ゼロトラスト:BeyondCorpのパートナーを見つける方法

GoogleのBeyondCorpをゼロトラストの代表的な提唱者として、人々は長い変容の旅に出ることなく、どうやってそこにたどり着くのかを常に問いかけに来ます。純粋にGoogleのレンズを通してBeyondCorpを見ると、それは困難で手の届かないものに見えるかもしれません。しかし、良いニュースは、そこに到達するためには、Googleである必要はなく、Googleの規模で運営する必要もないということです。特定のセキュリティベンダーのコアミッションとして、このような複雑な分散システムの構築や運用に苦労することなく、同じ成果を企業に提供することを掲げています。

BeyondCorpへの最も実現可能な道は、ユースケースやプロトコルを選択して小規模にスタートし、アーキテクチャやワークフローが実証された後、さらに拡大していくことです。特定のセキュリティベンダーを用いてこの道を歩み始めた企業は、ゼロトラスト製品というプラットフォームで、世界の集合的なインテリジェンスを検索、分析、可視化し、戦略的な質問への回答に役立てることができます。これを実現するために、彼らは多くの多様な社内ツールやサービスを構築しており、従業員が仕事をこなすためには安全にアクセスする必要があります。開発者のエンパワーメントとは、道を切り開くことを意味します。

ゼロトラスト製品のインフラストラクチャチームの中心的な任務は、運用を管理し、自動化されたツールを実装することで、開発者がより効果的に仕事をこなせるようにすることです。従来のセキュリティ管理はこのミッションに逆効果になることが多いため、チームは安全な生産性を実現するために、より近代的なクラウドネイティブの方法を模索してきました。

そのため、チームは安全な生産性を実現するために、より近代的なクラウドネイティブな方法を模索してきました。その中でも特に目立っていたのが、従来の企業VPNです。エンジニアリング・チームが、社内の誰もが使えるように強力なツールを開発したとしますが、それには VPN が必要なため、それを利用できないとします。これは多くの企業が直面している状況であり、時にはそれに気づかずに直面していることもありますが、ゼロトラスト製品はそれを解決しようとしています。ゼロトラストネットワークアーキテクチャを用いる事で、VPNを無くすことができます。そして多くの方が「私たちはこの状況を脱して、VPN を使わなくても誰もがツールを使えるようにする方法を探しています。GoogleのBeyondCorpを見て、私たちにとって非常に魅力的に見えました。」というでしょう。

ゼロトラスト・ベンダーによる最小特権アクセス

VPNを排除するということは、アクセス制御を排除するということではなく、ゼロトラストをどう実現するのかということです。最近のクラウド移行の一環として、環境の分離を強化することが最優先事項でした。「私たちは、明示的に許可を与えない限り、何も他の何ものとも通信できないようにしています」と言います。”つまり、サーバーレベルに至るまで、誰かにサーバーへのアクセスを許可できないようにしていますが、その理由やアクセスログがあり、何をしていたのかを把握しています。

チームは、複数のアカウント、複数のVPC、複数のセキュリティグループを使用して、弾力性のあるAWS環境を設計しました。真の防御深さでは、セキュリティグループの上にファイアウォールを設置しています。インフラリソースの緊密な分離は、特定のセキュリティベンダーの機能に裏打ちされたアクセス管理レイヤーによって補完されています。このクラウドネイティブアーキテクチャは、アクセス制御をどこに配置するか、ネットワークがどのような役割を果たしているかを認識し、インフラチームとして成熟していることを物語っています。「企業としての年齢が少し上がったので、セキュリティと安全性に関しては少し賢明な判断ができるようになりました。」

優れたゼロトラスト用製品を使用することで、ゼロトラスト製品の開発者やデータサイエンティストは、クレデンシャル管理の必要性を完全に排除した合理化された環境を通じて、必要なときだけSSHで特定のサーバーにログインできるようになりました。「バックエンドのグループに入ってSSHアクセスを許可するだけで、非常に便利です。バックエンドのグループに入り、SSHアクセスを許可するだけで、必要な作業を行い、グループから削除することができます。すべてが監査され、管理が非常に簡単です」

インフラストラクチャチームは、各AWSアカウントの前にいくつかの強固なBastionホストを配置し、SSHアクセスを管理しています。「開発者が必要とするのは、実際に開発を行っている開発スタックへのアクセスだけであり、必ずしも王国への鍵が全てあるわけではありません」セキュリティプロパティがワークフローに組み込まれているため、ユーザーにとってはシームレスで、作業を妨げることなく安全な環境を提供することができます。

BeyondCorpへの道

クラウド移行プロセスを経たばかりの企業では、全く新しい変革的なプロセスをゼロから始めるという発想は、特に魅力的なものではありません。現実的なアプローチを取り、特定のユースケース、つまりサーバーへの特権アクセスから始めました。BeyondCorpのコンセプトに基づいて構築された市場で唯一の特権アクセス管理製品です。Googleほど多くは必要としていませんが、特定のゼロトラストベンダーが持っている基本的な機能はいくつか必要です。

BeyondCorpにインスパイアされた環境で社内のWebアプリケーションへのアクセスを管理する機能がいくつかのベンダーからリリースされ、プラットフォームとしても成熟しています。グローバルに分散されたアクセス・ファブリック(リアルタイム認証エンジン)に支えられており、合理化されたHTTPSワークフローをサポートしています。アクセスは、動的なユーザーやデバイスの状態を考慮した設定可能なポリシーに基づいて許可されます。サーバー・アクセスとウェブ・アクセスの組み合わせは、BeyondCorpアーキテクチャを完全に実現したもので、優れたベンダーのサービスとして利用することができます。

パートナーとして、ゼロトラスト製品がBeyondCorpにインスパイアされた独自のアーキテクチャを実現し、安全でセキュアな方法で生産性の向上を支援できることに興奮しています」と述べています。優れたベンダーが我々をそこに導く手助けをしてくれるなら、我々は100%BeyondCorpモデルに乗っている。自分たちだけではできないだろうし、ゼロトラストを容易に実現させてくれる会社がやってきて、難しい部分の多くを解決してくれるのを見ることができるとなんと喜ばしいことでしょう。Googleがやっていることを読んで、優れたベンダーが『おい、俺たちにもできるぞ!』と言ってくれることは滅多にありません。

SNSでもご購読できます。

コメントを残す

*