fbpx

ゼロトラストネットワークアクセス(ZTNA)とゼロトラストモデルの違い

今日、データ侵害の被害に遭うことはほぼ避けられません。免疫のある組織はありません。Facebook、マリオット、さらには政府機関でさえ被害を受けています。現在、専門家は、データの盗難よりも​​深刻な影響を予測しており、データやシステムの操作、会社の機密情報や知的財産の完全な暴露を含みます。同時に、データ保護を実施する際の困難がかつてないほど困難になり、緊急性が高まっています。

ほとんどの攻撃は、認証情報の侵害、脆弱なエンドポイント、管理されていないIoTデバイス、またはアプリケーションやリソースへの保護されていないアクセスが原因です。攻撃者はネットワークへのエントリポイントを獲得し、リソースの発見と制御の拡大を開始します。しかし、組織は意図しない間違いに対しても脆弱です。最近の調査では、人的エラーがデータ侵害の2番目に大きな原因でした。

デジタル世界でのデータとアクセスの保護

  • 信頼は場所やIPアドレスによって決定されなくなりました
  • 安全なアクセスは、ユーザーとアプリケーションが移動するクラウドに進化する必要があります
  • ネットワークの「内部」と企業ネットワークの「外部」に区別がなくなり、セキュリティコンプライアンスを確保

セキュリティコンプライアンスの確保

  • ユーザー、アプリ、デバイスの場所に関係なく、動的なエンドポイントの可視性とポリシーの実施

貴重なリソースとアプリケーションをロックダウンすることが今や不可欠です。しかし、デジタルビジネスイニシアチブを完全に混乱させたり、従業員を混乱させたり、インフラストラクチャを破壊したり、既存の防御を大幅にリセットする必要なく、どうすれば重要な新しいレベルのセキュリティを実現できるでしょうか。

ソリューションはゼロトラストを実装することです

ゼロトラストは、場所に関係なく誰も信頼しないネットワークセキュリティモデルです。ユーザーがネットワークの「内部」にあるか「外部」にあるかに基づいて、信頼を確立できなくなります。すべてのユーザーは、接続前および接続中に精査され、すべての接続は、アクセス可能なリソースを制御するポリシーによって管理されます。

ゼロトラストを活用することは、企業が次のことによってセキュリティの姿勢を強化することを意味します。

  • 検証中:ユーザーとそのデバイスのセキュリティ体制
  • 管理:きめ細かいポリシー施行によるアクセス
  • 保護:データトランザクションの暗号化

ゼロトラストネットワークアクセス(ZTNA)とは何ですか?

ゼロトラストネットワークアクセス(ZTNA)は、ソフトウェア定義境界(SDP)とも呼ばれます。特定のアプリケーションへの接続を許可または拒否する集中ポリシーコントローラを使用します。これらのアプリケーションは検出から隠されているため、攻撃対象領域が大幅に減少します。アクセスを許可する前に、コントローラーは広範な認証と承認を利用して、デバイスの種類、日時、場所などの接続の有効性を確認します。すべての条件が満たされた場合にのみ、接続が許可されます。それ以外の場合は、デフォルトの「拒否」姿勢が想定されます。

セキュリティモデルとしてのゼロトラストとセキュリティアーキテクチャとしてのゼロトラストネットワークアクセス(ZTNA)の違いは何ですか?

ゼロトラストネットワークアクセス(ZTNA)とゼロトラストモデルの違いについて一覧表でまとめました。上記で定義したZTNAの特徴が比較により把握できます。

ゼロトラストネットワークアクセスアーキテクチャ(ZTNA) ゼロトラストモデル
境界の境目 ユーザー、デバイス、アプリケーション、およびステートフルデバイスセキュリティのコンプライアンスチェックの一元認証化 「内部」または「外部」の区別なし
アクセス検証の場所 集中化されたポリシーの実施と分離された制御およびデータプレーン アクセス前およびアクセス中にすべてを認証
ポリシーの適応方法 アプリケーションごと、ユーザーごと、デバイスごとの接続に基づくきめ細かなセグメンテーション。 ID、ロール、デバイス構成、およびデバイスのセキュリティ状態、アプリケーション、動作、その他のパラメーターによるポリシーベースのアクセス
セキュリティのアプローチ 多数のAPT、マルウェア、DDoS攻撃を軽減し、リソースを「暗」にすることで、脅威の表面を大幅に削減。 リソースに最も近い信頼を確立

 

安全なアクセスアーキテクチャを強化して、既存の投資を無駄にすることなく、ZTNAを実現することはできますか?

