fbpx

ゼロトラストワールドでの安全なアクセス

BYODおよびIoTエンドポイントの流入は、ハイブリッドITへの転換とモビリティの向上と相まって、セキュリティの専門家が侵害されたエンドポイントのリスクを制限するタスクを複雑にしました。

現代の企業は、継続的な検証と承認のゼロトラストモデルに基づく安全なアクセスソリューションを必要としています。ネットワークアクセスコントロール(NAC)は、ゼロトラストアクセスセキュリティに不可欠な要素です。ゼロトラストNACは、認証されたユーザーと準拠デバイスのみがネットワークに接続できるようにします。組織は、エンドポイントのセキュリティコンプライアンスポリシーを自動的に適用することでメリットを得ます。これにより、全体的なセキュリティリスクが制限され、セキュリティ監査の負担が軽減され、限られたセキュリティスタッフが戦略的プロジェクトに集中できるようになります。

ただし、ゼロトラストNACソリューションを最適に適用する理由、場所、方法に関するベストプラクティスについては、混乱が続いています。このホワイトペーパーでは、Zero Trust NACテクノロジーの概要、ソリューションの革新を推進するダイナミクス、およびNAC実装のベストプラクティスについて説明します。

Zero Trust NACドライバー

エンドポイントの流入

モノのインターネット(IoT)は爆発的に成長しており、組織は産業用IoTデバイス(IIoT )を運用技術(OT)環境でITレルムと統合することで効率を高めたいと考えています。OT環境は通常、完全に分離して動作します。このようなデバイスの接続を拡張すると、管理者がメンテナンスやトラブルシューティングのために現場に出向く必要がなくなるため、ダウンタイムが短縮されます。ただし、IoTデバイスは本質的に安全ではないため、攻撃者がネットワークのより深いところにアクセスできるようにするという重大なリスクが生じます。

一方、BYODは事実上の標準です。労働者は、選択したツールを使用して職務を実行できることを期待しています。これらすべての傾向により、さまざまなエンドポイントが生まれ、それぞれにさまざまなオペレーティングシステムとサポートするアプリがあります。これらすべてのエンドポイントの安全なアクセスを可能にすることを検討している企業は、リスクを最小限に抑えるために、それらが検証、プロファイル、制御、および監視されることを確認する必要があります。

規制とコンプライアンス

FISMA、PCIDSS、NERC、ISO / IEC 27001、GDPR、およびCCPA を含むコンプライアンス要件は、ネットワークの可視性と脅威の低減に対する要求を高め続けています。これの重要な要素は、個人および企業のデータのプライバシーです。セキュリティの違反は、情報の盗難、重い金銭的ペナルティ、否定的な宣伝による信頼と収益の損失のリスクを高めます。自動化されたポリシー実施により、継続的なコンプライアンスが確保され、コストのかかる規制違反を回避するのに役立ちます。

モビリティとクラウドの取り組み

ワーカーのモビリティとクラウドの導入は、ますます加速する速度で行われています。この柔軟性と効率の向上による明らかなビジネス上の利点の欠点は、それが生み出す新しいリスクです。セキュリティおよびネットワーク管理者は、非常に流動的な場所のセットから接続するエンドポイントに対処する必要があります。組織は、リモートエンドポイントとパブリッククラウドインフラストラクチャへの可視性を拡張する必要があります。NACは管理を一元化し、さまざまなランドスケープ全体にわたる可視性と統一されたポリシーを通じて、モバイルデバイスとクラウドデバイスへの安全なアクセスを可能にします。

熟練したセキュリティ専門家の不足

ほとんどのIT組織は、より少ないリソースでより多くのことを実行するように継続的に義務付けられています。セキュリティ専門家の深刻な不足により、経営陣はより優れた価値を持つより優れたセキュリティツールを探し、システムを自動化するため、コアセキュリティチームは戦略的プロジェクトに集中できます。ゼロトラストNACは、さまざまなエンドポイントや分散型アクセスインフラストラクチャ全体にわたっても、中央からすべてのエンドポイントでアクセスポリシーが自動化および適用されることを保証します。

市場ドライバー

  • グローバル規制:FISMA、PCI-DSS、NERC、ISO / IEC 27001、GDPR
  • モビリティ、BYOD、およびクラウドエンドポイントを保護する必要がある
  • IoTおよびIIoT 対応のデバイスは攻撃の危険性を高める
  • NACソリューションは組織のセキュリティポリシーを実施する
  • 自動化されたポリシー実施により、セキュリティ担当者のリソースを解放し、全体的なリスクを軽減

