも(自動的にではなくても)大きな事務負担をかけずに、簡単かつ迅速に対応できるようになること

ZT は、すべてのユーザー、デバイス、データ、サービス要求を同じように扱うことで、これらの特性を満たします。ZTは、組織内のすべての資産をオープンにしてアクセス可能にするという従来のセキュリティポリシーから、アクセス可能な資産に対して継続的な認証と承認を必要とするものへと移行します。この根本的な変化こそがZTの本質です。ZTは買うものではなく、セキュリティの概念、戦略、アーキテクチャ設計のアプローチです。

作業の過程で、ZTソリューションは広く利用可能であり、現在民間部門で使用されていることがわかりました。多くの企業がZTをサポートする新しい機能やソリューションを開発しており、市場では健全な競争が行われています。私たちは、現在、単一のベンダーが提供する単一の総合的なZTソリューションは存在しないことを観察しました。包括的なソリューションを取得するには、複数のベンダーの製品やサービスを統合する必要があります。多くの企業は、より包括的で統合された相互運用可能なソリューションを提供するために、他社との戦略的パートナーシップや契約を結んでいます。また、いくつかの異なるZTアーキテクチャのアプローチが、代理店が選択できるようになっていることもわかりました。

ZT を実装しても、既存のネットワークを大幅に置き換えたり、新しい技術を大量に取得したりする必要はありません。ZT は、他の既存のサイバーセキュリティ慣行やツールを補強すべきです。多くの連邦政府機関では、すでにインフラストラクチャに ZT の要素があり、日常業務で ZT をサポートするプラクティスに従っています。ID クレデンシャルおよびアクセス管理(ICAM)、信頼アルゴリズムに基づくアクセス標準、自動化されたポリシー決定、および継続的な監視などの要素は、ZT を成功させるための重要な補完要素です。ZT は、増分的なアプローチに適しています。ZT は、その規模、ペース、リスク許容度、および最終的な実施範囲について、機関に多くの余裕を与えてくれます。しかし、組織にとって重要なのは、ZTの実装を始める前に、ユーザーとその役割、データ、およびテクノロジー資産をしっかりと把握しておくことです。

ZT の実装には、「全省庁的」な取り組みが必要です。ZT はミッション・プログラム・システムのセキュリティ、リスク、パフォーマンスに影響を与える可能性があるため、機関長と影響を受けるプログラム・リーダーが IT スタッフと協力して ZT の設計と実装に取り組むことが不可欠です。このような取り組みがなければ、たとえプロジェクトが要件に100%準拠していたとしても、情報技術(IT)プロジェクトの失敗と認識される率が高くなる可能性があります。ZTは、IT主導の取り組みではなく、ミッション主導の取り組みである必要があります。

プロジェクトの背景

2017年5月、大統領は連邦政府全体のITの安全かつ効率的な利用を促進するために米国技術会議(ATC)を設立し、連邦政府のIT近代化に関する報告書を作成するよう指示しました。2017年後半に発表されたIT近代化報告書と、それに関連する行政命令2により、各機関は「…ネットワーク周辺の保護とレガシーな物理的展開の管理から、連邦データの保護とクラウドに最適化された展開へと移行する」ことができるようになります。この取り組みを成功させるためには、応用技術だけでなく、法律、政策、リソース配分、買収、労働力の分野においても、新しいアプローチと戦略が必要であることを認識しています。

2018年5月、連邦CIO評議会サービス・戦略・インフラ委員会は、ACT-IACにゼロトラスト(ZT)と連邦機関の採用の可能性に関連したプロジェクトの実施を依頼しました。同時に、連邦政府機関は、2023年3月までに、現在のGSA(General Services Administration)のNetworx契約から新しいEIS(Enterprise Infrastructure Solutions)契約へのネットワーク・サービスの移行を開始しました。連邦政府は、ITの近代化とEISへの移行が合流することで、各機関のネットワーク・サービスの提供とデータ保護を大幅に変革する絶好の機会を得ています。

ACT-IACでは、主にネットワーク、通信、サイバーセキュリティの各コミュニティの政府・業界有志によるプロジェクトチームを立ち上げました。彼らの作業は、ZT技術とサービスの調達のための技術的成熟度と可用性を評価し、連邦政府機関の潜在的な採用に関連するその他の重要な問題を特定し、対処することを目的としています。

このプロジェクトでは、2 つのワーク・ストリームに焦点を当てました。最初のワーク・ストリームでは、ZTをサポートするために市場で利用可能な実用的なツールを評価し、まだ調達可能ではない想定される機能を特定しました。市場調査では、実際の実装に基づいて、技術の成熟度と準備、使用への適合性、スケーラビリティ、手頃な価格を評価することに焦点を当てました。このワーク・ストリームでは、すでに商用および公共部門にZTの要素を提供している6社(Cisco、Duo、Palo Alto、Zscaler、Fortinet、Cyxtera)によるプレゼンテーションとデモンストレーションが行われました。2つ目のワーク・ストリームでは、信頼アルゴリズムに焦点を当てました。これらの動的アルゴリズムは、包括的なZTソリューションに不可欠な信頼スコアを生成するために使用されます。信頼スコアは、定義された基準に基づいてアクセスを許可、制限、または拒否するために使用されます。プロジェクトチームは、このテーマについて連邦政府機関に助言を与えるために、信頼アルゴリズムに関する既存の作業の理解を深めました。

初期の議論の中で特定された、実施や政策上の問題、パイロット・プロジェクトを含む他の潜在的な研究分野は、本報告書の範囲外です。ACT-IACは、要請があれば、将来的にこれらの問題に対処するための追加的な作業を実施する可能性があります。

ゼロトラストとは何か?

ゼロトラストは、クラウドやモバイルコンピューティングの利用が加速し、アクセスや認証の方法が変化していることを目の当たりにした英国の最高情報セキュリティ責任者(CISO)のグループであるジェリコ・フォーラムによって、2004年にセキュリティ設計のコンセプトとして導入されました。この先見性のあるグループは、従来の境界線が解消されつつあり、ワークフローがクラウドに移行し、アプリケーションへのアクセスはモバイルエンドポイントが主流になりつつある世界に適したセキュリティモデルを提案しました。近年、堅牢で高速な5Gネットワークへの移行に伴い、一部の組織ではネットワークサービスを全く提供すべきかどうか疑問視されるようになり、この傾向が加速しています。2010年、Forrester社で調査を行っていたJohn Kindervag氏は、ジェリコ・フォーラムが提起した非境界化問題を解決する方法として、「ゼロトラスト」または「ゼロトラスト・ネットワーク」という言葉を生み出しました。それ以来、ゼロトラストへの関心が高まっているのは、溶解する境界線や常に移動する境界線に対処するための潜在的なセキュリティ・アプローチとしてのゼロトラストです。

既存の企業ネットワークのほとんどはフラットであり、データとユーザーネットワークの分離はほとんどありません。従来のハブ&スポーク型ネットワークモデルの弱点は、そのアーキテクチャにあります。ファイアウォールを介して信頼から不信への谷間を越えることは、本質的にリスクを伴います。その代わり、ゼロトラストでは、ネットワーク境界線の「内側」と「外側」を区別しなくなります。

一般的に、ゼロトラストは:

  • どこにでも、どこからでも、どのような方法でも、どこにでも存在するデータにアクセスするユーザーの一貫したセキュリティ戦略を提供します。
  • サービスやデータにアクセスする際には、「絶対に信頼せず、常に検証する」というスタンスを前提としています。
  • リクエストの発信元がどこであろうと、継続的な承認を必要とします。
  • ネットワーク全体の可視性と分析を向上させます。

さらに、ゼロトラストは5つの基本的な主張に依存しています。

  • ネットワークは常に敵対的であると仮定している。
  • 外部脅威と内部脅威が常にネットワーク上に存在する。
  • ネットワークの局所性は、ネットワークの信頼性を決定するのに十分ではない。
  • すべてのデバイス、ユーザ、ネットワークの流れは認証され、承認されている。
  • 方針は、できるだけ多くのデータソースから動的に計算されなければならない。

ゼロトラストの基本的な柱

ゼロトラストは、組織化の枠組みとともに、意思決定者やセキュリティリーダーが実用的で効果的なセキュリ ティ対策を実現できるようにする戦略的な取り組みと考えることができます。ZT の取り組みは、成功するためには、政策、実践、技術の難しい組み合わせを取り入れ、調整し、統合する必要があります。概念的なセキュリティモデルは、これらの構成要素を理解し、整理するのに役立ちます(ゼロ トラスト・セキュリティ・モデルの例については、図1を参照)。

 

図1 – ゼロトラスト・セキュリティ・モデルの6つの柱

 

ミッションフォーカス

ミッションプログラムとエグゼクティブリーダーがゼロトラスト能力の必要性を理解し、サポートすることが、確実に導入を成功させることにつながります。IT能力は、ミッションを実現するために組織内に存在するものであり、それ自体のために存在するものではありません。この論理はゼロトラストにも当てはまります。情報保護の必要性は、IT 組織が果たすべきミッションによって推進されるべきです。IT 組織は、ミッションおよび上級指導者と協力して、ゼロトラストのための組織要件を作成するために、支援とチャンピオンを集めるべきです。

データファウンデーション

ゼロトラスト・アーキテクチャの目的は、データを保護することです。ゼロトラスト・アーキテクチャの導入を成功させるためには、組織のデータ資産を明確に理解することが重要です。組織は、ミッションクリティカル性の観点からデータ資産を分類し、この情報を使用して全体的なZTアプローチの一環としてデータ管理戦略を策定する必要があります。

柱1 – 利用者
人物/身元保証

信頼されたユーザーの継続的な認証は、ZTにとって最も重要です。これには、ICAM(Identity, Credential, and Access Management)や多要素認証のような技術の使用と、ユーザーのアクセスと権限を管理するためのユーザーの信頼性の継続的な監視と検証が含まれます。従来のウェブゲートウェイソリューションのような、ユーザーとのやり取りを安全に保護するための技術も重要です。

柱2 – デバイス
デバイスのセキュリティ

リアルタイムのサイバーセキュリティの姿勢とデバイスの信頼性は、ZT アプローチの基本的な属性です。モバイル・デバイス・マネージャのような「記録システム」ソリューションの中には、デバイスの信頼性評価に有用なデータを提供するものがあります。さらに、その他の評価は、アクセス要求ごとに実施されるべきです(例:侵害状態、ソフトウェアのバージョン、 保護状態、暗号化の有効化などの検査)。

柱3 – ネットワーク
ネットワークセキュリティ

ネットワーク、ワークフロー、ツール、運用において、境界保護の重要性が薄れてきているという意見もあります。これは、単一の技術やユースケースに起因するものではなく、むしろ、ユーザーが新しい方法で作業したり、通信したりすることを可能にする多くの新しい技術やサービスの集大成です。ゼロトラスト・ネットワークは「境界線がない」と表現されることがありますが、これはちょっとした誤記です。ゼロトラスト・ネットワークは、実際にはネットワークのエッジから境界線を移動させ、重要なデータを他のデータからセグメント化して分離しようとしています。境界線は、より詳細な方法ではありますが、依然として現実のものです。従来のインフラストラクチャ・ファイアウォールの境界「城と堀」のアプローチでは十分ではありません。境界線は、保護と制御を強化するために、マイクロセグメンテーションと連携してデータに近づかなければなりません。

機関がネットワークを成長させ、ソフトウェア定義ネットワーク、ソフトウェア定義ワイドエリアネットワーク、インターネットベースの技術への部分的または全面的な移行を図る中で、ネットワークセキュリティは拡大しています。(a)特権的なネットワークアクセスの制御、(b)内部および外部のデータフローの管理、(c)ネットワーク内の横移動の防止、(d)ネットワークおよびデータトラフィックに関する動的なポリシーおよび信頼性の決定を行うための可視性の確保が非常に重要になります。ネットワークをセグメント化し、分離し、制御する能力は、セキュリティの重要なポイントであり、ゼロトラスト・ネットワークに不可欠であることに変わりはありません。

柱4 – アプリケーション
アプリケーションとワークロードのセキュリティ

コンピュートコンテナや仮想マシンだけでなく、アプリケーションレイヤーの安全性を確保し、適切に管理することは、ZTの採用の中心となります。テクノロジースタックを識別して制御する能力を持つことで、より詳細で正確なアクセス決定が容易になります。当然のことながら、多要素認証は、ZT環境におけるアプリケーションへの適切なアクセス制御を提供する上で、ますます重要な要素となっています。

