fbpx

ゼロトラストセキュリティモデルの維持

この記事では、Active Cypher がActive Cypher File Fortress(ACFF)を使用してゼロ信頼セキュリティモデルを実装する方法について説明します。このドキュメントでは、独自の実装を想像できるように、ACFFを十分に理解することを目的としています。ACFF 製品とアクティブサイファー(AC)ゼロトラストセキュリティモデルのこの説明が、ACFF とゼロトラストセキュリティモデルの採用を検討する際の貴重な情報と説明になることを願っています。

概観

機密データと機密ファイルを不適切または意図しない配布または変更(盗難または妨害行為を含む)から保護することは、重要な考慮事項です。私たちは、革新的で量子復元力のあるファイルレベルのセキュリティと、すでに一般的に使用されている確立された技術的に成熟したMicrosoftユーザー管理インフラストラクチャを統合するアーキテクチャを介して、このリスクを軽減することを提唱しています。Microsoft Azureにおける最近のクラウドコンピューティングの進歩により、このモデルを大規模に展開できるようになりました。

1.前書き

1.1. 増加する制御

しばらくの間、企業のデータとファイルを保護するセキュリティ境界は、明確に定義された企業ネットワークによって、一般にオンプレミスインフラストラクチャの組み合わせとして、仮想プライベートネットワーク(VPN)接続によって拡張されるものとして識別されてきました。これにより、ユーザー認証、およびファイルとアプリケーションのアクセス許可が、既知の物理的および論理的領域内に留まることができました。

ファイルを制御するということは、悪意のある俳優を遠ざけるのに十分な強さの境界を構築することを意味するだけでなく、善意の俳優が壁の外にいる人に妨げられたり影響を受けたりせずに作業を続けられるようにします。時間が経つにつれて、これまで以上に防御的な一次境界を構築するこの方法がどれほどうまく機能しないかを目の当たりにしました。モバイルワーカーとクラウドアプリケーションは、セキュリティ境界を根本的に再定義しました。従業員がリモートで作業したり、自分のデバイスを会社に持ち込んだりすると、データとファイルは一般的に、ますます多孔性のネットワーク境界を介して、多くの場合Webブラウザーを介してアクセスされます。社外では、ファイルはパートナー、コンサルタント、ベンダーなどの外部エージェントと頻繁に共有されます。

ユーザーにとってのこのすべての便利さは、データとファイルへのアクセスと完全性を保護する責任を負う情報セキュリティ専門家にとって、さらに大きな困難を同時にもたらしました。従来のセキュリティ境界は、新しい環境の要求を満たすことができていません。このセキュリティの問題は、オンプレミスのインフラストラクチャからクラウド環境およびハイブリッド環境に移行するビジネスデータとアプリケーションによって悪化します。未来がより早く私たちに向かっているので、新しく異なるモデルと考え方が求められています。一般の人がアクセスできる量子コンピューティングエミュレーターを使用すると、現在のAES-256のセキュリティはほぼバックミラーにあります。法務、財務、リスク、IT部門はすべて、今日の基準ではなく、今後数十年の計画を立てる必要があります。

2. ファイルレベルの境界

2.1. 挑戦

今日、ほとんどの企業は、ファイルの不適切な電子メール送信、アップロード、同期、盗難、または紛失を防ぐために、ファイルを適切に制御することができないことに気付いています。あなたが築いてきた要塞は、ほんの数年前に想像していたよりも高価で複雑になり、より多くの電力を必要としています。不幸な結果には、毎日ネットワークシステムに座っている悪意のある人物、ファイルの持ち出し、データセキュリティによる大混乱が含まれています。それはだ、我々は攻撃的かつ積極的にこの問題を解決する時間。

専門家はさまざまなソリューションを提案します。それらの多くは有効ですが、ほとんどは1つ以上の技術的な問題に悩まされています。これらの課題は次のとおりです。

  • チャレンジ#1
    管理はその製品に固有であり、難しい場合があります。
  • チャレンジ#2
    保護は、攻撃面に対してレーザー固有ではありません(キー交換保護、自動キーの有効期限、および個々のファイルレベルの特定のユーザーのみによる企業ファイルへのアクセスを含む)。
  • チャレンジ#3
    保護は、ファイルを所有する当事者による直接の管理下にはありません。
  • チャレンジ#4
    チームが解散するとき、またはユーザーが組織を離れるときに、最前線のIT担当者がシステムを効果的に管理しないと、ファイルのセキュリティが低下します。

2.2. 誤った安心感

リーダーシップの側の警戒がなければ、これらの問題や他の問題は誤った安心感につながる可能性があり、通常はまったく解決策がないよりも悪いです。

セキュリティ境界をファイル自体に移動することにより、この考慮事項に対するネットワークファイアウォールとVPNへの依存が軽減または排除されます。これらのファイルの保護は、ラップトップやUSBドライブなど、会社のネットワークの外部にある場合や、電子メールに添付されている場合でも、ファイルの場所とは無関係です。さらに、このアーキテクチャにより、機密情報の保護は、手動または自動プロセスによっていつでも迅速に検証できます。

今日の量子復元暗号化は、たとえそれが数十年後であっても、将来的にデータを安全に保ちます。これが、ファイルレベルのセキュリティ境界とゼロトラストモデルの本質です。

3. アクティブサイファーゼロトラストセキュリティモデルとはどういう意味ですか?