ゼロトラストNACへの進化

NACソリューションは、非常に厳密な認証、承認、アカウンティング(AAA)ベースの施行に焦点を当てて、2000年代初頭に始まりました。これらのソリューションは展開が困難で、運用に支障をきたし、IT管​​理への投資収益率が低いため、初期の採用率が低下しました。

次に、NACソリューションは、IoT、BYOD、ゲストデバイスなどのすべてのエンドポイントからの最新のネットワーク攻撃に対抗するためのセキュリティポリシーの計画と実装における管理を支援する可視性とアクセス制御機能を導入しました。その結果、大規模な組織は、ネットワーク上の管理されていないエンドポイントを明らかにし始め、NACの価値提案を見始めました。

現在、NACは高度なSecurity Automation and Orchestration(SAO)機能でリスクに対処しています。SAOは、コンテキスト情報を他のセキュリティおよびネットワークソリューションと共有することにより、エンドポイントの脅威への対応を自動化します。SIEM、NGFW、MDM / EMMとの双方向統合により、全体的なセキュリティの有効性が向上し、セキュリティおよびネットワーク管理者が繰り返しのタスクを実行する負担を軽減します。

ゼロトラストアーキテクチャのコンセプトは、約10年前から存在しています。ゼロトラストネットワーキング(ZTN)は、不正アクセスを防止し、違反を阻止し、攻撃者がネットワークを横方向に移動するリスクを軽減するための原則または全体的な戦略です。NACは基本的なセキュリティ防御であり、ゼロトラストを展開するための柱です。

コアNAC機能

可視性

ネットワークアクセスを保護および制御するには、管理されているエンドポイントと管理されていないエンドポイントの両方が接続されていることを知る必要があります。ネットワークプロファイリングにより、エンドポイントの検出と分類が可能になり、有線および無線ネットワークへの企業およびゲストユーザーのアクセスも追跡できます。可視性は、ユーザーの役割、デバイスの種類、デバイスの構成、操作、時間、日付、アクセス要求、使用されているアプリケーションまたはネットワークリソース、ネットワークアクティビティなど、さまざまなコンテキストセキュリティデータを提供します。

オンボーディング

自動オンボーディングにより、BYODおよびIoTデバイスの自己登録が可能になります。セキュリティポリシーを通じて、企業リソースへの適切なレベルのアクセスが許可または拒否されます。オンボーディングプロセスの一環として、NACはデバイスのリスク評価分析を実行し、疑わしいデバイスを検疫します。自動プロビジョニングにより、ITはオンボーディングタスクから解放され、BYODとIoTの導入を拡張できます。

セキュリティの自動化とオーケストレーション

長期間にわたって違反が検出されずに残る脅威が高まっています。自動化を行わないと、セキュリティインシデントが毎日の大量のアラートで失われ、見落とされる可能性があります。サードパーティのネットワークセキュリティ、脆弱性とリスクの評価、およびシステム管理ソリューションと組み合わせると、NACコンテキストデータはエンドポイントインテリジェンスの有効性を拡大し、高速で自動化された脅威応答を提供します。

実装

NACプラットフォームを展開するには、慎重な検討と計画が必要です。NACソリューションは、エンドポイントの完全な可視性を提供し、セキュリティポリシーを適用します。使用可能な機能を使用して組織のニーズに最適に合わせる方法については、いくつかの考慮事項があります。

  • 強制する
    • 小さなものから始めましょう。SIEM、NGFW と統合するために拡張します。
  • 可視性
    • ネットワークには何がありますか?
  • ポリシーの作成
    • 「最小特権アクセス」ポリシーを定義し、エンドポイントに一致させます。

フェーズ

ITチームはNACを利用して、企業ネットワークのさまざまなアクセスの課題を段階的に解決します。ネットワークに接続できる豊富なIPおよびWi-Fi対応テクノロジーにより、IT組織は、管理対象デバイス、非管理対象デバイス、およびIoTデバイスのエンドポイントの可視性を、NAC戦略の柱と見なします。

次に、NACは労働力内の変化に対応し、請負業者とパートナーにゲストアクセスを提供し、労働者のBYODを有効にします。NACテクノロジは、ゲストや請負業者によるネットワーク使用の自動管理を強化すると同時に、不正ユーザーや侵害されたデバイスからの脅威を軽減します。