柱5 – 自動化
セキュリティオートメーションとオーケストレーション

ZT は、ワークフローを通じて製品全体のタスクを自動化し、エンドユーザの監視と対話を可能にするセキュリティ自動化対応ツールを、調和のとれた、費用対効果の高い形でフルに活用しています。セキュリティ運用センターは、セキュリティ情報やイベント管理、ユーザーやエンティティの行動分析のために、他の自動化ツールを一般的に利用しています。セキュリティ オーケストレーションは、これらのセキュリティ ツールを接続し、異種のセキュリティ システムの管理を支援します。これらのツールが統合された形で動作することで、手動での作業やイベントの反応時間を大幅に短縮し、コストを削減することができます。

柱#6 – アナリティクス
セキュリティの可視性とアナリティクス

見えない、理解できない脅威には対処できません。ZTは、セキュリティ情報管理、高度なセキュリティ分析プラットフォーム、セキュリティユーザー行動分析、その他の分析システムなどのツールを活用して、セキュリティの専門家が何が起きているかをリアルタイムで観察し、よりインテリジェントに防御を方向付けることを可能にします。サイバー関連のイベントデータの分析に重点を置くことで、実際のインシデントが発生する前にプロアクティブなセキュリティ対策を開発することができます。

その他のゼロトラスト・セキュリティ・モデル

組織がコンセプトを理解し、ゼロトラストを環境に導入するための取り組みの指針となるように、他にもいくつかのモデルがあります。その 1 つが Forrester社 によって開発された Zero Trust eXtended (ZTX) Ecosystem framework です。このフレームワークは、セキュリティアーキテクチャと運用のプレイブックとして説明されています。もう一つのモデルは、Gartner社の「CARTA(Continuous Adaptive Risk and Trust Assessment)」 というモデルです。CARTAは、セキュリティのあらゆる面で新しいアプローチが必要とされる高度な脅威が存在する環境で、デジタルビジネスの変革を支援するためのアプローチとして説明されています。ゼロトラストは、全体的なCARTAセキュリティアプローチのサブコンポーネントになります。

個人情報の取り扱い

プライバシーをZTアーキテクチャの設計とライフサイクル・プロセスに統合することは非常に重要です。コンピューティングを「エッジ」に押し上げ、相互接続された情報システムやデバイスの世界がますます複雑になるにつれ、IT投資に関するプライバシーへの懸念が高まっています。プライバシー制御をセキュリティ制御カタログに完全に統合することは、NIST SP 800-53(rev 5)の次世代のセキュリティおよびプライバシー制御標準の主要な目的です。ZT の実装では、ユーザの行動を監視したり、ユーザの身元を追跡したりするために、新たな異なるアプローチが必要になる可能性が高いです。ZT の実践者は、適用されるプライバシーに関する法律、規制、標準、およびポリシーに準拠していることを確認する必要があります。この分野での成功は、設計と開発の努力を代理店のプライバシー担当者と密接に調整することで達成できます。2002年電子政府法第208条で要求されているように、すべてのZT実装が機関のプライバシー影響評価(PIA)で適切に開示されていることを確認することが特に重要です。プライバシーリスクの管理に関する追加情報については、NISTIR 8062「An Introduction to Privacy Engineering and Risk Management in Federal Systems」を参照してください。

BeyondCorp – ゼロトラストの一例

ゼロトラストの実装の初期の例として最も話題になり、文書化されているのは、Google の「BeyondCorp」モデルです(図 2 を参照)。BeyondCorpは、実際のゼロトラスト導入の例として提供されています。Googleは営利企業ですが、その内部構成要素の多くは、どの企業にとっても馴染みのあるものであるはずです。この例は説明のために提供されているものであり、他の組織による採用を推奨するものではありません。

BeyondCorpは、従来の境界線ベースのセキュリティでは内部ネットワークやデータを保護するには十分ではないという独自のゼロトラストの前提に基づいています。また、Googleは、クラウド技術の成長と、オンプレミスのデータセンターからクラウドが提供するアプリケーションやサービスへのアプリケーションの移行を認識し、推進しています。BeyondCorpのゼロトラストのアプローチには、いくつかの原則が不可欠です。

  • 特定のネットワークからの接続によって、アクセスできるサービスが決まるわけではありません。
  • サービスへのアクセスは、顧客と顧客のデバイスに関する情報に基づいて許可されます。
  • サービスへのアクセスは、すべて認証、承認、暗号化されている必要があります。

さらに、Google BeyondCorpは、上記のゼロトラストの柱にマッピング可能な以下のコンポーネントを特定しています。

  • シングルサインオン
  • アクセスプロキシ
  • アクセス制御エンジン
  • ユーザーインベントリ
  • デバイスインベントリ
  • セキュリティポリシー
  • トラストリポジトリ
  • ユーザーインベントリ 【訳注:原稿(9ページ目)通りに記載したが以下4行分は重複】
  • デバイスインベントリ
  • セキュリティポリシー
  • トラストリポジトリ

コンポーネントは Google Cloud Platform の一部として提供され、多くのコンポーネントは Google Integrated Access Proxy によって提供されます。これはクラウドのみの配信戦略であるため、ソフトウェア定義境界線の使用を補完するために仮想ソフトウェアベースのソリューションを使用する必要があります。アプリケーションは、粒度の細かいアクセス制御が可能なクラウドに移行されます。これにより、アプリケーションにGoogleイントラネットへのアクセスを許可する必要がなくなります。

Googleは、Google Cloud Platform上で配信されるホストアプリケーションへのアクセスを制御するための実施ポイントとして機能するプロキシベースのアプローチを使用しています。このプロキシベースのアプローチは改良され、ゼロトラストの重要な柱を制御するCloud Identity-Aware Proxyとして提供されています。

 

図2 – GoogleのBeyondCorpモデル

信頼の確立が基本

フレームワークとして、ゼロトラストは生来の不信感(「デフォルトの拒否」)を暗示しており、継続的な監視と評価を重視した適応的な導入モデルを必要としています。動的で文脈に応じた信頼の拡張は、クレデンシャル・ポリシーが割り当てるしきい値に基づいてアクセスを制限します。この信頼中心のシフトにおける最初の質問の 1 つは、「何かがどれだけ信頼できるかをどのように判断するのか」ということです。多くのセキュリティ組織は、この質問に答えるのに苦労しています。従来のプログラムは、すべてのデータとトランザクションが信頼されていると仮定しており、危殆化、データの損失、悪意のある行為者などがその信頼性を低下させることになります。ゼロトラストは、最初からすべてのデータとトランザクションが信頼されていないと仮定することで、信頼の計算を反転させます。新しい問題は、「どうすれば十分な信頼を得ることができるか」ということです。いくつかの重要なコンセプトやコンポーネントはすべての導入に適用できますが、すべての組織に適用できる定型的な公式はありません。信頼は、組織のニーズや焦点によって変化します。ゼロトラスト環境では、データ、ユーザー、デバイス、アプリのコントロールを統合して、すべてのトランザクションの信頼性を管理します(図3参照)。

 

図3 – ゼロトラスト・トライアングル

トラストエンジンは、ネットワーク内のユーザー、デバイス、またはアプリケーションにトラストスコアを与えることで、ネットワーク内のユーザー、デバイス、またはアプリケーションの全体的な信頼度を動的に評価するために使用される技術です。トラストエンジンは、計算されたトラストスコアを使用して、各トランザクション要求に対してポリシーベースの認可決定を行います。

トラストスコアとは、特定のユーザー、デバイス、またはアプリケーションの信頼性を判断するために使用される、事前に定義された、または組織によって選択された要因や条件から計算された値のことです。トラストスコアを決定するための潜在的な要因の例としては、場所、時間帯、アクセスの長さ、取られた行動などの情報があります。

マイクロセグメンテーションは、データセンターのアプリケーションに対して、デバイスだけでなくワークロードレベルに至るまで、きめ細かなセキュリティポリシーを割り当てることができるセキュリティ技術です。つまり、セキュリティポリシーを仮想ネットワーク、仮想マシン、オペレーティングシステムなどの仮想セキュリティ対象と同期させることができます。

ゼロ トラスト・トライアングル内では、トラストエンジンは、トラストスコアを使用して、ネットワークに入ってきたエージェントの信頼性を評価します。エージェント、または「ネットワークエージェント」とは、ネットワークリクエストのアクターについて知られているデータの組み合わせに与えられる用語で、通常はユーザー、アプリケーション、およびデバイスが含まれます。このデータの組み合わせは、状況に応じたコンテキストを提供し、可能な限り最善の認証決定を行うために、リアルタイムで要求に応じて照会されます。トラストスコアが計算された後、ユーザー、アプリケーション、デバイス、およびスコアは、エージェントを形成するために結合されます。その後、リクエストを認可するためにエージェントに対してポリシーを適用することができます。

ゼロトラストのアーキテクチャは、コントロールプレーン/データプレーンモデルに基づいています(図4参照)。コントロールプレーンは、ネットワークリソースへのアクセス(またはアクセスを許可)を希望するデータプレーンデバイスからの要求を受信して処理するコンポーネントで構成されています。ゼロトラスト・アーキテクチャ内の他のほとんどすべてのものはデータプレーンと呼ばれ、制御プレーンが調整して構成します。データプレーンには、ネットワーク上のすべてのトラフィックを直接処理するアプリケーション、ファイアウォール、プロキシ、ルーターのすべてが含まれています。

図 4 に示すアーキテクチャは、保護されたリソースへのアクセス要求をサポートしており、まず、デバイスとユーザの両方が認証されて承認されている必要がある制御プレーンを介して行われます。この層では、組織内の役割、時間帯、デバイスの種類などに基づいて、より詳細なポリシーを適用することができます。より安全なリソースへのアクセスには、さらに強力な認証が必要となる場合があります。制御プレーンがリクエストを許可することを決定すると、制御プレーンはそのクライアント(およびそのクライア ントのみ)からのトラフィックを受け入れるようにデータプレーンを動的に設定する。さらに、制御プレーンは、要求元とリソース間の暗号化されたトンネルの詳細を調整することができます。これには、一時的な一度限りの認証情報、鍵、およびエフェメラルポート番号を含めることができます。これらの対策の強さによっては、いくつかの妥協をすることができますが、基本的な考え方は、権威のあるソース、または信頼できるサードパーティに、さまざまな入力に基づいて、リアルタイムで認証、承認、およびアクセスの調整を行う能力を付与するということです。

 

図4 – ゼロトラスト・アーキテクチャ内の制御とデータプレーンの機能性

エージェント内に含まれる情報の豊富さは、非常に柔軟でありながらもきめ細かいアクセス制御を可能にし、ポリシーにスコアコンポーネントを含めることで、様々な条件に適応することができます。リクエストが承認された場合、制御プレーンはデータプレーンに着信リクエストを受け入れるように信号を送ります。このアクションでは、暗号化の詳細も設定することができます。暗号化は、デバイスレベル、アプリケーションレベル、またはその両方で、静止中のデータと動作中のデータに適用することができます。機密性を確保するためには、少なくとも1つは必要です。

これらの認証と承認のコンポーネントと、暗号化されたチャネルを調整するためのコントロールプレーンの助けを借りて、ゼロトラストモデルは、ネットワーク上のすべてのフローが認証され、期待されたものであることを保証することができます。ホストとネットワークデバイスは、これらのコンポーネントがすべて適用されていないトラフィックを落とすことができ、機密データ漏洩の可能性を大幅に減らすことができます。さらに、コントロールプレーンのイベントとアクションをログに記録することで、ネットワークトラフィックをフローごと、またはリクエストごとに簡単に監査することができます。

ゼロトラストのメリット

ゼロトラスト・アーキテクチャへの移行を評価する際には、組織内の技術リーダーとビジネスリーダーの両方が潜在的なメリットを認識していなければなりません。ZT の中核的な成果は、より安全なネットワークの構築、データの安全性の向上、違反による悪影響の軽減、コンプライアンスと可視性の向上、サイバーセキュリティコストの削減、組織の全体的なリスク姿勢の改善に焦点を当てる必要があります。実現されるメリットは、ZT の原則がどの程度導入されているか、また使用されている運用モデルによって異なります。データの紛失や盗難、知的財産の流出、その他のタイプの侵害は、組織に金銭と評判の損失をもたらします。このような事態を回避することが、ZT の導入を成功させる鍵となります。

より安全なネットワーク

「決して信頼せず、常に検証する」アプローチを導入することで、ネットワーク全体で何が起こっているかの可視性を強化する必要があります。新しいツールにより、アクセスを要求するすべての人のユーザー、デバイス、場所、および評判に対する可視性を高めることができます。オペレータが見えないものを予防したり、修復したりすることは難しいため、可視性が鍵となります。ユーザー、デバイス、行動が認識されなかったり、ユーザーのベースラインリスクスコアから外れていたりすると、そのユーザーは落とされてしまいます。また、ZTは内部アーキテクチャをセグメント化して、システムへの侵入に伴うユーザーの「ローミング」を制限しています。