3.1. データを保護する

データは、そのライフサイクルにデータにアクセスして操作する権限のあるユーザーが含まれる場合にのみ役立ちます。しかし、ネットワークがないと仮定する必要があります。ファイアウォールはありません。会社のファイルはすべてインターネット上にあります。ファイルは本質的に自分自身を保護する必要があります。

コンピュータシステムとデータを表示する新しい方法が必要です。非常に多くのファイルがあり、世界中のどこにでもある場合、どのようにして会社のすべてのファイルの周りに要塞を構築できますか?

Active Cypherは、ファイルがどこにあっても、会社のファイルは脅威から身を守ることができるはずであると考えています。最初にファイルの内容を難読化し、次に各ファイルの周囲に防御コントロールの境界を作成することにより、この防御境界がファイルの一部になります。ファイルは、Googleドライブ、OneDrive、Dropbox、Boxなどのクラウドプロバイダーに保存され、ラップトップ、スマートフォン、USBドライブ、またはその他のデバイスのどこにでも保存されます。

ACゼロトラストセキュリティモデルは、ユーザーが意図せず、意図的に、場合によっては悪意のあるエラーを発生させることを認めています。ACゼロトラストモデルは、各要求が制御されていないネットワークから発信されたかのように動作するため、ユーザーの認証と承認を確認します。検証中にユーザーのロケールなどの二次的な異常が特定されない限り、検証は透過的に行われます。

4. アクティブサイファーのサイバーセキュリティ哲学の4つの原則

4 つのテネット:

  • ネットワークは多孔性です。データはファイルレベルで保護する必要があります。
  • セキュリティモデルは全体的で、すべてのエンドポイント全体に統合されている必要があります。
  • サイバーセキュリティは、シームレスで、管理が簡単で、検証が簡単でなければなりません。
  • ゼロトラストは、個人またはエンドポイントとの各対話が潜在的なリスクであると想定しています。

5. 「デジタル資産」を横断するアクティブサイファーゼロトラストソリューション

5.1. マイクロソフトとの緊密な統合

マイクロソフトのペーパーはデジタル資産の概念に言及しています。「最適なゼロトラスト実装では、デジタル資産は接続されており、自動化されたポリシー施行を使用して情報に基づくアクセス決定を行うために必要な信号を提供できます。」特定のニーズに応じて、Active Cypher File Fortress (ACFF)システムは、Microsoft AzureとAzure Active Directory(AAD)を中心とするゼロトラストの「デジタルエステート」を作成します。ACFFは完全にMicrosoft Azureに展開できます。ACFFは、ファイルサーバーとドメインコントローラー全体を統合するハイブリッド構成で展開することもできます。どちらの実装でも、Azure Active Directory(AAD)、オンプレミスのActive Directory(AD)、およびMicrosoft Azureの他のリソースがすべて連携して、エンドツーエンドのゼロトラストカバレッジを提供します。

5.2. ID中心のファイル暗号化

ファイルの防御的な境界が作成されると、ファイルの変数の所在は会社にとってリスクではなくなります。ファイルが最終的にどのクラウド、データセンター、デバイスに配置されるかは問題ではなくなります。防御境界線は、悪役を排除します。

もちろん、解読されたファイルの内容とのやり取りを許可または禁止する信頼できる方法も必要です。ACFFで保護されたファイルは実質的にゼロトラストの位置を占め、Microsoft Azure Identity&Access Management Servicesからの認定された権限証明に基づいて、ファイルの境界に入る要求を許可するか拒否するかを決定します。

重要なファイルやデータへのユーザーのアクセスを管理することは、エンタープライズアプリケーションへのユーザーのアクセスを管理することと同じくらい重要ですが、これら2つのタスクは従来、異なるプロセスによって分離され、処理されていました。ACFF は、ユーザーのID情報がエンタープライズアプリケーションにアクセスするためのベースラインであるのと同じように、同じID情報を使用してアクセス制御をファイルレベルに拡張し、機密データを確実に保護できることを認識しています。