ゼロトラストは、いくつかの重要な機能を提供します。ゼロトラストネットワークアクセス(ZTNA)、別名ソフトウェア定義境界(SDP)は、複雑な組織でも徐々に導入できます。ゼロトラストとZTNAの両方を含むハイブリッドモデルが可能です。ZTNAのアーキテクチャは、パフォーマンスとスケーラビリティの向上に役立ちます。優れたゼロトラストソリューションのデュアルモード機能は投資保護を提供し、VPNとZTNAアーキテクチャを同時に使用できるようにします。

ゼロトラストネットワークアクセスは、ポリシーの実施を集中化することでこれらの原則を拡張し、すべてのユーザー(およびそのデバイス)が、アクセスするすべてのリソースのきめ細かいポリシーによって管理されるようにします。接続が確立される前にすべてのユーザーを認証し、権限のないユーザーまたはデバイスがリソースにアクセスできないようにします。

さらに、接続中にデバイスのセキュリティ状態を再検証して、セキュリティ状態が受け入れられなくなったかどうかを判断します。このような場合、管理者が設定したポリシーに応じて、デバイスを隔離または修復できます。

最後に、ZTNAはリソースを「暗く」レンダリングします。したがって、権限のないユーザーは、侵入するリソースを「探して」、ネットワークを横断することはできません。そのため、権限のないユーザーがネットワークに侵入して、侵入するリソースを「探す」ことはできません。これにより、APTやマルウェアなどの多数の脅威を軽減または排除することで、攻撃対象領域を大幅に削減できます。

優れたゼロトラストソリューションの機能

優れたゼロトラストソリューションは、ゼロトラストに対する包括的なアプローチを提供します。

  • 多要素認証を含むユーザーID
  • ユーザーの役割と権限
  • アクセスに使用されるデバイスのタイプと場所
  • 接続前および接続中のステートフルデバイスコンプライアンスチェック
  • 使用されているネットワークのタイプ(パブリックホットスポットなど)
  • アプリケーションごとの/リソースごとのルールと権限
  • きめ細かなポリシーの施行

優れたゼロトラストソリューションを使用すると、今日ゼロトラストを取得し、必要なときに必要な場所でZTNAアーキテクチャを実装できます。

  1. 優れたゼロトラストソリューションはVPNテクノロジーのパイオニアです。当社の実績のある専門知識は、ユーザーおよびデバイスの認証、承認、および検証の最先端のモードと相まって、安全で保護された接続を確立することです。
  2. 用語が新しく目立つようになったにもかかわらず、ゼロトラストは常に安全なプラットフォームに組み込まれています。
  3. 優れたゼロトラストソリューションは、即時アクセスの問題とデータ保護の問題に対処します。同時に、組織は必要に応じて特定のユースケースにZTNAを実装できます。
  4. パルスセキュアでは、ゼロトラストを有効にするために既存のセキュリティやネットワークインフラストラクチャを変更する必要はありません。ユーザーエクスペリエンスを維持しながら、指定されたリソースへのアクセスを強化するだけです。