従来、企業はセグメント化の方法として「内部ファイアウォール」を導入してきましたが、今日ではマイクロ・ペリメーターを可能にする拡張アプローチが利用可能になりました。ZT を使用すると、ユーザーはもはやログインして「ネットワークを使いこなす」ことはできません。代わりに、事前に設定した信頼レベルとアクセスにリンクされた特定のマイクロ・ペリメーターのみの使用が許可されます。

しかし、ZTの厳しいネットワーク、アプリケーション、およびデータアクセス規則の実装には課題があります。まず、強力なアイデンティティ管理および認証ツールを適切に構成し、継続的に再調査する必要があります。ユーザープロファイルを最新の状態に保ち、信頼アルゴリズムを慎重に設計して、適切なアクセスと使用権を促進する必要があります。第二に、ユーザーは、重要なデータやシステムへのアクセスが厳しい監視下に置かれていることに気づくかもしれませんし、慣れ親しんだものよりも時間がかかるかもしれません。

より安全なデータへのこだわり

ネットワークを通過し、ネットワーク内に保存されたデータを保護することは、ネットワークの価値の主要な部分です。静止中であれ移動中であれ、すべてのデータを保護することはZTアーキテクチャの主要な柱となります。この保護を支援するキーテクノロジーには、暗号化、仮想プライベートネットワーク(VPN)、データ損失防止機能などがあります。ネットワーク オペレータは、保護の種類ごとに個別のツールを選択することも、複数の機能を提供する統合ツールを選択することもできます。

クラウド・コンピューティングへの移行や「モノのインターネット」デバイスの増加に伴う最近のトレンドは、ネットワークのエッジを広げています。これにより、データが操作される機会が生まれる可能性があるため、相互接続されたネットワーク上を移動するデータの保護を拡大することが重要になります。ZTのアプローチでは、価値の高いデータを特定し、そのデータの保護に優先順位をつけることを強調しています。ネットワーク・セグメンテーションでデータを保護することで、「レンガ」攻撃(削除されたデータ)を回避することができ、データの完全性を高く保ち、費用のかかる修復訴訟の可能性を減らすことができます。

暗号化されたデータ保管庫を作成する新しいデータ・アーキテクチャに関連する主な課題は、さまざまなレベルの認証を必要とするハイブリッド・クラウド環境にデータを分散させることです。このようなアプローチでは、ユーザーがデータにアクセスするまでの待ち時間が許容できないほど長くなる可能性があります。このため、慎重なデータ・アーキテクチャの計画と、しっかりとしたリスク管理の決定に基づいたデータ分類の決定が必要となります。

既存および進化する脅威からの保護強化

従来、セキュリティ研究者が発見した脆弱性に対するパッチをリリースすると、脅威は急速に進化していきます。時が経つにつれ、最先端の企業は、脆弱性の調査に対して「バグ・バウンティ」という形で支払いを提供することが、脆弱性のあるシステムが悪用される前に脆弱性を特定するための非常に効果的な(そして有利な)方法であることを知りました。これは、事実上、正当なセキュリティ研究者を敵対的な「ハッカー」に追い込むことになります。この両者の競争は、脅威の状況を進化させ続けています。しかし、脆弱性市場が組織に利益をもたらす一方で、州に本拠地を置く敵対的な行為者も進化しています。

国家が資金を提供しているハッカーは、十分な訓練を受けており、リソースも豊富で根強いです。多くの国家が攻撃的なサイバー能力を持っており、それをフルタイムの仕事にしているという十分な証拠があります。人工知能や機械学習と国家レベルのエクスプロイトコード(例:Eternal Blue)を組み合わせたような新しい戦術、技術、手順の使用は、指数関数的に増加しています。これにより、脆弱性のある組織のセキュリティ運用チームは、対応しきれないほど多くのインシデントで圧倒されることになります。また、攻撃者は、これまで見たこともないようなスピードと正確さで、侵害された組織内を横方向に移動することが可能になります。新しいセキュリティ機能は、新しい現実に対応し、外部からの攻撃(インターネット上で発見可能なもの)と内部からの攻撃(インサイダーの脅威)の両方を効果的に低減させなければなりません。

ゼロトラストは、これらの問題にも同様の方法で対応しています:十分な認証なしにサービスやデータへのアクセスを拒否します。現在の標準的なネットワーク設計では、ネットワーク・エージェントは、記憶されたパスワードとトークン・コードまたはハードウェア認証機能を生成するという二要素プロセスを経てアクセスを許可されるのが一般的です。行動的信頼スコア、ロケーションID、およびマイクロセグメンテーションに関連付けられたZTコンポーネントを追加すれば、ネットワーク上でエージェントを許可するかどうかの判断を強化することができます。ネットワーク上に入ると、許可されていない領域にローミングする能力を防ぐことができます。ZTの機能を次世代ファイアウォール、データ損失防止、行動ヒューリスティックなどの従来のツールと組み合わせることで、ネットワークをさらに強化することができます。

強力な認証に関連する課題には、ユーザーの利便性、プロセスの複雑さ、アクセスの適時性、認証プロセスを「叩く」ための既知の脆弱性などがあります。例えば、認証目的で使用される多くの一般的なセキュリティ上の質問への回答は、公の記録(例:父親のミドルネーム)や社会的に加工されたもの(例:フィッシングメールや電話)から見つけることができます。同様に、誰かのバイオメトリクスデータが盗まれた場合、それは生涯にわたって危険にさらされることになります。

侵害による影響の軽減

ZT アーキテクチャを実装することで、ネットワークがセグメント化され、ユーザーに制限されたアクセスが与えられるため、侵害の影響を軽減することができます。侵害による影響を小さくすることで、ビジネスの混乱を軽減し、修復コストを低く抑えることができます。侵害による影響が小さくなれば、組織の評判や顧客や利害関係者からの信頼を維持することができます。セグメンテーションは、侵害の影響を受ける領域を限定するための重要な技術です。個々のユーザーがアクセスする必要のあるネットワークの領域のみにアクセスを制限することで、侵害の影響を小さくすることができます。

課題は、ネットワーク・パフォーマンス、アプリケーション・パフォーマンス、およびビジネス・ワークフローのニーズへの有害な影響を回避しながら、セキュリティ層を向上させるために、適切なネットワーク・セグメンテーションを提供することです。アクセス制御は依然として不可欠ですが、強力な識別と認証管理の実践、ポリシー、およびツールによって強化する必要があります。

コンプライアンスと可視性の向上

連邦情報セキュリティ管理法、連邦リスクおよび認可管理プログラム(FedRAMP)、信頼されたインターネット接続(TIC)3.0、および米国標準技術研究所(NIST)の出版物など、連邦政府機関のネットワークに対する既存または保留中のコンプライアンス要件には事欠かないものがあります。これらの要件をネットワーク全体に適用することは困難ですが、セグメント化されたアプローチにより、多くの場合、より小規模で関連性の高い監査でコンプライアンスに対処することができ、機関はより迅速にコンプライアンス要件を満たすことができます。再利用可能なテンプレート・アプローチは、類似した特性を持つネットワーク・セグメントに使用することができます。主な利点は、コンプライアンスへの迅速な対応です。また、ZT アーキテクチャ内の可視性が向上するという利点もあります。誰が、何を、どこで、どのような行動をしているかの可視性を向上させることで、ネットワーク事業者は行動や活動をより詳細に記録することができます。可視性の向上から処理されたアナリティクスは、ネットワーク事業者にさらなる利益をもたらします。

強力なネットワーク・セグメンテーションを実施し、CISO に類似のネットワーク・セグメンテーション用の共通テンプレートの再利用を受け入れてもらうには、確かに課題があります。さらに、監査機関(内部および外部)は、セグメント・ネットワークの小規模でターゲットを絞った監査に参加し、存在する相互依存性を理解する必要があります。

潜在的なコスト削減

コストの削減は、統合ツールの改善、VPN の使用量の削減、運用モデルの簡素化、データの損失、訴訟、および評判の低下の回避につながります。これらの潜在的なコスト削減のそれぞれが、ZT アーキテクチャの付加的な利点となります。政府機関は、ZTアーキテクチャと組み合わせることで(リスクに関して)実現可能になった低コストのコモディティ回路を使用してインフラストラクチャを更新しようとするかもしれません。これらの低コストの直接インターネット・アクセス回路は、より安全なソフトウェア定義ワイド・エリア・ネットワーク(SDWAN)接続という付加的な利点も促進します。

すべてのテクノロジーの変化と同様に、より高い投資収益率と全体的なサイバーセキュリティコストの削減を実証することに関連した課題は、結果を出すのに必要な時間です。比較的迅速に削減できるコストもあれば、より多くの時間を必要とするコストもあります。組織は以下のことを考慮すべきです。

  • ゼロトラストの様々な柱に対応するために、機関が既に展開している(またはこれから展開する)コンポーネントや要素を評価します。これらは、新たなROIの計算や議論に含める必要のない費用です。さらに、既存のツールと統合することで、ZTの運用に必要な投資を劇的に削減することができます。
  • リスクのレベルや発生に関連する「コスト」や影響を考慮しないと、ROIを正当化することは容易ではありません。
  • ゼロトラストは、セキュリティ戦略を複雑にするのではなく、単純化してコストを節約しなければなりません。

ゼロトラストを導入するための推奨ステップ

セキュリティ戦略にゼロトラストを含めることを計画している場合、現在の環境には、すでに活用できるZTツールやコンポーネントが含まれている可能性があります。例えば、多要素認証を備えた強力なICAMを既に導入している機関は、それを活用してゼロトラストの「ユーザーの柱」能力をサポートすることができます。同様に、機関がモバイルデバイス管理やシステムインベントリツールを持っている場合は、それらを「デバイスの柱」コンポーネントに活用することができます。セキュリティアーキテクチャを変更する際には、既存の支出がどのように活用できるのか、また、新しいモデルをどのようにして、どこに迅速に導入できるのかを検討することが重要です。

ACT-IACが本プロジェクトへの参加を呼びかけた企業は、いずれも単一の包括的なゼロトラスト・ソリューションを特定していませんでした。これらの企業は、完全なソリューションを提供するために、補完的な機能を提供する他の企業と協力しています。計画段階の早い段階で適切なアプローチを選択することが重要である。特定のZTソリューションを選択する際には、セキュリティとコストのバランスを取り、今日と明日の課題の両方を解決できるようにする必要があります。ゼロトラストは、運用の複雑さを追加したり、大規模なアーキテクチャ変更を必要としない成熟したソリューションを今日提供することができます。実際、運用を簡素化しながら、セキュリティを向上させ、重要で価値の高い資産を保護することができます。

誰がアプリケーションやデータへのアクセス権を持っているかを確認・検証し、信頼されたトラフィックが侵害されていないことを確認する能力は非常に重要です。ソリューションは、許可されたトラフィックを分析して、アクティブな脅威、マルウェア、ウイルス、危殆化した資格情報、および制限された機密データを分析することができなければなりません。行動分析と自動化を統合ロギングに適用することで、隠れた悪質な行為者が信頼されているように見えないようにすることができます。ゼロトラストは、粒度の細かい、限定された、検証されたアクセス制御のための柱を使用することです。共通のフレームワークにより、これらの柱が一体となって機能し、統合と戦略的パートナーシップにより複雑さを軽減することができるようになります。

ゼロトラスト・ネットワーキングの移行は、一度にすべてを行う必要はありません。ZT成熟度モデルは、ゼロトラストの旅に乗り出す組織を導くのに役立ちます。このモデルは、実施されている作業を整理し、追跡し、伝達するのに役立ちます。これらのモデルは、取り組みがどこから始まるかを考慮してカスタマイズし、主要なマイルストーンの進捗状況を追跡することができます。図5に成熟度モデルの例を示します。

 

図 5 – ゼロトラスト成熟度モデルの例

Gartner Research社のNeil McDonald氏が2018年12月のレポート「Zero Trust Is an Initial Step on the Roadmap to CARTA(ゼロトラストはCARTAへのロードマップの最初の一歩)」で書いているように、「…ほとんどの企業のデータセンターは、公共ネットワークから隔離され、エンドユーザーのハードウェアから分離されています。エンドユーザーによる公共インターネットへのアクセスと同様に、データセンターへのアクセスは信頼に基づいて付与されます…信頼は通常、IPアドレスの検証によって確立されます。データセンターでは、企業の専有情報とアプリケーションが横方向に保存されます。このフラットな階層構造は、悪党がデータセンターに侵入した場合、すべての情報が危険にさらされることを意味します」 マクドナルド氏が指摘するように、「1台のサーバに足場を得た攻撃者は、簡単に横方向(東西)に他のシステムに拡散することができます」 このような横方向への動きは、脅威が拡散するための一般的なベクトルであり、最近のCryptolockerやPetyaのマルウェア感染を考えてみてください。