組織はネットワークデバイスの包括的で動的なビューを使用して、ネットワーク上のデバイス(管理対象および非管理対象のIoTデバイスを含む)とユーザーを保護するためのきめ細かいポリシー適用を段階的に実施し、業界の規制と企業ポリシーへのコンプライアンスを確保できます。このフェーズでは、企業は既存のセキュリティインフラストラクチャへの投資を活用して、IDとデバイスのコンテキストを強化し、インシデントの自動軽減を可能にすることができます。

可視性

継続的なエンドポイントプロファイリングには、NAC可視化機能の使用を検討してください。プロファイリングは、エージェントの有無にかかわらず実装できます。DHCP、SNMP、NMAP、WMI、SSH、EMM、およびHTTPセッションの詳細など、さまざまなポーリング方法を使用してデバイスを検出できます。さらに、プロファイラーはデバイスを自動的に分類し、静的IPアドレスが割り当てられたエンドポイントをプロファイルし、開いているポートをアクティブにスキャンしてMACスプーフィングを検出できます。

執行

完全な可視性を実現したら、NACを使用してきめ細かいポリシーを適用し、ネットワーク上のデバイス(IoTデバイスを含む、管理対象および非管理対象)およびユーザーを保護します。これにより、業界の規制と企業ポリシーを確実に遵守できます。お客様は、既存のセキュリティインフラストラクチャへの投資を活用して、IDとデバイスのコンテキストを強化したり、自動化された軽減策を有効にしたりできます。

NACソリューションには、幅広い組み込みの拡張可能なポリシーテンプレートがあります。ポリシーを構築する際に考慮すべきカテゴリは次のとおりです。

  • ユーザーの役割
  • 隔離オプション
  • 許容できるエンドポイントデバイス
  • 時刻
  • ネットワークセグメンテーション

統合

API、Syslog、およびIF-MAPプロトコルを介して、NACをサードパーティのセキュリティソリューションと統合することを検討してください。一般的なファイアウォール、SIEM、エンタープライズモビリティ管理(EMM)、およびその他のシステムと連携してID、ネットワーク、構成のコンテキスト情報を共有できるアラートベースまたはAPIベースのフレームワークでNAC ソリューションを実装します。IF-MAP プロトコルは、既存のIF-MAP対応インフラストラクチャとの相互運用に役立ちます。

True Zero Trustの802.1X

802.1Xは、スイッチやワイヤレスLANコントローラーなどのネットワークエッジデバイスでの動的アクセス制御のために広くサポートされている実証済みのテクノロジーです。実装するのは難しいと考えられています。ただし、段階的な導入により、スムーズな移行が保証されます。そして、一度実装すると、ITおよびセキュリティチームのリソースを解放する永続的な見返りによるメンテナンスが非常に簡単になります 。802.1Xテクノロジーは、「接続前に検証する」というゼロトラストの原則に忠実であり、認証サーバーとの継続的かつ直接的な通信を保持します。検証されたエンドポイントの確立された接続上で、スイッチまたはWiFi ルーターを介して余分な、認可されていないデバイスが「ピギーバック」するのを防ぐために、ポートに接続するすべてのエンドポイントを追跡します。

エッジネットワークデバイスを制御する代替技術は、SNMPまたはCLIアクセス(SSH経由)です。MAC認証は、詳細な可視性とプロファイリングソリューションと組み合わせて、プリンター、IP電話、カメラなどのヘッドレスデバイスが安全に接続できることを保証します。

エージェントまたはエージェントレス

エンドポイントのセキュリティポスチャは、AV定義、OSまたは他のソフトウェアの更新ステータス、アクティブなアプリなど、多くの変数で構成されている場合があります。これを評価する方法はいくつかあります。最も安全で、きめ細かく、応答性の高いオプションは、エンドポイントにエージェントをインストールすることです。エージェントは802.1X機能を提供できますが、今日のオペレーティングシステムもこのサプリカントを提供しています。VPNやSDPなどの追加のセキュアアクセス製品を提供するPulse Secureなどのベンダーのエージェントは、すべてのソリューションに対応できます。