優れたゼロトラスト・ソリューションのユニークな利点

  • 強化されたユーザーエクスペリエンス:統合クライアントは、複数のアプリケーションに同時に簡単でシームレスなアクセスオプションを提供します。
  • 同時デュアルモード接続:個々のアプリケーションまたはリソースの処理方法に応じて、業界をリードするSSL VPNとZTNAを同じ仮想または物理アプライアンスに展開します。たとえば、特定のレガシーまたは機密性の低いアプリケーションは、ZTNAおよびアクセス制御の追加要件を保証しない場合があります。
  • インフラストラクチャ全体に展開可能:Pulse SDPは、オンプレミス、プライベートクラウド、パブリッククラウドなど、すべてのネットワークとデータセンターで使用できます。
  • 既存のSSOおよびIDソリューションとの統合:優れたゼロトラストソリューションは、Okta、Ping Identity、Microsoft ADFSなどのプロバイダーのIDソリューションとの統合を維持します。さらに、Pulse SDPは、多要素認証(MFA)を詳細なデバイスベースおよびホストベースのセキュリティコンプライアンスチェックで補完することにより、これらのIDベースの統合を強化します。
  • SDP包括的なエンドポイントコンプライアンス:モバイル、IoT、ラップトップ/デスクトップデバイスに最も包括的なデバイスコンプライアンスは、一連のエージェントおよびエージェントレスのクライアント評価手法を採用して、準拠デバイスのみがネットワークに接続するようにします。
  • 強力で詳細なロールベースのアクセス制御:高性能ポリシーエンジン、ウィザードポリシー編集、およびSSO機能により、マルチクラウドまたはデータセンターにあるアプリケーションに最も近い統合アクセスが可能になります。
  • 柔軟な導入:データセンターのハードウェアまたは仮想アプライアンス、プライベートクラウド、パブリッククラウド、またはSaaSから選択できる、業界で最も柔軟でスケーラブルな導入オプションを提供します。実績のあるパフォーマンスと規模により、世界最大の企業やサービスプロバイダーに導入されています。

ゼロろトラスト実現への入門

BYODとIoTの流入、従業員のモビリティの増加、マルウェアの増加に伴い、ゼロトラストはかつてないほど重要になっています。しかし、実装するのはあなたが考えるよりも簡単です。

ゼロトラストは、最初に統合クライアントによって有効になります。ポートフォリオ全体で活用され、複数のプラットフォーム(Windows、macOS、iOS、Android)で一貫した合理化されたユーザーエクスペリエンスと一貫したポリシー制御を可能にします。クライアントはエージェントまたはエージェントレスです。

ホストチェッカー機能は、デバイスが接続を許可される前に、クライアントを使用してエンドポイントデバイスに許容可能なセキュリティポスチャを照会します。これにより、安全な接続中でもチェックが続行されます。これにより、マルウェア(WannaCryやNotPetyaなど)やその他のエンドポイントの露出がネットワークに侵入するのを防ぎます。

次に、当社の従来のソリューションには、多要素認証と承認(MFA)機能とシングルサインオン(SSO)機能が統合されており、すべてのユーザーが確実にセキュリティ保護されます。

ユーザーが接続されると、一元化されたポリシー管理と適用により、モバイルワーカーがアクセスできる特定のリソースとアプリケーションが管理され、権限のないユーザーが機密データにアクセスするのを防ぎます。

最後に、高度なSSL暗号化テクノロジーは、すべてのデータトランザクションを保護します。Always On、On Demand、およびアプリケーションごとのVPNなどの機能により、移動中のデータは安全に保護され、準拠しています。

ゼロトラストを拡張する

シンプルなソフトウェアアップグレードにより、SDPはリソースとアプリケーションを「暗い」状態にして(マルウェアの侵入と横方向の拡散を最小限に抑え)、アプリケーションを分離して特定のユーザーと特定のデバイスのみにアクセスを許可するポリシー制御を集中化することにより、ゼロトラストを拡張します。ソリューション全体は、合理化されたユーザーエクスペリエンス、強化されたセキュリティコンプライアンス、および総所有コストの削減のために最適化されています。

優れたゼロトラストソリューションは、デュアルモードサポートを提供する唯一のベンダーであり、従来のVPNとSDPを同時に動作させることができます。さらに、物理アプライアンス、仮想アプライアンス、クラウドアプライアンスによる展開の柔軟性は、真のハイブリッドIT保護を提供し、データセンターとクラウド全体で機密データを保護します。

SNSでもご購読できます。