fbpx

ネットワークセキュリティの可視性を失うか、VPNを壊すか?

CISOSに対する、100%リモートワークモードでの勝ちトレードオフを回避する方法についてアドバイスをこちらでまとめます。

現在のサイバーセキュリティの難問

現在の世界的大流行のせいか、より局所的な自然災害イベントのせいかに関わらず、企業や組織は勝ち目のないトレードオフに直面しています。完全なネットワークセキュリティの可視性をあきらめるか、VPN を圧倒しますか?リモートで作業しているユーザーの割合は?ほぼすべての組織で、リモートワークと社会的距離に関する現在の政府の命令またはガイドラインに適応するためにリモートで作業するユーザーの数が劇的に増加しています。これらの作業環境の多くは、従来の仮想プライベートネットワーク(VPN)を引き続き使用して、企業リソースへの安全なリモート接続を確立します。これらのVPN接続は、 ニュースサイト、YouTube、ソーシャルネットワークを定期的にチェックしているユーザーによるトラフィックの増加に加えて、ZoomやCisco WebExなどのコラボレーションビデオツールの使用の増加、または速度テストサイトを使用して接続をチェックします。

これらの極端な状況では、ネットワークの擁護者(セキュリティアナリストレベルからCISOまで)は通常、難しいトレードオフを行わなければなりません。

  1. ネットワーク運用チーム(そして最終的にはエンドユーザー)との戦いは、すべてのユーザーエンドポイントトラフィックを常時オンのフルトンネルVPN接続に強制するため、従来のデータセンターのオンプレミスネットワークセキュリティスタック(Webフィルタリング、DLP、NGFW)とネットワークトラフィック分析(NTA)領域でますます次世代のプラットフォームを使用して、ネットワークセキュリティの可視性を維持できます。
  2. 最近では、信頼できる安全なサイトである多くのミッションクリティカルなWebアプリケーションでは、ユーザーがVPNに接続していないとネットワークセキュリティの可視性のほとんどまたはすべてが失われることを理解しているため、ユーザーはVPNに接続する必要がありません。

Bは所謂ゼロトラスト化の流れです。VPNからゼロトラストへ移行を検討する場合は他の記事をご覧ください。

意思決定を比較検討する:オプションの詳細

この記事では、このネットワークセキュリティの可視性の難問を解決するのに役立つ、利用可能ですでに広く採用されている新しいテクノロジーを評価します。

エンドポイントのセキュリティに関する言葉

上記のトレードオフに対処するセキュリティへの多層防御アプローチの重要なコンポーネントは、Endpoint Detection&Response (EDR)などのエンドポイントソリューションを展開して管理することです。これらのツールは、ホストベースのプロセス、ネットワーク接続、ファイル/署名の検証、およびメモリアクティビティを理解するために非常に重要であることが認められています。さらに、EDRシステムは応答のための貴重なツールをもたらします。それらは、すべてのシステムをスイープして、影響を受けるシステムを特定し(最終的に何かが発生した場合)、次に、それらのホストが他のホストに脅威を拡散しないように検疫できるようにします。

それにもかかわらず、既存のネットワークセキュリティへの投資を活用しているリモートユーザーのネットワークトラフィックの可視性を維持することには、依然として多くのメリットがあります。これらの利点の1つは、高度な攻撃者が活動を隠し、エンドポイントのセキュリティログを操作または無効化できる一方で、「真実」はネットワークトラフィックにあるということです。このアクティビティは、攻撃者が攻撃キルチェーンのフェーズを通過するときに検出できます。

クラウドセキュリティプラットフォーム(CSP)は救助に?

ここ数年、Zscaler、Cisco Umbrella、Palo Alto Prisma などの商用クラウドセキュリティプラットフォームベンダーは、市場での存在感を拡大し、従来のオンプレミスネットワークセキュリティ(通常は物理または仮想アプライアンスベース)に代わるクラウドベースのセキュリティテクノロジーを提供しています。セキュリティとシングルサインオン(SSO)機能を提供するためにエージェントプラスクラウドアプローチを採用するNetSkope などのCASBベンダーのこれらの領域への収束もあります。ほぼすべてがゼロトラストセキュリティフレームワークを強調しており、一部はゼロトラストネットワークアクセス(ZTNA)という用語を作り出しました。これは、広いネットワーク境界から個人またはリソースの小さなグループへの防御を狭めるセキュリティのアイデアです。ZTNAを提供する企業は、セキュリティ機能を現在の作業環境にスケールアウトするためのコストとネットワーク効率の高い方法を提供するため、非常に成功しています。すべてのユーザーが突然リモートで作業しなければならない状況では、これらは非常に重要です。ほとんどのセキュリティ専門家は、ZTNAフレームワークに移行する必要性に同意していますが、問題の領域を特定し始める時期です。