マイクロセグメンテーションは横方向の動きを防御するのに役立ちます。マイクロセグメンテーションは、その名の通り、ユーザーのトラフィックをコンテキストに応じたレーンにセグメント化するネットワーク管理手法です。Network WorldのAnn Bednarz氏が指摘しているように、マイクロセグメンテーションによって、企業はワークロードを分離し、互いに安全を確保することができます。ポリシーの定義は論理的であり、ネットワーク・トラフィックを分離されたユーザー・チャネルに絞り込むことができます。これは、許可されたユーザー、アプリケーション、およびそのデバイス間の安全なトンネルと考えてください。さらに重要なのは、マイクロセグメンテーションでは、IPアドレスによるセグメンテーション・セキュリティ・ポリシーを切り離し、代わりに、権限を与えられたユーザーとアプリケーションによる定義されたアクセス・ポリシーを関連付けます。また、(一般的には)セグメント監視、ベースライン・フロー評価、および異常検出も義務付けられています。

一般的なマイクロセグメンテーションのステップには、以下のようなものがあります。

  1. 監査の実施。ユーザー、アプリケーション、データストアなどの間のあらゆる形態のネットワーク接続性(LAN、WAN/SD-WAN、リモート、インターネット・ローカル・ブレイクアウトを含む)をマッピングする。
  2. リスクを特定する。
  3. 「デフォルト拒否」のセグメンテーションアプローチを定義する。何を保護するのか? 何を分離するのか? トラフィックをセグメント化するためにコンテナや API を使用するのか?
  4. セグメントごとにポリシーを定義する。ポリシーがIPアドレスではなく、論理的な属性に関連付けられていることを確認する。
  5. ネットワーク・オーバーレイ、暗号化、SD-WAN 統合、セキュリティ・アプライアンス(物理および仮想の両方)などを含む(GartnerのMcDonald氏によると)技術的なギャップを評価する。

もう 1 つのオプションは、セキュリティを犠牲にすることなくアクセスを可能にするソフトウェア定義境界線(SDP)を使用することです。SDPを使用すると、ユーザーは、ネットワークの内外を問わず、クラウド、データセンター、インターネットのいずれにいても、企業ネットワークに接続することなく、リソースに直接接続することができます。SDPセキュリティ・ソフトウェアは、各ユーザーのネットワーク・トラフィックの周囲に安全な境界線を確立し、いわば1つのネットワークを構築します。例として、GoogleはBeyondCorpと呼ばれる従業員向けの独自のSDPを採用しています。

政府機関がより進化したネットワーク・モデルに積極的に移行する中で、モバイル化が進む拠点からモバイル化が進むデータにアクセスするためだけに、中央の拠点を経由してトラフィックをバックホールするのはもはや効率的ではありません。政府ネットワークの構造が進化し、拡大する中で、政府機関が管理していないネットワークであるインターネットが、データにアクセスするために使用される新しいネットワークとなっています。SDP などの技術など、増加する接続数やデータのトランスポートに対する制御と可視性を維持するために、新しい技術を使用する必要があります。ユーザー(またはSDPホスト)は、トランザクションを承認するSDPコントローラに接続するまで、別のSDPホストとの通信を開始したり、受け入れたりすることはできません。SDPアプローチのキーコンセプトは、SDPコントローラのSDPホストへの指示により、DNS情報とポートの「外部」への可視性の必要性を排除し、部外者には効果的に「隠蔽」したり、目に見えない「暗黒」ネットワークを作成したりすることです。

SDP は、価値の高いエンタープライズ・アプリケーションやデータ・アクセスの周囲に保護バリアを構築するサイバーセキュリティへのアプローチを表しています。この技術やその他の技術は、既存のサイバー脅威や新たに出現するサイバー脅威からアプリケーション・インフラストラクチャを保護することができます。例えば、クレデンシャルの盗難やサーバの悪用などの既存の攻撃は、これらの技術がゼロトラストの重要な要素である認証済みユーザに登録されたデバイスからのアクセスのみを許可するため、動的にブロックされます。

SDP機能は、エージェント、インラインソフトウェア、クラウドサービス、場合によってはオンプレミスなど、さまざまな方法で提供することができます。SDPは、すべてのトランザクションに対してデフォルト拒否の姿勢を維持することで、ゼロトラストに準拠しています。ポリシーは、ユーザーとコンテキスト(通常は行動分析を含む)によって定義され、マイクロセグメンテーションだけの場合よりもリスクを低減します。すべてのトランザクションは、企業のファイアウォールの内部または外部で発生したものと同じ方法で評価されるため、不正な横移動のリスクが排除されます。

SDP を成功させるには、ソフトウェアベースのセキュリティモデルへの移行を確約することが重要です。SDP のオプションを評価する政府機関は、以下の点を考慮する必要があります。

  • 分散型セキュリティモデル(例:クラウドベースのセキュリティアクセスを提供するデータセンターがいくつあるか?
  • ネットワークセキュリティハードウェアは、どの程度までサンセット可能か?
  • サポートされているアプリプラットフォーム – 連邦政府のデータセンターで実行されているか?それとも政府系クラウドか?
  • 非管理型デバイスの扱い – ユーザーはモバイルデバイス(タブレットやスマートフォンを含む)を利用して仕事をこなすことができるか?

SDP は、認証されたユーザーが、ユーザーをネットワーク上に置いたり、プライベートアプリケーションをインターネットに公開したりすることなく、あらゆる環境で実行されている認可されたアプリケーションやデータにアクセスすることを可能にします。ゼロトラストネットワークのために検討されている技術は、以下の基本原則をサポートしている必要があります。

  • 認証維持
  • 動的な認証と信頼
  • 一定の可視性

連邦政府のゼロトラストへの挑戦

前述したように、ゼロトラストは、今日の連邦政府の空間で非常によく使われている要素で構成されたセキュリティ戦略です。とはいえ、どんな新しい技術を導入して運用するにも課題があります。また、特定の運用環境に特有の課題もあります。連邦政府における課題は、その規模、成熟度、および依存関係の組み合わせに起因しています。これらが ZT ソリューションの展開と運用にどのような影響を与えるかについては、以下で説明します。

サイバースセキュリティの成熟度の多様性

連邦政府全体で ZT ソリューションを成功させるための最大の運用上の課題は、サイバーセキュリティの成熟度が一般的に不足していることです。ほとんどの連邦政府機関は、ZTの展開を引き受けるために必要な基礎(機関のポリシー、プロセス、ツールなど)を欠いています。これは、連邦サイバーセキュリティリスク決定報告書(2018年5月18日)で証明されており、特に、標準化されたIT能力とネットワークの可視性が一般的に欠如していることが確認されています。これらの要因だけでは、機関がアプリケーションやサーバーのインベントリのような基本的な作業に苦慮しているため、ZTの導入を数ヶ月、あるいは数年遅らせる可能性がある運用上の課題を生み出しています。実装に ZT 成熟度モデルのアプローチを採用することで、ロードブロックに成功し、より迅速に対応するために必要な重要な能力に対処し、機関をますます成熟したサイバーセキュリティの姿勢に移行させることができます。

連邦政府の小規模な機関が100社以上ありますが、その中にはもう一つの運用上の課題に直面しています。ゼロトラストは、組織の既存のサイバーセキュリティツールを強化することはできますが、それに取って代わるものではありません。ほとんどの小規模機関には、無数のサイバーセキュリティとリスク管理の要件を遵守するために必要な予算とITセキュリティの専門知識が不足しています。ポリシー、プロセス、ツールをしっかりと把握していたとしても、外部組織(DHS、GSA のセンターオブエクセレンスなど)が支援とサポートを提供しない限り、多くの小規模機関でゼロトラストが導入される可能性は低いです。問題を複雑にしているのは、中央で提供されるセキュリティサービスは、小規模機関には高額すぎて手が出ないことが多いということです。

共有システムとネットワーク接続

ゼロトラストの導入を成功させるためのもう 1 つの困難な点は、連邦政府の IT における広範なシステムの相互依存性です。ほぼすべての連邦機関が、他の連邦機関との間でサービス(請求書、勤怠、出張、人事など)を受けたり、提供したりしています。ZT 導入を確実に成功させるためには、技術レベルでのプロバイダと顧客の綿密な調整と相互作用が必要であり、その結果、サービス・プロバイダはこれまで必要とされなかった情報を漏らさなければならない可能性があります。パートナー機関のZT展開をサポートすることに慣れていない、または準備ができていない機関は、予期せぬ遅延をもたらす可能性があります。

準備ができている中央集権型サービスプロバイダは、必要な情報を迅速かつ容易に転送することができますが、ZTの導入では、複数の依存関係がある場合には複雑な問題が発生する可能性があります。これは、規制の厳しい大規模な省庁外の依存関係(金融や医療分野など)に特に影響を与える可能性があります。最後に、これらの依存関係は双方向のものです。民間企業のパートナーが ZT ソリューションに移行すると、連邦政府機関は要件をサポートすることを期待できます。いずれの場合も、サービス・プロバイダー、パートナー、および顧客と早期に頻繁にコミュニケーションを取ることが、これらの課題を克服するための大きな道のりとなります。

コンプライアンス重視からの脱却

上記のような課題は難しいものですが、それは全体像の一部に過ぎません。サイバーセキュリティの要件は、それに対処するための予算よりも大きなペースで増加しています。これにより、「グリーンを追跡する」という文化(つまり、赤、黄、緑のパフォーマンススコアリングモデル)が生まれます。つまり、リスクの管理ではなく、チェーン全体で見られる報告可能な要素に重点が置かれます。 たとえば、継続的な監視は効果的なサイバーセキュリティプログラムの重要な側面ですが、脅威インテリジェンスとレッドチーミングの演習もそうです。ただし、報告されているのは1つだけです。 したがって、政府全体の優先事項として指定されていない限り、ゼロトラストが広く採用される可能性は低いと考えられます。ゼロトラストに関連するすべての関連活動は、機関が望ましい結果を達成するための主要な焦点である必要があります。 ゼロトラストを政府全体の優先事項に指定すると、より広くより迅速な採用を促進することもできます。

TIC 3.0の要件を組み込む

ZTと、それが新しいTrusted Internet Connection (TIC) 3.0ガイダンスとどのように連携するか、またはサポートするかというもう一つの課題があります。以下のTIC使用ケースのリストは、TIC 3.0の覚書と同時に発表されました。DHSは、この取り組みにより、新たな技術や進化するサイバー脅威を考慮した最新のTIC使用ケースの継続的な改善と開発を行うことを意図しています。DHS は、クラウドアプリケーション(ユースケース #1)、省庁が定義したセキュリティ境界線の外にある省庁の支店(ユースケース #2)、省庁が定義したセキュリティ境界線の外にあるリモートユーザ(ユースケース #3)、および他の DHS TIC ユースケースではカバーされていない従来の TIC セキュリティアプローチ(ユースケース #4)などの分野をカバーするために、4 つの異なるユースケースを定義しています。以下の DHS 定義の TIC 使用事例は、ZT ソリューションのアプローチに最も適しています。

ユースケース #1 – クラウド。これらの(成長中の)TICのユースケースのセットは、今日の機関で使用されている最も一般的なクラウドモデルのいくつかをカバーしています。これらには次のようなものが含まれます。

  1. インフラストラクチャ・アズ・ア・サービス(IaaS)
  2. サービスとしてのソフトウェア(SaaS)
  3. サービスとしての電子メール(EaaS)
  4. サービスとしてのプラットフォーム(PaaS)

ZTの使用は、Software as a Service (SaaS)または確立されたPlatform as a Service (PaaS)のクラウドサービスのカテゴリーのいずれかに適合します。FedRAMP認証を受けたZTのクラウドベースの機能は、承認されたTIC 3.0のユースケース#1アプリケーション用に開発することができます。

ユースケース #2 – 代理店の支店。このユースケースでは、機関本部(HQ)とは別の機関の支店があり、サービスの大部分(一般的なウェブトラフィックを含む)にHQを利用していることを想定しています。このケースは、SD-WAN 技術を有効にしたいと考えている機関をサポートします。ZT FedRAMP が承認した SaaS クラウドアプリケーションへの SD-WAN 接続は、この定義された TIC 3.0 のユースケースに適しています。

ユースケース #3 – リモートユーザー。このユースケースは、オリジナルの FedRAMP TIC オーバーレイ(FTO)活動を発展させたものです。このユースケースでは、リモートユーザーが政府支給の機器(GFE)を使用して、政府機関の従来のネットワーク、クラウド、インターネットにどのように接続するかを実証しています。FedRAMPのZTソリューションは、このDHSが定義したTIC 3.0のケースに適しています。