保護されたファイル自体には、コンテンツへのアクセスを認証または承認する直接の機能はありませんが、ACFFが存在する場合は、ファイルに代わって承認チェックを実行するために必要な機能を利用できます。ACFFは、Microsoft Azure Active Directoryポリシーで特定のセキュリティとアクセス制御情報をチェックしてから、ファイル境界を超えたユーザーアクセスを許可します。その後、ファイルの内容は自動的に解読され、ユーザーに表示されます。

ACFFは、ファイルが格納または移動されている場所に関係なくファイルへの不正アクセスを防止するID中心のファイル暗号化ソリューションを作成し、適切なアクセス権限を持つユーザーだけが機密データを開いて表示できるようにします。ACFFソリューションは、それによって、漏洩した、盗まれた、または誤って配置されたファイルを間違った人に役に立たなくします。これは企業にとって不可欠です。ユーザーが個人のデバイスや、いくつか例を挙げれば、企業のOneDrive、Dropbox、またはGoogleドライブアカウントなど、さまざまな場所に機密の企業ファイルを保存し続けるためです。ACFFは、重要なファイルが誤ってまたは意図的に侵害されないようにすることで、企業の最も重要なデジタル資産を保護します。

ACFFとWindows Serverオペレーティングシステムの間の統合は、Active Directory Security Groups&Usersの組織構造に重点を置いています。これは、ファイルシステムに保存されている企業資産を保護するための標準として既に受け入れられています。

5 .3. シームレスで透明

ACFFは、Active Directoryのアクセス制御および監査機能と連携して、ITディレクターとエンドユーザーの両方に対してシームレスかつ透過的に動作します。ACFFは、追加の管理やプログラムを必要とせず、鍵、証明書、パスワード、または秘密の知識と交換も必要としません。他のソリューションによって課せられたこれらの制限は、常にIT部門とエンドユーザーの両方に受け入れられるための障害となっています。

エンドユーザーの観点から見ると、ACFFはIT 部門よりもさらに透過的で使いやすくなっています。その人は、現在と同じように企業資産を引き続き使用し、暗号化と復号化のプロセスで追加の要件や負担をかけません。ユーザーが保護されたファイルにアクセスしようとすると、ACFFはID、メンバーシップ、およびアクセスステータスをActive Directoryセキュリティグループを介して確認し、暗号化された企業ファイルへのアクセスをすべて許可または拒否します。

6. Active Cypher File Fortress (ACFF)の実装

6.1. 安全なプライベートクラウド

ACFFは、クライアント用の安全なプライベートクラウドを作成します。すべてのリソースは、クライアントのAzureテナントにあります。安全なプライベートクラウドの結果として、サードパーティ(アクティブサイファーを含む)がデータにアクセスすることはできません。

6.2. キー管理

ACFFの一部として、AES-256の量子弾力性のある多層実装を作成しました。これは、デバイス、ユーザーID、およびAzure Log AnalyticsとMicrosoft Graphセキュリティデータで収集された何千ものビットのインテリジェンスに基づく多要素認証に関連付けられています。ACFF APIとユーザー検証の課題により、最先端の秘密情報交換プロセスが実現します。これにより、キーが盗まれたり侵害されたりすることはなく、権限のない人物やシステムがデータにアクセスすることもありません。

6.3. Microsoft Active Directory

ACFFはActive Directoryと深く統合されています。セキュリティグループとユーザーの組織構造は、ファイルシステムに保存されている企業資産をすでに保護しています。ACFFを使用すると、ITはActive Directoryセキュリティグループを介してその保護を直接かつ明確に管理できます。ACFFは、Active Directoryのアクセス制御および監査機能と連携して、ファイルがユーザーに共有されるさまざまな保護された共有フォルダーに保存されるときに、ファイルを個別に暗号化します。ACFFルールエンジンはAPI を介して接続し、ファイルの復号化要求が提示されるたびにリスクの脅威を評価します。

6.4. コンプライアンスとガバナンス

ACFFは、Azure Security Center、Azure Sentinel、およびAzure Security Graph API のガバナンスとコンプライアンスの認証と検証を利用して、Azureエコシステム内にセキュアなプライベートクラウドを作成します。以下のような法律、金融、ヘルスケアなどの垂直的業界だけでなく、標準のコンプライアンス標準および認証です:

  • NIST 800-173
    • 米国国立標準技術研究所(NIST)によって作成された一連のコンピューターセキュリティポリシー、手順、およびガイドライン。この出版物は、脅威と脆弱性を評価および文書化し、有害事象のリスクを最小限に抑えるためのセキュリティ対策を実装するための、NIST推奨のすべての手順と基準をカバーしています。
  • ISO 27001
    • 2013年に国際標準化機構(ISO)および国際電気標準会議(IEC)27000ファミリーの規格の一部として最初に公開されました。
  • Azure CIS 1.1.0
    • オペレーティングシステム、ミドルウェアおよびソフトウェアアプリケーション、ネットワークデバイスの強化に推奨される技術管理ルールまたは価値。