  1. 本質的に、クラウドベースのセキュリティプラットフォームは、幅広い顧客にWeb プロキシ、ファイアウォール、DNSセキュリティドメインに優れた機能を提供することを目指しています。必要に応じて、個々の組織の特定のセキュリティ要件のすべてに対応しているとは限りません。
  2. 分析スイートの観点から、これらのプラットフォームは、計算量の多いネットワークトラフィック/ログの検査と分析を必要とするNetwork Traffic Analytics(NTA)などの機能を制限する可能性のあるパフォーマンストレードオフを行う必要があります。
  3. CSPの多くは、「コミュニティ保護」能力を推進しています。つまり、プラットフォーム内の多くの顧客の脅威を相互に関連付け、対応する検出機能と軽減機能を提供できます。これは非常に価値がありますが、真の集団防衛アプローチではありません。Collective Defenseは、組織/業界/国のSOC アナリストがサイバー脅威の検出と対応に協力できるようにするプラットフォーム機能です。Collective Defenseは、複数のディフェンダー参加者ネットワークを調べて、すべての参加者に新しいリアルタイムの脅威を関連付け、生成します。さらに、Collective Defenseでは、SOCアナリストによる匿名コメントによるライブコラボレーションが可能です。

クラウドセキュリティとホワイトリストベースのトラフィックルーティングアプローチ

クラウドセキュリティプラットフォームを採用した組織の数を考慮すると、ホワイトリストアプローチを使用して、アプリケーションリスクに基づいてユーザートラフィックをインテリジェントにルーティングする機能があります。Zscalerなどのほとんどのソリューションは、ユーザーのエンドポイントネットワークトラフィックを管理して、クラウドプラットフォームを通じて管理するトラフィックを決定できるポリシー管理を備えたエンドポイントエージェントを提供します。セキュリティの観点からリスクが低いトラフィック(YouTube、ビデオ会議/コラボレーション、Salesforce.com、Concurなどのクラウドアプリケーションなど)は、次のいずれかに許可されます。

  1. セキュリティ検査のためにCSPリージョナルセキュアゲートウェイにトンネリング/ルーティングされ、インターネット上のクラウドベースのアプリに最も近いネットワークゲートウェイになります。これは通常、デフォルトのシナリオです。
  2. ユーザーのデバイスからローカルのインターネット接続に直接ルーティングします。これは、CSPを介してパフォーマンスの問題が発生した場合にのみ使用されます。

ホワイトリストに一致しない他のすべてのトラフィックは、CSPリージョナルセキュアゲートウェイを通過し、社内ネットワークセキュリティ検査のためにエンタープライズデータセンターにバックホールすることにより、検査のためにオンデマンド暗号化接続を介して送信できます。ZTNAには、レガシーWeb アプリケーションやシッククライアントアプリケーション、安全なソースコードリポジトリ、内部ビジネスアプリケーションなど、企業ネットワークでのみ利用可能な制限付きアプリケーションにリモートユーザーがアクセスできるようにするアーキテクチャ構成も含まれています。

ホワイトリストベースのリモートユーザートラフィック管理の分析

メリット:

  • クラウドセキュリティプロバイダーのスケールとネットワークリーチを活用して、リスクの低いトラフィックの優先ルーティングを実現する機能を提供します。
  • ネットワークの擁護者がセキュリティの可視性を維持し、社内ネットワークセキュリティツールへの投資コストを活用できるようにします。
  • セキュリティ運用チームがCSPから独立した内部ネットワークトラフィック分析プログラムを展開および調整できるようにします。
  • CSPに依存しない集団防御の可能性を引き出す。
  • ほとんどのCSPは、ユーザーのWeb (HTTP、HTTPS)トラフィックを監視および保護し、ほとんどのネットワークの脅威に対処できます。

可能な軽減策の欠点:

  • エンドポイントネットワークトラフィックポリシーの管理の複雑さの増加。これは、CSP でのエージェントポリシーの一元管理によって大幅に削減できます。
  • おそらく導入と運用のコストが高すぎるか、やりすぎです。小規模な組織またはサイバーセキュリティの成熟度が低い組織は、ZTNA を使用したCSPのみに依存する必要がある場合があります。
  • NTA への追加の資本、OpEx、FTE投資、およびCSPがホワイトリストトラフィック管理ポリシーをサポートできるという想定。
  • 参加者の不足による早期導入者のメリットは、より大きなネットワーク効果の恩恵を受けることができる後期の参加者よりも少なくなります。このフレームワークにより、トラフィックの可視性が大幅に向上するため、CD ネットワークに対する個々の参加者の潜在的な価値が高まります。
  • 電子メールの監視と非Webトラフィックは、CSP製品ではカバーされない場合があります。

CSPを活用した代替NTAアプローチ

エンドポイント+ CSPネットワークログをNTAプラットフォームに送信

トラフィックのホワイトリストへの代替または最初のステップのアプローチは、DNS、DHCP、およびWebプロキシログをCSPからNTAプラットフォームに送信することです。これらは、SIEMまたはSOARツールと組み合わせて、EDRやNGAVなどのエンドポイントセキュリティツールからのログによって補強することもできます。

ログのみのリモートユーザーNTAアプローチの評価

メリット:

  • NTAを装備したデータセンターサイトへのエンドユーザーへの影響とリモートユーザーのデフォルトトラフィックバックホールの削減。
  • NTA ログ収集インフラストラクチャにログを送信するためのより簡単で高速な実装。
  • 通常、CSPの強力な中央ロギング機能により、ログをNTA プラットフォームに簡単に統合できます。

欠点:

  • パケットと比較してログの分析的真実性が低い。
  • ログが高度な攻撃者によって操作/無効化されるリスク。
  • ログを介して特定の攻撃手法と横方向の動きを検出できない可能性。

既存の従来のVPNエージェントを使用する

特定のVPNベンダー(Cisco、Palo Alto、Fortinetなど)に応じて、ポリシーベースのトラフィック管理にはさまざまな機能があります。以前は、唯一の一般的な構成は、ローカルサブネット(通常は/ 24プライベートLAN IP)宛てのトラフィックがローカルネットワークプリンターまたはNASアクセスのVPNトンネルをバイパスできるようにすることでした。代わりに、一部のVPNクライアントでは、インターネットドメイン名に基づくより洗練されたポリシーを使用して、トラフィックをトンネル経由でルーティングするか、ユーザーのインターネットに直接ルーティングできます。このシナリオでは、特定の信頼できるWebアプリケーションへのホワイトリストに登録されたトラフィックのみがインターネットに直接ルーティングされ、残りのすべてのホストトラフィックはトンネルを通過して、ネットワークセキュリティの可視性を持つ地域または中央のデータセンターに戻ります。

従来のVPNエージェントの基本的なホワイトリスト手法の評価

メリット:

  • このアプローチは、CSP / ZTNA への投資を必要としません。
  • VPNゲートウェイに地理的に近い場所にリモートユーザーがいる組織では、パフォーマンスは許容できるかもしれません。

欠点:

  • 従来のVPNエージェントは限られたホワイトリストトラフィックルーティング機能を提供する場合があります。
  • CSPは、信頼できるアプリケーションのネットワークパフォーマンスと遅延を改善します。
  • 複雑なVPNホワイトリストポリシーは管理と維持が困難になります。

まとめと実装計画

概要

ゼロトラストネットワークアクセスモデルを実装するクラウドセキュリティプラットフォームは、ユーザーエクスペリエンスに悪影響を与えることなく、効果的なネットワークトラフィック分析を促進できます。

リモートユーザーにとって効果的なNTAでは、高帯域幅または遅延の影響を受けやすいアプリケーショントラフィックが企業のデータセンターにバックホールされず、代わりにCSPを介して効率的にルーティングされる必要があります。

CSPプラットフォームによる集中ログによって可能になるエンドユーザーネットワークログ分析は、NTAの実行可能な代替手段です。ログのみに依存する行動分析の欠点に​​注意してください。ZTNA機能を備えたCSPを採用していない、または採用する予定がない組織は、既存のVPNソリューションを使用して信頼できるトラフィックをホワイトリストに登録し、残りのトラフィックにNTAを適用できます。

実装計画

段階的にアプローチして、リスクの最も高いユーザーに最初に対処します。たとえば、NTAの可視性は、フィッシングの影響を受けやすい、またはフィッシングの認識トレーニングに失敗したリモートユーザーに対して優先される場合があります。Cloud Security Platformは通常、グループベースのユーザーポリシー管理を備えています。

SNSでもご購読できます。

コメントを残す

*