連邦市場におけるゼロトラストネットワークの調達能力

連邦政府機関が市場で特定のゼロトラスト調達手段を探している場合、今日では見つからないでしょう。しかし、ZTが「フレームワークとアーキテクチャ」であることが理解された今、実現技術の製品やサービス・コンポーネントを調達するための選択肢はいくらでもあります。ZT の事業には、サービスと製品の両方が含まれている可能性が高いので、機関は両方に対応できる契約形態を追求することをお勧めします。さらに、機関は、プロジェクトの正確なニーズを満たすために作業明細書をカスタマイズし、完全なマネージド・サービス・アレンジメントの可能性を含めることができるように、サービスの提供に柔軟性を求めるべきです。以下は、最も広く使用されている連邦政府の契約形態のいくつかにZTがどのように適合するかの例です。

GSA SCHEDULE 70

この長期にわたる契約は、長年にわたって堅実なオプションであり、政府に十分に貢献してきました。政府機関は、「高度に適応性のあるサイバーセキュリティサービス」SIN 132-45の下で、サイバー製品の重点的なリストを含むSchedule 70を通じて、ZTコンポーネントの幅広い配列を調達することができます。製品、サービス、または任意の組み合わせを購入するために、Schedule 70 には十分な柔軟性があるように思われる。もちろん、機関が調達アプローチを進める前に、内部の専門家による契約や調達チームと確認することが推奨されます。

GSA ENTERPRISE INFRASTRUCTURE SOLUTIONS (EIS)

一部の機関では、GSA Enterprise Infrastructure Solutions(EIS)手段を介した変革と近代化の取り組みの一環として、ZT のコンポーネントを導入することを選択する場合があります。EIS には、特定の ZT サービスや名前が記載されていないようですが、GSA は、機関固有の要件に対応するために、3 種類の CLIN(Contract line item number)を提供することで、先を見越していました。Individual Case Basis(ICB)CLIN、Task Order Unique CLIN(TUC)、およびCatalog CLINです。これらのCLINタイプは、機関のニーズをカスタマイズし、スタンドアロンのコンポーネントをより多くの「ソリューション」にまとめる柔軟性を提供します。

DHS CONTINUOUS DIAGNOSTICS & MITIGATION (CDM) など

さらに多くのオプションを求める機関は、DHS Continuous Diagnostics & Mitigation(CDM)、NASA SEWP 5、STARS II、Alliant II(もうすぐ期限が切れる!)など、他の潜在的な契約手段を検討することができます。どのような契約手段を選択するにせよ、製品、サービス、優先プライム、コスト、柔軟性などを考慮する必要があります。最終的には、機関は今後の契約リリースや修正で、より多くの「ZT」特有の言葉を目にすることを期待すべきですが、連邦市場には、機関がZTに向けての道を歩み始めるのに十分な、現在の柔軟性のある契約オプションがあるように思われます。

最後の注意点

ゼロトラストは進化的な枠組みであり、革命的なアプローチではありません。ゼロトラストは、既存のセキュリティ概念の上に構築されたものであり、サイバーセキュリティに根本的な新しいアプローチを導入するものではありません。ほとんどのセキュリティ概念と同様に、ゼロトラストは、効果を発揮するためには、組織のサービス、データ、ユーザー、エンドポイントの基本的な理解に依存しています。リソースへの先行投資に関しては、「無料のランチ」はありません。ポリシーの定義、展開の概念、信頼の決定(と減衰)、実施メカニズム、ログの集約など、ソリューションを展開する前にすべてを考慮する必要があります。しかし、投資を行った多くの大規模組織(Google、Akamai、Purdue など)は、セキュリティ投資に対する実際のリターンを示しています。重要な問題は、ZT が今日の政府にとって説得力のある選択肢となるほど成熟しているかどうかということです。

ZTは、それ自体が技術ではなく、サイバーセキュリティのための設計アプローチのシフトです。現在のソリューションの分野では、ネットワーク設計が複数のベンダーが提供するものを包括的なソリューションに統合して使用する場合、非常に成熟した実績のあるソリューションを示しています。しかし、現在、市場には完全で包括的なZT/SDNソリューションを提供するベンダーはありません。求めているものによっては、機関は要件を満たすために複数のベンダーから製品やサービスを協調的に取得する計画を立てる必要があるかもしれません。連邦政府の領域では、特定の「ZT」という名前の契約車両は存在しないようですが、既存の手段を介してZTの実現可能なサイバー製品やサービスのコンポーネントを調達する機会は存在します。

ゼロトラスト・ネットワークを追求するために決定されたソリューションにかかわらず、ソフトウェア定義ネットワーキングやアイデンティティ、クレデンシャル、アクセス管理(ICAM)などの要素は、長期的なZT戦略を成功させるために不可欠な要素です。ZT は、他のサイバーセキュリティツールやプラクティスを置き換えるのではなく、補完し、補完することができます。脅威インテリジェンス、継続的な監視、およびレッドチーム演習は、ゼロトラスト・ネットワーキング環境と包括的なセキュリティアプローチにとって重要な要素であり続けています。

効果的なゼロトラスト・ネットワーキングの展開が、組織のサイバーセキュリティ態勢を大幅に改善できることは疑いの余地がありません。しかし、多くの連邦政府機関は、他の組織との複雑なデータやサービスの相互依存関係など、無数の課題を抱えています。ZT をミッションクリティカルな複数組織のワークフローに拡張する前に、これらの依存関係を慎重に考慮する必要があります。ZT は成熟した戦略であり、積極的なサイバーセキュリティの投資収益率を提供することができますが、機関がすでに導入しているものによっては、先行投資が必要になる場合があります。

用語集

  • CAC – Common Access Card. 国防総省の身元保証書
  • CDM – Continuous Diagnostics and Mitigation – 国土安全保障省が監督する連邦プログラムで、機能やツールを提供し、継続的にサイバーセキュリティのリスクを特定して優先順位をつけることで、政府のネットワークやシステムのサイバーセキュリティを強化することを目的としています。
  • Control Plane – ネットワークリソースへのアクセス(またはアクセスの許可)を希望するデータプレーンデバイスからの要求を受信して処理するゼロトラスト・ネットワークのコンポーネント。
  • Data Plane Definition – ネットワーク上のすべてのトラフィックを直接処理するアプリケーション、ファイアウォール、プロキシ、ルーターを含む、ゼロトラスト・ネットワークスのコンポーネント。
  • Deperimeterization – 暗号化と動的なデータレベル認証を使用して、複数のレベルでデータを保護するための戦略。
  • EIS – Enterprise Infrastructure Solutions – 連邦政府全体の電気通信およびネットワークソリューション契約
  • ICAM – Identity, Credential, and Access Management – 組織が保護されたリソースへのアクセスを管理、監視、および安全なアクセスを可能にするツール、ポリシー、およびシステム。
  • ITSM – Information Technology Service Management – ITサービスのライフサイクルの設計、作成、提供、サポート、管理に関わる活動。
  • MFA – Multi-Factor Authentication – 認証のための2つ以上の証拠(または要素)を提示することに成功した場合にのみ、コンピュータ利用者にアクセスを許可する認証方法。
  • Network Agent – ネットワークリクエストの行為者について知られているデータの組み合わせで、典型的にはユーザ、アプリケーション、およびデバイスを含み、認可決定を行うために照会される。
  • PIV – Personal Identity Verification – 情報システムや施設へのアクセスを許可するために、個人の身元を確認するために使用されるプロセス。
  • PIV Card – Personal Identity Verification Card– カード所有者が連邦施設および情報システムへのアクセスを許可されるために必要なデータを含み、適用されるすべての連邦アプリケーションのために適切なレベルのセキュリティを保証する米国連邦スマートカード。
  • PIV-D – モバイル機器での実装が困難な物理的なPIVカードに代わる、モバイル機器向けのアイデンティティ証明書の採用に関するNIST特別公開800-157規格。
  • SDN – Software Defined Networking – ネットワーク管理を容易にし、ネットワークのパフォーマンスと監視を向上させるために、プログラム的に効率的なネットワーク構成を可能にするクラウドコンピューティングのアプローチ
  • SDP – Software Defined Perimeter – ユーザーとアクセスするリソースの間に1対1のネットワーク接続を動的に作成することで、ネットワークアクセスをマイクロセグメント化するためのセキュリティフレームワーク。
  • TIC – Trusted Internet Connection – 連邦政府のネットワーク接続を最適化し、TIC アクセス・プロバイダーの厳選されたグループにおける集中ゲートウェイ監視を通じてインシデント対応能力を向上させることを目的とした、管理予算局によって義務付けられたプログラム。アクセス・ポイントの数を減らすことで、政府は潜在的な悪意のあるトラフィックをより簡単に監視し、特定することができるようになりました。
  • Zero Trust – ZT – 組織は境界の内側または外側を自動的に信頼してはならず、代わりにアクセスを許可する前にシステムに接続しようとするすべてのものを検証する必要があるという信念に基づくセキュリティの概念

Dell EMC Streaming Data Platform:アーキテクチャ、構成、および考慮事項

エグゼクティブサマリー

このドキュメントでは、ストリーミングデータをリアルタイムで取り込み、保存、分析するためのスケーラブルなソリューションであるDell EMC™ Streaming Data Platform (SDP)について説明します。このペーパーでは、ソリューションのコンポーネント、論理的および物理的なインフラストラクチャ、構成の詳細、およびソリューションを選択して導入する際に考慮すべき点について説明します。

1 序章

モノのインターネット(IoT)は新たな可能性を約束してくれますが、それを解き放つためには、組織はデータに対する考え方を変えなければなりません。IoTの出現により、世界中に散らばっているセンサーやデバイスからのストリーミングデータを処理する新しいクラスのアプリケーションが登場しました。理論的には、大量のデータを即座に連続的かつ無限に処理・分析することで、リアルタイムの洞察力に変えるという解決策はシンプルです。しかし、ストリーミングIoTデータの管理はそれほど単純ではありません。レガシーインフラストラクチャは、データタイプの異なる数百万のデータソースからのIoTデータのストリーミングをサポートするように作られていません。ストリーミングIoTの世界では、連続的かつ無限のストリームを消費するリアルタイムアプリケーションの世界へのシフトが必要です。

今日では、何百ものアプリケーションがIoTパズルのさまざまなピースを解決しようとしています。このシナリオでは、アプリケーションが変化し続け、さまざまな相互運用性の要件を持ち、独自のインフラストラクチャを必要とするため、完全なエンドツーエンドのソリューションを構築することが困難になります。この複雑なシステムを管理するには、コストと時間がかかり、実質的なメンテナンスが必要になります。

Dell EMC Streaming Data Platformは、これらの問題を解決するために設計されています。インフラストラクチャスタックを簡素化することで、幅広いユースケースに対応するように設計された理想的なエンタープライズソリューションです。

1.1 製品概要

Streaming Data Platformは、リアルタイムで継続的にストリーミングされたデータを取り込み、保存、分析するための拡張性に優れたプラットフォームです。このプラットフォームは、リアルタイムデータと収集したヒストリカルデータの両方を同じアプリケーションで同時に処理することができます。

Streaming Data Platformは、さまざまなソースからのストリーミングデータを取り込んで保存します。これらのソースには、IoTデバイス、ウェブログ、産業用オートメーション、金融データ、ライブビデオ、ソーシャルメディアフィード、アプリケーション、イベントベースのストリームなどが含まれます。このプラットフォームは、低レイテンシーと高可用性を確保しながら、複数のソースからの数百万件のデータストリームを処理することができます。

このプラットフォームは、ストリームの取り込みとストレージを管理し、ストリームを処理する分析アプリケーションをホストします。利用可能なインフラストラクチャ上でデータ処理と分析ジョブを動的に分散します。また、ワークロードの変化に応じて、リアルタイムで処理要件を満たすために、リソースを動的かつ自動的にスケーリングします。Streaming Data Platformは、以下の機能を単一のソフトウェアプラットフォームに統合しています。

  • ストリームの取り込み。このプラットフォームは、静的なものでもストリーミングでも、あらゆるタイプのデータをリアルタイムで取り込みます。データの歴史的なファイルであっても、取り込むと、データのバウンデッドストリームになります。
  • ストリームストレージ。弾力的な階層型ストレージは、リアルタイムデータへの即時アクセスと無限のストレージ、および履歴データへのアクセスを提供します。この緩く結合された長期ストレージにより、すべてのストリーミングデータソースに対応した無制限のデジタルビデオレコーダー(DVR)が可能になります。
  • ストリームアナリティクス。内蔵のアナリティクスエンジンでリアルタイムのストリーム解析が可能。ヒストリカルデータとリアルタイムのストリーミングデータの解析が統合され、アプリケーション開発プロセスが簡素化されました。
  • リアルタイムとヒストリカルの統一。このプラットフォームは、リアルタイムデータとヒストリカルデータを処理し、新しいストリームを作成して保存したり、企業のアラートツールに通知を送信したり、サードパーティの可視化ツールに出力を送信したりすることができます。
  • プラットフォーム管理。統合管理は、データセキュリティ、構成、アクセス制御、リソース管理、直感的なアップグレードプロセス、ヘルスとアラートのサポート、ネットワークトポロジーの監視を提供します。
  • ランタイム管理。Web ポータルを使用して、ストリームのプロパティを設定したり、ストリームメトリクスを表示したり、アプリケーションを実行したり、ジョブステータスを表示したりすることができます。
  • アプリケーション開発。ディストリビューションにはAPIが含まれています。ウェブポータルは、アプリケーションの展開とアーティファクトの保存をサポートしています。

