fbpx

SDPで特権の過剰リスクを軽減するセキュリティ対策

利点

  • 許可されていないリソースは完全に見えない
  • 接続は安全で、ユーザーとリソース間で1対1で暗号化されている
  • クラウドのように構築—非常にスケーラブルで、分散性と復元力
  • クラウドネイティブ環境とハイブリッド環境全体で一貫したアクセス制御
  • 従来のVPN、NAC、ファイアウォールよりも優れたネットワークセキュリティ
  • リモートおよびサードパーティのアクセスは、ID と状況依存です
  • ネットワーク上の横方向の動きを排除

SDPは、最小限の特権のネットワークアクセスをリアルタイムで実施します。つまり、ユーザー、デバイス、場所を問わず、あらゆるプラットフォームのあらゆるアプリケーションにアクセスできます。

過剰な特権を持つリモートおよびサードパーティのユーザーは、重要なシステムにアクセスする必要があります。しかし、VPNテクノロジは機能しません。ネットワークへの接続を許可するIPアドレスかどうかで、すべてのユーザーを同じように扱います。このオールオアナッシングアプローチでは、特権の過剰なユーザーが発生し、データ侵害のリスクが高まります。結果はデータ侵害、知的財産の盗難、経済的損失または罰金の広範囲に及ぶ可能性があります。そして、ほとんどの企業は破局的なデータ侵害から完全に回復することは決してありません。規制の罰金や財政的影響を除いて、自由市場における組織の評判はほとんど修復不可能です。

安全なアクセスソリューションであるSDPは、ソフトウェアで定義された境界のゼロトラスト原則を実装し、過剰な特権やスーパーユーザーから保護するための統合されたエンタープライズグレードのソリューションを提供します。SDPは、ユーザーとリソース間に暗号化された1 対1の接続を作成し、ID レベルのアクセスポリシーをネットワークレベルで動的に実施します。ポリシーは環境の変化に動的に適応します。ユーザー属性、サーバーメタデータ、および全体的なシステムコンテキストの組み合わせに基づいて、サーバーインスタンスへのアクセスを許可します。

ライブ作品:動的、コンテキスト

特権ユーザーは動的であり、いつでもどこでも作業する必要があります。SDPは、静的アクセスルールをライブ資格(動的な状況依存アクセスポリシー)に置き換えます。Live Entitlements は、ユーザーが何をいつどこで行っているかに基づいて動的にセキュリティを変更します。このきめの細かいアクセス制御により、個々のユーザーは自分の仕事に必要なものだけにアクセスできます。一貫性のある自動セキュリティのメリットを享受し、人的エラー要因を排除します。

きめ細かい個別のネットワークアクセス

VPN やファイアウォールなどの従来のネットワークセキュリティは、さまざまな役割やグループをネットワークセグメントに接続し、アプリケーションレベルの権限に基づいて承認を行います。SDPは根本的に異なります。ポリシーをリアルタイムで理解して、ユーザーごとに個別の境界を作成します。許可されると、SDPは暗号化されたトンネル「Segment Of One」を作成し、トラフィックがユーザーデバイスから保護されたリソースにのみ流れるようにします。

詮索好きな目から完全に覆い隠された

シングルパケット認証テクノロジはインフラストラクチャを隠蔽し、検証されたユーザーのみがシステムと通信できるようにします。これにより、ネットワークの偵察を防止し、ネットワーク上の横方向の動きを制限することで、ネットワークの攻撃対象領域を大幅に削減します。

使い方

Software-Defined Perimeter(SDP)アーキテクチャは、クライアント、コントローラー、ゲートウェイの3つの主要コンポーネントで構成されています。コントローラは、システムの頭脳が常駐する場所であり、システムの信頼ブローカーとして機能します。コントローラのチェックコンテキストおよび助成金の資格。コントローラとゲートウェイは完全に隠れています。

  1. 単一パケット認証(SPA)を使用して、クライアントデバイスはコントローラーへのアクセス要求と認証を行います。コントローラーは資格情報を評価し、ユーザー、環境、インフラストラクチャに基づいてアクセスポリシーを適用します。
  2. コントローラーはコンテキストをチェックし、ライブ資格をクライアントに渡します。コントローラーは、暗号化されて署名されたトークンをクライアントに返します。クライアントには、承認されたネットワークリソースのセットが含まれています。
  3. クライアントはSPAを使用してライブ資格をアップロードします。ゲートウェイはこれを使用して、ユーザーのコンテキストに一致するアプリケーションを検出します。ユーザーが(保護されたサーバーでWebページを開くなどして)リソースにアクセスしようとすると、ネットワークドライバーは適切なクロークゲートウェイにトークンを転送します。ゲートウェイは、ネットワークの場所、デバイスの属性、時刻など、追加のポリシーをリアルタイムで適用します。アクセスを許可または拒否したり、ワンタイムパスワードの入力を求めるなど、ユーザーからの追加アクションを要求したりする場合があります。
  4. このセッションのために、1つのネットワークの動的セグメントが構築されます。許可されると、リソースへのすべてのアクセスは、クライアントから安全で暗号化されたネットワークトンネルを経由し、ゲートウェイを経由してサーバーに到達します。アクセスはLogServer を介してログに記録されるため、ユーザーアクセスの永続的かつ監査可能な記録が確実に存在します。
  5. コントローラーは、コンテキストの変更を継続的に監視し、それに応じて1つのセグメントを適応させます。

SNSでもご購読できます。

コメントを残す

*