すべてのエンドポイントでエージェントを展開する複雑さを回避するために、「エージェントレス」の802.1X展開は代替手段となります。ただし、このアプローチを選択すると、かなりの譲歩があります。まず、エンドポイントがNAC コントローラと通信するには、初期ネットワーク接続が必要です。「許可してから評価する」は、ゼロトラストの本質を否定します。この共有ネットワーク環境とセキュリティポスチャを評価するための期間内では、脅威は自由に広がる可能性があります。もう1つの問題は、発見段階です。NACが新しいエンドポイントが接続していることを学習する方法です。1つの方法は、DHCPサーバーからこの情報を収集することです。一部のベンダーは、デバイスの検出と分類のためにSPANポートの使用を推進しており、これによりネットワークの複雑さとコストが増加します。ユーザーが接続されると、WMI / RPC / SSHプロトコルはエンドポイントのコンテキスト情報を伝達し、役割ベースのアクセスポリシーを適用することもできます。これは、ゼロトラスト実装のコアプリンシパルに反し、貧弱なエンドユーザーエクスペリエンスを提供します。エージェントレスポスチャチェックを使用する他の欠点は、ポスチャの変更が次のポーリング間隔(数時間になる可能性がある)まで検出されないことです。さらに、エージェントレスでは、すべてのWindowsシステムへの完全な管理アクセスが必要です。

その他の展開に関する考慮事項

ネットワークとサポートするネットワークインフラストラクチャを理解しましょう。NACソリューションは通常、無人および不明のネットワークエンドポイントの30%までを識別しますが、適切なNAC展開では、ネットワークの場所、セグメント、相互接続、およびACが相互運用する既存のネットワークとエンドポイントのセキュリティシステムを完全に理解する必要があります。

新しいネットワークアクセスポリシーの導入、通知および実施の制御は、それぞれのIT 部門とユーザーの構成員に影響を与えるはずであり、影響を与えるため、NAC のロールアウトに関する領域について過剰に連絡します。複数のコミュニケーション手段(電子メール、イントラネットサイト、FAQなど)、変更管理とのやり取り、オープンダイアログのテクニカルサポート、影響を受ける可能性のあるビジネスおよびアプリケーションの所有者とのやり取り、経営幹部との話し合いは、成功に不可欠なコミュニケーションのほんの一部です。

ロールアウトによってビジネスが中断した場合に備えて、ロールバックプロセス、主要な連絡担当者、および停止通信プロトコルの定義は、ロールバック計画に含める必要があります。段階的なアプローチは、地域、ビジネスケース、相互運用性によって異なります。

安全なパルスポリシー:Zero Trust NAC

Pulse Policy Secure(PPS)は、ネットワークの場所に関係なく、すべてのエンドポイントに完全な可視性とネットワークアクセスコントロール(NAC)を提供します。PPSは、適応認証とユーザーおよびエンティティの行動分析(UEBA)機能を利用してエンドポイントを追跡し、MACスプーフィングやDGA攻撃などの脅威に対する脅威の自動応答を可能にします。そのオープンで高性能な設計は、大小の組織がエンドポイントセキュリティコンプライアンスとゼロトラストセキュリティを簡単に実施するのに役立ちます。

Pulse Policy Secureは、基本的なセキュリティポリシーを継続的に実施し、管理対象、非管理対象、およびIoTエンドポイントのネットワークアクセスを制御します。PPSは、ゼロトラストの原則を使用して、ユーザー、デバイスのセキュリティポスチャを検証することによりネットワークアクセスを管理し、最小特権のアクセスポリシーでデバイスを接続します。

オープンプラットフォームは、幅広いスイッチング、Wi-Fi、NGFWソリューションと統合して、アクセスポリシーを適用します。サードパーティのセキュリティソリューションとの双方向統合により、自動化されたエンドポイントアクセスの実施により、全体的なセキュリティ効率が向上します。

侵害の痕跡(IoC )への自動応答により、修正時間が短縮され、管理リソースが合理化されます。PPSは、Palo Alto Networks、Checkpoint、Juniper、Fortinet などのさまざまなNGFW 、およびIBM Qradar やSplunk などのSIEMソリューションと統合します。

結論

ゼロトラストを実装し、アクセスセキュリティポリシーの適用を自動化してリスクを軽減するには、NACソリューションが不可欠です。多くのIT専門家は、BYODとIoTのより優れた制御、エンドポイントの可視性、ネットワーク共有へのきめ細かいアクセス、ゼロトラストネットワークのセグメント化手段、マルウェアやネットワーク攻撃に対するリアルタイムの脅威応答など、NACの主な利点を考慮し、投資する価値があります。

SNSでもご購読できます。

コメントを残す

*