要約すると、このプラットフォームは、連続的にストリーミングされたデータを保存し、そのデータをリアルタイムで分析し、保存されたストリームの履歴分析をサポートすることができます。

1.2 アーキテクチャ

Streaming Data Platformアーキテクチャには、以下の主要なコンポーネントが含まれています。

  • Pravega:Pravegaはオープンソースのストリーミングストレージシステムで、ストリームを実装し、連続的で束縛されないデータを保存または提供するためのファーストクラスのプリミティブとして機能します。このオープンソースプロジェクトは、Dell Technologiesによって推進、設計されています。詳細はPravegaのサイトを参照してください。
  • Apache® Flink:Flinkは、大規模な束縛されていないデータと束縛されていないデータをリアルタイムで処理するための分散コンピューティングエンジンです。Flinkは、ストリーミングデータプラットフォームでストリーミング分析を実行するための主要なコンポーネントです。Flink は Apache Software Foundation のオープンソースプロジェクトです。
  • Kubernetes:Kubernetes(K8s)は、コンテナオーケストレーションのためのオープンソースのプラットフォームです。K8s は、VMware® vSphere® 上で動作する Pivotal Container Service (PKS) を通じて配布されています。
  • 管理プラットフォーム:管理プラットフォームは、Dell Technologies™が独自に開発したソフトウェアです。他のコンポーネントを統合し、セキュリティ、パフォーマンス、構成、監視機能を追加します。管理者、アプリケーション開発者、エンドユーザ向けのWebベースのユーザーインターフェースが含まれています。

図1は、Streaming Data Platformアーキテクチャの上位概念を示しています。

 


注: Streaming Data Platformは、Dell EMC Isilon™システムとDell EMC ECSをパーシステントストレージ用に、Apache Flinkをスティームアナリティクスエンジン用にサポートしています。Dell EMC ECSはSDP 1.1リリースからサポートされています。


1.3 ストリームの定義と範囲 

Pravegaでは、データをStreamに整理しています。Pravegaのサイトによると、Streamとは、耐久性があり、弾力性があり、追加のみで、束縛されていないバイトのシーケンスのことです。Pravegaのストリームは、追加のみのログデータ構造に基づいています。Pravegaは、追加のみのログを使用することで、データを耐久性のあるストレージに迅速に取り込むことができます。

ユーザーがPravegaにストリームを作成する際には、保存するデータの種類を示すためにJSONStreamSensorDataのような名前を付けます。Pravegaは、ストリームをScopeに整理します。Pravega Scopeは、ストリームのコレクションのための安全な名前空間を提供し、複数のストリームを含むことができます。各ストリーム名は同じScope内で一意でなければなりませんが、異なるScope内では同一のストリーム名を使用することができます。

ストリームは名前とスコープによって一意に識別されます。クライアントは、ストリームにデータを追加したり(ライター)、同じストリームからデータを読み込んだり(リーダー)することができます。

Streaming Data Platform内では、アナリティクスプロジェクトを作成することで、UI内にスコープが作成されます。アナリティクスプロジェクトを作成すると、Pravega Scopeが自動的に作成されます。Pravega Scopeの名前は、アナリティクスプロジェクト名から自動的に継承されるので、名前は慎重に選びましょう。どちらの名前も同じです。

2 Streaming Data Platform

ここでは、Streaming Data Platformとそのコンポーネントの概要を説明します。Pravega、Flink、およびPivotal Container Service(PKS)です。

2.1 Pravega

Pravegaは分散システムとして展開され、それはKubernetesの内部にPravegaクラスタを形成します。

Pravegaアーキテクチャは、コントローラインスタンス(コントロールプレーン)とPravegaサーバ(データプレーン)によって形成されたSDS(Software-Defined Storage)アーキテクチャを提供しており、Pravega Segment Storeとしても知られています。図2は、デフォルトのアーキテクチャの概要を示しています。ほとんどのコンポーネントは、ボリュームサイズやステートフルセットやレプリカセットあたりのレプリカ数などのカスタマイズが可能です。

 

2.1.1 Pravega Operator

Pravega Operatorは、Kubernetesのソフトウェア拡張です。Pravegaクラスタを管理し、Pravegaクラスタの作成、削除、サイズ変更などのタスクを自動化します。Streaming Data Platformのインスタンスごとに必要なPravegaオペレータは1つだけです。Kubernetesオペレータの詳細については、Kubernetesページのオペレータパターンを参照してください。

2.1.2 Bookkeeper Operator

Bookkeeper Operator は、Kubernetes に導入された Bookkeeper クラスタを管理し、Bookkeeper クラスタの作成・破棄、クラスタのリサイズ、ローリングアップグレードなど、Bookkeeper クラスタの運用に関連するタスクを自動化します。

2.1.3 Zookeeper Operator

Kubernetes での Zookeeper クラスタの展開を管理します。

2.1.4 Pravega サービスブローカー

Pravega サービスブローカーは、Pravega Scopeを作成したり削除したりします。また、これらのスコープは、関連する認証ポリシーとともに Keycloak に保護されたリソースとして登録されます。

2.1.5 Pravega Controller

Pravega Controllerは、Pravegaコントロールプレーンを実装するPravegaのコアコンポーネントです。Pravegaコントローラは、Pravegaクラスタ内で実行される様々な操作(ストリームの作成、更新、シール、スケール、削除などのアクション)のための中央コーディネータおよびマネージャとしての役割を果たします。また、異なるセグメントストアインスタンスに負荷を分散させる役割も担っています。コントローラインスタンスのセットは、Pravegaのコントロールプレーンを形成します。これらの機能は、ストリームに関する情報の取得、Pravegaクラスタの健全性の監視、メトリクスの収集、その他のタスクを実行するために拡張されています。通常、高可用性を実現するために、クラスタ内で複数のControllerインスタンス(少なくとも3つのインスタンスを推奨)が稼働しています。

2.1.6 Pravega Segment Store

Segment StoreはPravegaデータプレーンを実装しています。Segment StoreはStream Segmentsを管理するための主要なアクセスポイントであり、コンテンツの作成と削除を可能にします。PravegaクライアントはPravega Stream Controllerと通信して、どのSegment Storeを使用しなければならないかを識別します。Pravegaサーバーは、ストリーム内のデータを読み書きするためのAPIを提供します。データストレージには2つの層があります。

  • Tier 1: この階層は、短期で低レイテンシのデータストレージを提供し、Streamに書き込まれたデータの耐久性を保証します。Pravega は Apache Bookkeeper™ を使用して Tier 1 ストレージを実装しています。Tier 1 ストレージは通常 Pravega クラスタ内で動作します。
  • Long-Term Storage (LTS):この階層では、Streamデータに長期ストレージを提供します。Streaming Data Platformは、Dell EMC IsilonとDell EMC ECSをサポートしており、長期ストレージを実装できます。LTSは一般的にPravegaクラスタの外部に配置されます。

デフォルトでは6つのSegment Storeがインストールされていますが、作業量に応じてこの数を増やすことができます。

2.1.7 Pravega Zookeeper

Pravegaは、Pravegaクラスタ内のコンポーネントとの連携にApache Zookeeper™を使用します。デフォルトでは、3台のZookeeperサーバがインストールされています。

2.1.8 Pravega InfluxDB

Pravega influxDBはPravegaのメトリクスを格納するために使用されます。

2.1.9 Pravega Grafana

Pravega Grafanaのダッシュボードには、Pravegaの運用と効率に関するメトリクスが表示されます。

2.1.10 Pravega Bookkeeper

PravegaはApache Bookkeeperを使用しています。短時間で低レイテンシのデータストレージを提供し、Streamsに書き込まれたデータの耐久性を保証します。導入時には、最低でも5つのBookkeeper(ブッキー)を使用してください。デフォルトでは、データの耐久性を保証するために、3つのレプリカをBookkeeperに保持する必要があります。

SDP リリース 1.1 では、Bookkeeper のパフォーマンスを向上させるための新しい設定オプションが導入されました。SDP 1.0 では、vSAN ストレージからの PVC を使用して Bookkeeper をプロビジョニングしていましたが、1.1 では、ローカルデータストアのディスクを使用して Bookkeeper をプロビジョニングするオプションが追加されます。このシナリオでは、各 Bookkeeper は、パフォーマンス向上のために専用のローカル データストア上で動作するようになります。この新しいオプションは、Bookkeeper on BOSH と呼ばれています。


注: BOSH 上の Bookkeeper での大きな変更点は、Bookkeeper が Kubernetes ポッド内で動作しないことです。各 Bookkeeper インスタンスは、専用の仮想マシン内に配置されます。Bookkeeper on vSAN を使用した SDP 1.0 から Bookkeeper on BOSH を使用した SDP 1.1 への移行はサポートされていません。


表 1 に、Streaming Data Platform のインストール時に設定する Bookkeeper の 4 つのパラメータを示します。

表 1 Bookkeeperのパラメータ

パラメータ名 説明
ブックキーパーのレプリカ クラスターに必要なブッキーの数
bkEnsembleSize 元帳が格納されているノードの数。
bkEnsembleSize = ブックキーパーのレプリカ – FF は、許容されるブッキーの失敗の数を表します。例えば、2 つの失敗を許容したい場合、少なくとも 3 つのデータコピーが必要です (bkEnsembleSize = 3)。2 つの失敗したブックキーパーを交換できるようにするには、2 つのブックキーパーを追加でインスタンス化し、合計 5 つのブックキーパーレプリカを作成します。
bkWriteQuorumSize このパラメータは、耐久性を確保するためのデータの複製数に対応しています。デフォルト値は3で、3つの異なるブッキーでデータが3回複製されることを意味します。
bkAckQuorumSize デフォルトでは、以下のようになります。

bkWriteQuorumSize == bkAckQuorumSize

プラットフォームは、書き込みに関するすべての予約の確認が次の書き込みに進むのを待ちます。

2.1.11 Pravegaのデータフロー

以下の手順と図は、データフローの書き込みと読み込みの処理の概要を示しています。

データフローを書き込む。

  1. クライアントがコントローラに連絡して書き込み先を特定する。
  2. コントローラは、セグメントとデータを書き込む場所のセグメントストアのURLを返す。
  3. クライアントはセグメントストアに書き込む。
  4. Apache Bookkeeper の Tier-1 にデータを書き込む。
  5. Pravega からデータが書き込まれたことを確認する確認通知がクライアントに届く。並行して、データは Segment Store のキャッシュボリュームに保存される。
  6. 非同期的に、データは長期ストレージにコピーされる。

 

データフローを読み取る。

  1. クライアントがControllerに連絡して、読み取りを実行する場所を特定する。
  2. Controllerは、セグメントとデータを読み取るためのセグメントストアのURLを返す。
  3. データはセグメント・ストアに要求される。
  4. Segment Store は、データが保存されている場所に応じて、キャッシュまたは長期ストレージから読み込む。この情報は、クライアントの視点からは隠されている。
  5. データをクライアントに返す。

 


注:Apache Bookkeeper は「データフローを読む」シナリオでは使用されません。Apache Bookkeeper に保存されているデータは、復旧のためにのみ使用されます。


2.2 Flink

SDPは、管理されたApache Flink環境の形で分析計算機能を提供します。Flink クラスタは、SDP が Pravega のアクセス資格情報、ストレージ、および HA 構成を使用して Flink クラスタを自動的に構成するため、分析プロジェクトに簡単に導入することができます。FlinkアプリケーションのライフサイクルもSDPによって管理されているため、Flinkアプリケーションの展開、停止、開始、移行を簡単に行うことができます。

SDP 1.1 Flink イメージ環境には、Flink 1.8.3、1.9.2、および Flink 1.10.0 用のイメージが同梱されています。また、カスタム Flink イメージもサポートしています。

Streaming Data Platformでは、Flinkはアナリティクスプロジェクトに紐付けられています。アナリティクスプロジェクトは、ストリーミングまたは分析処理のための隔離された環境です。アナリティクスプロジェクトのプロビジョニングプロセスでは、以下のようなものが作成されます。