6.5. Windows仮想デスクトップとの共存

ACFFとMicrosoft Azureの設計および統合により、ソフトウェアはWindows仮想デスクトップ(WVD)環境内でファイル保護ソリューションを提供できます。

WVDは、Azure から直接マルチセッションWindows 10を提供することで、仮想デスクトップの提供方法を​​変えています。さらに、WVDを使用すると、ITはユーザーにWindows 7仮想デスクトップを提供できるだけでなく、既存のリモートデスクトップサービスとWindows ServerデスクトップおよびアプリケーションをすべてAzureの統合エクスペリエンスから管理できるようになります。

ACFFをWindows仮想デスクトップで使用すると、不注意によるデータ損失を防ぎながら、ユーザーデータのアクセシビリティとモビリティを可能にする追加機能が提供されます。ACを使用すると、Azure Information Protection(AIP)の既存のグループセキュリティポリシーとアクセス許可を利用して、Windows 仮想デスクトップを使用しながらユーザーファイルを暗号化できます。ACFFはAIP内で機能し、Active Directory 内の確立されたセキュリティグループ内のファイルを暗号化します。

6.6. Microsoft Teamsとの統合

ACFFは、そのユーザーがADセキュリティグループのアクセス許可を持つファイルとフォルダーのみを表示します。することにより、各ユーザーが自分のセキュリティグループのメンバシップのために適切であるものだけを見ているように、ビューを分割、ACFFは、ファイル名の機密性を維持します。この原則は、表示される保護されたファイルごとに読み取り専用または読み取り書き込み権限を適用することでさらに拡張されます。

7. インストールと導入

7.1. システム要求

インストール、導入、管理が複雑なため、ソリューションとしての暗号化は避けられがちです。私たちの目標は、ファイルを瞬時に暗号化できるように簡単に導入できる暗号化ソリューションを作成することでした。私たちのソリューションは、データが誤った手に渡ることから保護する最も簡単な方法です。

ソフトウェア要件:

  • Microsoft Domain Server 2008 R2以降
  • Windows 7以降のクライアント(Windows 10を推奨)
  • Microsoft AzureまたはOffice 365サブスクリプション

Active CypherのITに対する唯一の要件は、ユーザー、グループ、ファイル共有、およびActive Directory内のアクセス許可を管理するという通常の職務を常に実行していることです。ACFF はバックグラウンドで静かに動作し、それらの管理上の変更をシャドウイングおよび適用して、ファイルの解読をActive Directoryが許可するように構成されているユーザーのみに制限します。

8. クラウドとゼロトラストセキュリティモデル

8.1. ゼロトラストの4つの重要な要素

アクティブサイファーでは、マイクロソフトがあらゆる規模の個人、企業、企業、組織、政府にサービスを提供しているため、マイクロソフトテクノロジースタックと深く統合しています。

前述の論文を参照して、マイクロソフトは、いわゆる「リフトアンドシフト」アプローチが常に適切であるとは限らず、必要でさえないことを認識しています。ただし、ゼロトラストセキュリティのタイムリーな実装を支持しています。「大多数の企業は、既存の投資を活用し、ゼロトラストイニシアチブの価値をより迅速に実現し始めるのに役立つハイブリッドインフラストラクチャを利用することで大きな利益を得ます。」アクティブサイファーファイルフォートレスを使用すると、ゼロトラストセキュリティモデルのメリットは、すべてかゼロかという提案ではありません。それはすぐにそして段階的に実現し始めることができます。

マイクロソフトは、キューブの側面と同様に、ゼロトラストイニシアチブで、適応型インテリジェンス、認証、自動化、データ保護、ポリシーサポート、セグメンテーションという6つの要素に対処することを推奨しています。Active Cypher File Fortressは、いくつかの重要な機能とリソースのギャップを埋めるのに重要であることがわかります。:

  • 認証:ACFFはActive Directoryに依存して強力な多要素認証を実施します。
  • 自動化:イベント駆動型、ルールベース、およびAIは、リスクベースの自動アラートおよび修復を強化し、攻撃への平均応答時間(MTTR)を短縮します。
  • データ保護:ファイルの内容を難読化し、各ファイルの周囲に防御コントロールを配置します。この防御的な境界はファイルの一部であり、機密データを保護しながらファイルと共に移動し、現在および将来の悪意のある、または偶発的な漏洩からの露出を排除します。
  • セグメンテーション:単純な一元化されたネットワークベースの境界から、Active Directoryセキュリティグループを使用した包括的な分散型のセグメンテーションに移行し、デジタル資産全体でソフトウェア定義のマイクロ境界を維持します。

SNSでもご購読できます。

コメントを残す

*