  • プロジェクトのセキュリティ認証情報
  • プロジェクトの資格情報で確保されたPravega Scope(プロジェクトと同じ名前)
  • プロジェクト分析コンポーネント用ストレージ(NFSまたはECS S3でバックアップされている
  • 共通のインフラストラクチャ コンポーネントを含む Kubernetes の名前空間 (プロジェクトと同じ名前)
    • Zookeeper クラスタ (デフォルトでは 3 ノード)
    • 安全なMavenリポジトリ(専用のDNS名でクラスタ外からアクセス可能)
    • プロジェクトの資格情報を含むKubernetesの秘密

アナリティクスプロジェクトが作成されると、ユーザーはニーズに応じて1つ以上のFlinkクラスタを作成することができます。デフォルトでは、Flink クラスターは 1 つのジョブマネージャーと n 個のタスクマネージャーで構成されています。クラスタ内のタスクマネージャーの数は、いつでも調整できます。SDPは、適切なPravegaの資格情報、ストレージ、および高可用性の構成でFlinkクラスタを自動的に構成するため、管理者の負担が軽減されます。解析プロジェクトの図については、図 3 を参照してください。

 

2.3 Pivotal Container Service(Kubernetes)

Kubernetes プラットフォームである Pivotal Container Service(PKS)の中では、配置構成をプランと呼んでいます。プランには、ワーカーの数、マスターの数、VMあたりのCPU、メモリ、ディスクなどの項目の設定が含まれています。これらのプランを使用してPKSクラスタを作成します。

Streaming Data Platformには2つのプランがあります。

スモール(テスト用)。

  • 名称: 小
  • Master/ETCDノードのインスタンス。1
  • Master/ETCD VM タイプ: medium.disk (CPU: 2, RAM: 4 GB, disk: 32 GB)
  • Master永続diskサイズ:50 GB
  • Master/ETCD利用可能ゾーン:az1
  • クラスタ上のWorkerの最大数。50
  • Workerノードのインスタンス。3
  • Worker VM タイプ: xlarge (CPU: 4、RAM: 16 GB、disk: 32 GB)
  • Workerの永続的なdiskサイズ:50 GB
  • Workerの利用可能ゾーン: az1

ラージ(本番用)。

  • 名称:ラージ
  • Master/ETCDノードインスタンス。3
  • Master/ETCD VM タイプ: medium.disk (CPU: 2, RAM: 4 GB, disk: 32 GB)
  • Master永続diskサイズ:30 GB
  • Master/ETCD利用可能ゾーン:az1
  • クラスタ上の最大Worker数。50
  • Workerノードのインスタンス。5
  • Worker VM タイプ。2xlarge (CPU: 8, RAM: 32 GB, disk: 64 GB)
  • Workerの永続的なdiskサイズ:50 GB
  • Workerの利用可能ゾーン: az1

注:これらの計画で定義されているワーカーノードの数は、デフォルト値に対応しています。実際の SDP 導入では、この値は変更される可能性があります。


3 論理的なインフラストラクチャ

Streaming Data Platformは、Kubernetes環境で動作するソフトウェアのみのプラットフォームです。ここでは、推奨されるアーキテクチャについて説明します。

VMware ESXi™ が各物理サーバーにインストールされています。SDP 1.1では、専用の管理ノードはなくなりました。すべての物理サーバーは、1つのVMwareクラスタの一部になりました。

VMware vCenter®内に展開されているのは、NSX-T、OPS Manager、Enterprise Pivotal Container Service(PKS)、BOSH、およびVMware Harbor Registryです。

SDPはPKSバージョン1.6.1をサポートしています。

PKSは、各新しいVMの管理とK8sクラスタの展開を担当します。K8s クラスタで実行できる SDP インスタンスは 1 つだけで、1 対 1 の関係を形成します。複数のSDPインスタンスを展開するには、他のK8sクラスタを展開する必要があります。そのK8sクラスタがPKSクラスタです。PKSクラスタの作成は簡単で、1つのコマンドで実行されます。唯一の制限は、VMware vCenter クラスターで利用可能な物理リソースです。

Streaming Data Platform 1.1では、4つの展開オプションがあります。詳細は表2を参照してください。

表2 クラスターサイズ

サイズ 物理サーバ 論理インフラストラクチャ
最小 4 図4参照
6 図4参照
12 図4参照
24 図4参照

 

図4 Streaming Data Platformインフラストラクチャの論理図

 

3.1 Pivotalの構成要素

この項では、解決策のPivotal成分について説明します。

3.1.1 Operations Manager

Pivotal Operations Manager (Ops Manager)は、Enterprise PKS、BOSH、Harbor RegistryなどのPivotalコンポーネントの展開を管理するためのユーザーインターフェースを提供します。

3.1.2 Pivotal Container Service

Streaming Data Platformの実行にはKubernetes(K8s)環境が必要です。K8sクラスタの実行にはPivotal Container Service(PKS)を使用します。PKSは、Kubernetesクラスタの管理を簡素化するエンタープライズKubernetesプラットフォームです。また、現在のワークロードに応じて、環境を迅速にスケールアップまたはスケールダウンするための機能を提供します。

3.1.3 BOSH Director for vSphere

BOSH Director for vSphereは、複数のVM上でソフトウェアのプロビジョニングと展開を行うことができる強力なツールです。Pivotalプラットフォーム内では重要な要素となっています。PKSでは、BOSHを使用してKubernetesクラスタの実行と管理を行っています。

3.1.4 Harbor

HarborはPKSに付属しているDockerのレジストリです。Streaming Data PlatformのDockerイメージを保存するために使用します。

3.2 vSAN

VMware vSANは、単一のプラットフォームでストレージを管理できるストレージ仮想化ソフトウェアです。vSphere クラスタからアクセス可能なすべてのストレージ デバイスを共有データ プールに結合します。物理クラスタ ノードからプロビジョニングされたすべてのローカル ディスクがマージされ、vSAN ストレージ プールが形成されます。プールには、起動専用のノードやローカル リソースは含まれません。vSAN を使用すると、個別のアレイやストレージ ネットワーク ハードウェアを展開したり、維持したりする必要はありません。

Streaming Data Platformは、VM用のストレージをプロビジョニングするためにvSANを使用し、またKubernetesクラスタ内のストレージクラスとしても使用しています。Kubernetesのストレージクラスは、異なるポッドやコンテナに永続的ボリューム(PV)を動的にプロビジョニングするために使用されます。ポッドは永続的ボリュームクレーム(PVC)を消費し、PVCはPVを消費します。

KubernetesのストレージクラスとPVの詳細については、Kubernetesのストレージ概念のページを参照してください。

Streaming Data Platform 1.1 では、ESXi ノードあたり 4 台のディスクを vSAN 用に使用することを推奨しています (1 台の NVMe キャッシュドライブと 3 台の SSD 容量ドライブを 1 つのディスクグループに編成)。この新しいモデルでは、残りのディスクをBookkeeper on Bosh用に予約することができます。

例えば、ESXiノードにNVMeローカルディスクが5台、SSDローカルディスクが3台ある場合、4台(NVMe1台+SSD3台)のディスクをvSAN専用とし、3台のNVMeディスクをBookkeeper VMに使用することになります。また、ディスク障害に対応するために、NVMeディスクを1台予備として確保しておくことをお勧めします。

vSAN構成のハイライトと推奨事項には、以下のようなものがあります。

  • 初期設定では、利用可能な最高のハードディスクデバイスコントローラモデルを構成します。
  • 書き込み性能(読み取り性能ではなく)の点で、最適なSSDモデルを使用して、書き込み集約型I/Oモデルを使用します。
  • vSAN デフォルトのストレージ ポリシーでストライプを使用します。
  • mirror-1 の故障最小保護を使用します。
  • オートバランスを有効にします。スタンドアロン クラスタでは障害ドメインは必要ありません。
  • vSANクラスタの健全性と容量を定期的に監視します。
  • 管理VMにNFSまたはその他の共有ストレージデータストアを使用して、PKSのみにvSANを使用可能な状態にします。

3.3 論理ネットワークアーキテクチャ

Streaming Data Platform アーキテクチャでは、次のネットワークレベルの構成を利用できます。

  • vCenter分散スイッチ
  • NSX-T ソフトウェア定義ネットワーク(SDN)

3.3.1 vCenter分散スイッチ構成のレビュー

このセクションでは、ノードごとに4つの物理ネットワークインターフェースを使用する場合の例とベストプラクティスを説明します。この例の図については、図6を参照してください。

 

図 7 は、vCenter for Streaming Data Platform で異なるトラフィック タイプを分離して分散する方法の例を示しています。

 

分散型スイッチのハイライトとベストプラクティスには、以下のようなものがあります。

  • DVS 設定でネットワーク I/O 制御を無効にします。
    • このアクションにより、vSAN のスループットが最大化され、ポートグループでの事前に制限された帯域幅を回避することができます。
    • 管理には低帯域幅が必要です。
    • VMotion トラフィックは時折発生し、連続的ではありません。
    • vSAN トラフィックが最も集中します。
  • LACPは物理スイッチで定義されているため、この制御は必要ありません。
    • この属性は、DVSではlag1として設定されています。
    • この設定では、ネットワーク I/O 制御は必要ありません。
  • DVS の詳細設定を設定します。
    • LLDP(Link Layer Discovery Protocol)動作モードを Both に設定します。
    • マルチキャストフィルタリングモードを必要な規格に合わせて設定します。
  • 各ポートグループの VLAN 設定とアップリンクのチーミングを設定します。
  • 各物理サーバに最低4つの10/25 GbEネットワークインタフェースがあることを確認します。
  • 以下の2つのペアで冗長性を確保します。
    • NSX-T オーバーレイ ESXI ホスト ネットワーク用の 1 つの NIC ペア (vmnic2 と vmnic3)
    • 他のサービス: vMotion、vSAN、Edge、およびオーバーレイVMネットワークトラフィック(vmnic0とvmnic1)用の1つのNICペア
  • vSANは前提条件として冗長性が必要です。

3.3.2 NSX-T ソフトウェア定義ネットワーク

このセクションでは、NSX-T のソフトウェア定義ネットワーク (SDN) の概念と構成について説明します。

3.3.2.1 NSX-Tのコンセプト

NSX-Tは、従来のNSX-Vに代わるVMware製品です。

  • これは、Geneve ユニバーサル トンネリング カプセル化プロトコルに基づいています。L2 by L3 のカプセル化方式を採用しています。
  • NSX-Tの現在のバージョンは2.5.1(2019年12月現在)です。
    • MTUの最小値は1600です。推奨値は、Top-Of-Rackスイッチがサポートしている場合は9000です。
    • Geneve ネットワークは、NSX-T の命名法ではオーバーレイネットワークに相当します。
  • エッジVMクラスタは、顧客ネットワークの外部トラフィックへのアップリンクトラフィックを管理します。
3.3.2.2 PKSのコンセプト

PKSには以下の点が当てはまります。

  • BGPが必要なレイヤ3スイッチ
  • T0ルータ
    • 物理スイッチのルーティング通信を管理する
    • BGP設定が必要
    • K8のパブリックIPルートを外部に配布する
  • T1 ルーター
    • すべてのESXiホストに分散
    • PKSは、固有のT0とリンクしたT1のみを作成する
  • NSX-Tでは、Streaming Data Platformサービスを公開するために、サブネットIP範囲(/24サブネット、フローティングIPプール)が必要です。
  • PKSでサポートされている現在のT0アクティブパッシブクラスタ構成
3.3.2.3 PKSのNSX-T構成

以下の点は、PKS用のNSX-Tの構成に当てはまります。

  • FLIP(フローティングIPプール)
    • Streaming Data Platformサービスを外部に公開するために必要です(Pravega Controller、ingress、Grafana、またはFlinkなど)。
    • スケールアップしてより多くのPKSクラスタを作成し、独立したStreaming Data Platformインスタンスを取得します。PKS SDP クラスターの数は、物理ノードの総数と各 PKS クラスターに必要なサイズによって異なります。
    • PKSクラスタにワーカー(VMS)を追加して、1つのStreaming Data Platform PKSクラスタ内でより多くのK8ノードを取得できるようにスケールアウトします。例:1つのStreaming Data Platformクラスタは、マスター3人、ワーカー5人から、1クラスタあたりのワーカー数を30~40人にまで増やすことができます。
  • IPプール(VTEP、オーバーレイNSX-Tリソース内部通信)。
    • 例:172.16.104.0/24 on VLAN 104
  • IPAM IPプール(ポッドとPKSノードの内部IP)
    • ノードのIPAM範囲:172.32.0.0/16
    • ポッドのIPAM範囲:172.28.0.0/14
  • ノードのオーバーレイ構成
    • vmnic2 と vmnic3 はオーバーレイプロトコル専用で、NSX-T はこれらのインターフェイスを完全に制御する
    • ソフトLACPに近いロードバランスとして論理的に設定されている
    • PKS/K8s Streaming Data Platformポッドの完全な内部通信を提供
    • エッジオーバーレイの通信はvCenter DVSで行う(それらはVMである)
  • プロファイル
    • アップリンクとオーバーレイアセットの設定定義
    • エッジクラスタ-VMの健全性のための良い構成キー
  • 以下に登録されているvCenter
    • すべてのNSX-Tコンポーネントとの通信
    • 各ESXiにカーネルモジュールをインストールして、NICを直接管理する
  • T0ルータ構成の考慮事項(PKSに必要なのは1つだけ)
    • NAT:すべての管理Pivotal IPを手動で追加する必要があります。
      • DNATとSNAT
      • s-pks-mgmt スイッチは手動で作成されました。
        Pivotal やその他の管理用 VM 用に、FLIP の最初の 7 つの IP を予約します。
        例。

        • OpsMan: 172.16.0.2
        • Boshd: 172.16.0.3
        • PKS: 172.16.0.4
        • Harbor: 172.16.0.5
        • linux-Jumpserver: 172.16.0.6
        • DNS-Internal: 172.16.0.7
  • BGP(スイッチ構成例)
    • 172.16.105.20
    • 172.16.105.21
    • 近隣環境:172.16.105.2、172.16.105.3(物理スイッチ)
      • 記載されている経路分布T0
      • 前提条件としてファイアウォールを無効にする
      • 内部OpsMan、PKS、および管理用IPのT0 NAT
      • NATヘアーピンニング
      • T0 NATとルーティングパスの分配
      • ヘアピニング。ソースとデスティネーションがNSX-T NATの後ろにある

 

  • 管理用T1分散ルータ: ls-pks-mgmt
    • 手動操作。重要な管理VMで使用される最初の7つのIPのみ
    • ルートポートを作成。172.16.0.1
    • サービスルータは必要ありません。エッジクラスタとの関連付けは必要ありません。
    • ルート配信を有効にする
  • PKSで作成したT0にリンクしたT1自動ルータ
    • API通信でPKSで管理
    • PKSが扱うすべてのNSX-Tオブジェクト
      • ハイライト。PKSクラスタの削除は、NSX-Tで作成されたすべてのオブジェクトを解放するために、PKS CLIから実行する必要があります。
      •  https://code.vmware.com/apis/696/nsx-t
      • 1つのオブジェクトを手動で削除する必要がある場合は、APIコールを使用します。
      • 例: DELETE /api/v1/logical-router-ports/<logical-router-port-id>

curl -k -u admin:P@ssw0rd -X DELETE ‘https://172.16.101.61/api/v1/logicalrouter-ports/e78a357e-274c-428a-9e4d-1d660b196804’ -H “X-Allow-Overwrite:
true”

  • 免許証。60日間の評価
  • OpsManとPKSで必要な証明書の生成、NSX-Tで以下のように生成して登録します。

OpsManおよびPKS用のCA.crtおよびPKS-superuser証明書

詳しくは以下をご覧ください:https://docs.vmware.com/en/VMware-EnterprisePKS/1.4/vmware-enterprise-pks-14/GUID-generate-nsx-ca-cert-24.html

3.4 論理インフラストラクチャのオーバーヘッドに関する考慮事項

仮想化レイヤ、特にPKSは、無視できないほどのリソースオーバーヘッドを導入します。SDPではこれらのリソースを考慮することができないため、これらのオーバーヘッドを正確に推定する必要があります。

表3 最小限と小規模の展開

VM vCPU Memory (GB) Disk Space (GB)
vCenter Appliance (x2) 4 16 290
NSX-T Manager (x3) 6 24 200
Ops Manager 1 8 160
BOSH Director 2 8 103
PKS Control Plane 2 8 29
Harbor Registry 2 8 167
NSX-T Edge Node (x4) 8 32 120
TOTAL 65 264 2119

 

表4 中規模および大規模な展開

VM vCPU Memory (GB) Disk Space (GB)
vCenter Appliance (x2) 8 32 290
NSX-T Manager (x3) 8 32 200
Ops Manager 4 16 160
BOSH Director 4 16 103
PKS Control Plane 4 16 50
Harbor Registry 2 8 167
NSX-T Edge Node (x8) 8 32 120
TOTAL 118 472 2703

注:考慮すべき重要なポイントの1つは、中/大規模クラスタサイズの場合、NSX-Tエッジノードの数を2倍にすることです。目的は、クラスタがインバウンド/アウトバウンドのトラフィック容量を2倍にできるようにすることです。また、NSX-T Edge Nodesは、NSX-T Edge Nodesが動作する物理サーバの25GbEポートにマップされることを想定しています。また、NSX-Tエッジノードにアンチアフィニティポリシーを設定して、物理サーバに分散させることも重要です。


もう一つ考慮しなければならないのは、vSANは物理サーバごとに一定量の物理メモリを消費するということです。vSANのメモリ消費量を以下のように考えてみましょう。

表5 vSAN オーバーヘッド

リソース Memory (GB)
物理サーバごとにvSANに割り当てられたRAM 64

最後の検討事項として、追加のネットワーク問題を回避するために、SDP用の内部DNSサーバーをセットアップすることが重要です。また、運用やトラブルシューティングのためにVMを準備しておくことも推奨されます。

表6 DNS と Jumpbox のオーバーヘッド

VM vCPU Memory (GB) Disk Space (GB)
Internal SDP DNS Server (x2) 4 8 100
Linux or Windows Jump Server (x2) 8 32 100
TOTAL 24 80 400

4 物理的インフラ

ここでは、Streaming Data Platformの推奨物理インフラについて説明します。

4.1 サーバー

このソリューションでは、2つの物理アーキテクチャのオプションを提供しています。

  • 従来のモデル:PowerEdge R640シリーズの使用を推奨
  • Dell EMC VxRailモデル:VxRail Hyperconvergedインフラストラクチャを使用しています。このモデルでは、Bookkeeper on Bosh の展開はサポートされていません。

どちらのモデルも、4つの異なる展開オプション(最小/小/中/大)をサポートしています

表7 クラスターサイズ

サイズ 物理サーバー
最小 4
6
12
24

4.1.1 従来のモデル

コンピュートノードはESXiバージョン6.7.0u3以上で動作しています。各ノードは、Dell EMC PowerEdge™ R640 サーバを使用して構築されています。詳細については、表 8 と図 8 を参照してください。

表8  従来のモデル:コンピュートノード

Node type Model CPU RAM NICs Disks
Compute PowerEdge
R640
2 Intel® Xeon®
Gold 6230 CPU @
2.10GHz, 20 cores, 40
threads
Total of 80 vCPUs
384 GB
DDR4-2400
or faster
2 x 25 GbE
nics (for a
total of 4 x 25
GbE ports)
SFP28
recommended
2 x 240 GB BOSS
controller, M2 for boot
disk in RAID 1
PERC H330 RAID
Controller, 5 x 1.6 TB
NVMe Drives and 3 x
1.6 TB SSD Writeoriented performance.

 

4.2 スイッチ

Streaming Data Platformには、2台のトップオブラックスイッチが必要です。Dell EMC PowerSwitch S5200-ONシリーズスイッチを推奨します。デュアルスピード10/25 GbE(SFP+/SFP28)ポートと40/100 GbEアップリンクを提供します。

サーバー数や将来の成長要件に応じて、以下のスイッチを推奨します。

  • 成長が期待できない4台または6台のサーバーを持つ最小・小規模クラスタ:2台のPowerSwitch S5224-ON
  • 12台のサーバーを搭載した中規模クラスター:2台のPowerSwitch S5248-ON
  • 24台のサーバを搭載した大規模クラスタ:2台のPowerSwitch S5296-ON

 

トラフィックは以下のように2つのスイッチに分散させることができます。

  • 内部トラフィック:管理およびNSX-Tオーバーレイ通信
  • 外部トラフィック:アップリンクネットワーク(NSX-T)と長期ストレージトラフィック
  • vCenterネイティブ・トラフィック: Isilonストレージ上のvSAN、vMotion、vCenterデータストア

注:アップリンクポートのMTUは、スイッチ(内部スイッチ、カスタマスイッチ)で9216に設定する必要があります。


4.3 Long-Term Storage (LTS)

Streaming Data Platform 1.1では、新しいストレージオプションが導入されました。以前のSDPリリースではLTSとしてIsilonをサポートしていましたが、SDP 1.1ではLTSとしてECSをサポートしています。これにより、ECS S3バケットをPravega長期ストレージと分析プロジェクトのストレージに使用できるようになります。この判断はインストール時に行う必要があります。同じSDPインスタンスで両方のストレージオプションを同時に使用することはできません。一方のストレージオプションから他方のストレージオプションへの移行はサポートされていないことに注意してください。

4.3.1 Isilon

Streaming Data Platformは、NFSv4/v3をLTSとして搭載したIsilonシステムをサポートし、長期・永続的なストレージを実現します。

H600、H500、H5600、H400、A200、またはA2000モデルがサポートされています。長期的に予想されるデータの増加に応じて、適切なIsilonモデルを慎重に選択してください。

Isilon構成のハイライトと推奨事項は以下の通りです。

  • IsilonシステムではNFSv4が有効になっています。
  • Isilonストレージは、他のデータセンターリソースと共有することができ、Streaming Data Platform専用にする必要はありません。
  • Isilonストレージを使用して、管理VM、vCenter VM、バックアップ用のNFSデータストアをvCenterに提供することができます。各ノードを構成し、DRSでデータストアクラスタを作成します。この実践により、HA、冗長性、スループットの向上を実現します。
  • 最良のオプションは、IsilonのデータネットワークインターフェースをStreaming Data Platformインフラストラクチャのスイッチに接続することです。このオプションが不可能な場合は、ネットワークHOPの数を最小にして、最高のレイテンシを得るようにしてください。
  • ベストプラクティスは、Isilonネットワークインターフェイスのデータポートに対してスイッチ上でLACPを構成することですが、特定の構成に依存します。
  • 各 Streaming Data Platformsポッドは、vCenter DVSアップリンクポートグループを使用して、仮想T0ルータを使用してNSX-TエッジVMを介してIsilonストレージに接続します。

4.3.2 ECS S3 Buckets

Streaming Data Platformは、長期・永続的なストレージを実現するLTSとしてS3バケットを搭載したECSシステムをサポートしています。

ECS構成のハイライトと考察

  • ECS 3.4 をサポートしています。
  • SDP 1.1はS3ヘッドのみをサポートしています(NFSヘッドへのアクセスはできません)。
  • アクセスキーセキュリティのみサポートされています (Pravega と Analytic Projects の両方)。
    • SDP 1.1 では IAM はサポートされていません。
  • GEOレプリケーションはサポートされていません。
    • バケットへのアクセスはすべて、プライマリ所有サイトを経由する必要があります。
  • ロードバランサーはサポートされていますが、SDPの一部ではありません。
    • Pravega は ECS Smart Client を使用しているため、アプリケーション層でロードバランシングが可能です。
    • Flinkはアプリケーション層でのロードバランシングはできません。
  • HTTPとHTTPSの両方の通信がサポートされています。
    • また、カスタムトラスト(自己署名証明書など)にも対応しています。

ゼロトラストの進化の過程

その短い歴史の中で、情報セキュリティは、基本的に企業ネットワークの境界線の内側にいる者は「信頼されている」、外側にいる者は「信頼されていない」と仮定した境界線ベースのネットワークセキュリティモデルによって支配されてきました。この信頼という概念は、20年以上にわたり、人々がアクセスできるリソースやアプリケーションを決定するための基礎として機能してきました。

続きを読む

収益の自動化のための投資収益率:一貫したデータへの複雑なプロセス

はじめに:収益自動化のROIとは何ですか?

成功している企業は、あらゆる金融システムのトップラインとしての収益会計の役割を理解しています。今日、企業は、従来の収益管理方法を超える必要性も認識しています。明日のマーケットリーダーは進化し、他者を獲得し、ビジネスラインを多様化し、国際市場に拡大し、会計ガイダンスの変更を考慮に入れています。物事は急いで複雑になります。進化するビジネスモデルには、スプレッドシート上のすべてを管理する80〜100人のチームではなく、俊敏なソリューションが必要です。

一部の金融リーダーは、自動化技術を追加の労力と費用と見なしているかもしれませんが、実際には人員配置時間と支出の削減が通常の場合です。

投資収益率(ROI)は、収益自動化ソリューションの実装によってもたらされる節約に直接リンクできます。メリットは、コスト、パフォーマンス、信頼性、可視性など、複数の領域にあります。

続きを読む