fbpx

レガシーVPNのジレンマを克服する

脅威の状況が変化した

ビジネスは、標準的な組織の範囲を超えて成長しています。現在、従業員とパートナーは、任意の場所(ホームオフィス、顧客サイト、パートナー施設など)の会社のアプリやデータとやり取りしています。しかし、オフサイト接続の多くの側面が進化したとしても、他の側面は必死に進化する必要があります。スタッフと統合されたサードパーティのリモートワークモデルは一般的ですが、それを可能にするアクセスモデルは古く、壊れています。

1980年代までさかのぼって、企業は境界セキュリティを実施するためにファイアウォールに依存してきました。その境界の内側では、多くのネットワークは依然として比較的「フラット」でオープンなままです。ほとんどのリソースは、かなり自由に相互に通信できます。残念ながら、これは悪意のある攻撃者が境界を侵害したり、このセキュリティモデルの下で信頼されたエンドポイントを侵害したりする可能性があることを意味します。足場を固めることにより、企業の環境やブランドに広範囲にわたる被害をもたらすことがよくあります。

サードパーティが状況を把握すると、リスクのレベルがさらに高まります。それらは、サードパーティのシステムに侵入して、親組織のデータまたは顧客環境を危険にさらす可能性があるため、悪意のある人物によって定期的に標的にされています。

多くの企業はデジタル変換に取り組んでおり、リソースをクラウドに移行し、システムアプリとデータへの単一IDアクセスを可能にします。これは、クラウドと内部環境の両方へのアクセスを可能にするIDです。これらの環境全体でアクセスを管理するのはアイデンティティです。

ゼロトラストの成熟により、アイデンティティの概念が新しい「境界」として進化し、会社の資産にアクセスするための新しいアプローチが必要になりました。ゼロトラストのアプローチは、新しいリスクの状況で現代のビジネスがどのように機能するかを調整するものであり、ビジネスとITの両方にとってすぐに必須の要件になりつつあります。この新しい現実に適応することはもはやオプションではありません。それは、より良いビジネスが作動する方法、ミラーリングセキュリティモデル要求競合をたとえば、自分のため、そしてを通じて成長パートナーシップ、買収やデジタル変換を。新しい境界は不可欠ですが、ゼロトラストなどの新しいアクセスアプローチなしではそうではありません。

競争より速く動く

私たちがき最近見られ、事業環境ができ単なる時間で変化します。これらの変化の下で調整、存続(または繁栄)できる企業は、それができない競合他社を克服する立場にあります。今日、独自のセキュリティルーチンを迅速に拡張して、サードパーティ、買収した企業、さらには新しい市場の現在の従業員を保護する組織の能力は、勝つためにさらに重要になっています。

しかし、テクノロジーは、通常、イネーブラーであり、これらの取り組みにおいてビジネスを実際に妨げています。「有効化」は、通常、企業内でプライベートなデータとアプリケーションの制御された共有を表します。理想的には、この共有はあるべきAST 簡単なユーザーのために、展開、およびのために確保する企業。残念ながら、レガシーテクノロジーは導入を悪化させ、使いやすさを低下させ、セキュリティの脆弱性を露呈することがよくあります。

レガシーテクノロジー:展開と使用が難しい

テクノロジーは、ITとユーザーを妨げるのではなく、助ける必要があります。迅速に移動するには、企業はユーザーを迅速に有効にする必要があります。たとえば、VPNはITとユーザーの両方にとって問題があります。一般に不器用なVPNクライアントソフトウェアは、展開、トレーニング、継続的なサポートを困難にします。多くの場合、VPNでは、ユーザーが事前に構成された会社所有のパーソナルコンピューティングデバイスを使用して、必要なリソースにアクセスする必要があります。ハードウェアの問題、スケーラビリティの制限、およびライセンスの依存関係は、新規ユーザーへの展開をさらに遅くするだけに役立ちます。

ネットワークアクセス:寛容、制御されていない

信頼できないユーザー(全員)をネットワークに入れることは、究極の負け負けのシナリオです。ネットワークは設計上開いているため、コントロールを失うことになります。エンドポイントがネットワークに入る瞬間から、あらゆる方法で任意のビットを渡すことができるため、可視性が失われます。エンドポイントにネットワークレイヤーへのアクセスを許可し、インフラストラクチャを公開したままにします。

レガシー技術は、いくつかの理由でサードパーティおよび従業員のセキュリティリスクを悪化させます。第1に、VPN は過度に寛容な「ホームは解放され、一度認証すれば監視されない」という態度で動作するため、ITは認証後のユーザーアクティビティを不必要に認識しません。とき誰も真に信頼されないことができ、それらが境界を横切って輸送されている実際の上に、ネットワーク、および、あるアプリケーションのドアに、より多くの場合より、貴重なデータの完全かつやすいの両方の脆弱性を悪用します。今日、企業のセキュリティを確保するために、ユーザーアクティビティを継続的に監視し、継続的に検証してアクセスする必要があります。

既存のリモートアクセスソリューション、つまりDMZとVPNは、別のより寛容なIT時代の企業向けに設計されました。それ以来、以下のマクロトレンドが境界線を解消することにより、それらは実質的に無効になっています。

  • クラウドの急増
  • BYOD
  • IoT
  • SaaSの採用
  • リモートワーク

エンタープライズアプリケーション:公開するには脆弱すぎる

上記のように、アプリケーションがますます多くのユーザーに広く公開されると、リスクが増大します。平均的なアプリケーションは、脆弱性の数十、幅広いシステム全体広がり、ネットワーク及びソフトウェアの攻撃面を有しています。OWASPの最も一般的なアプリケーションの脆弱性トップ10は、多くのアプリケーションに存在し、一般的なツールと十分に文書化された技術を使用して簡単に悪用されます。ネットワークレベルのアクセステクノロジーは、アプリケーションの攻撃面でこれらのホールを見つけ、潜在的に危険なユーザーに直接公開することにより、これらの脆弱性によってもたらされるリスクを悪化させます。

さらに悪いことに、これらの脆弱性は時間の経過とともに数と重大度が増加します。特に、ユーザーが最も必要とするメンテナンスされていない(ただしビジネス上重要な)アプリケーションではなおさらです。

使いやすさとネットワークセキュリティの問題をビジネスで合理化できたとしても、ほとんどのエンタープライズセキュリティ組織は、比較的信頼されていないユーザーにアプリケーションの脆弱性を過度に公開することによってもたらされるリスクの増大を受け入れません。この理由だけでも、多くの組織はアクセスの拡大を進めないことを選択しています。変化に対応できるビジネスの能力は、公式にはITによって制限されています。

アプリケーションレベルのアクセスソリューション

これが、アプリケーションアクセスへの新しいアプローチであるApp Access Cloudを開発した理由です。プライベートアプリへのアクセスが実装しやすく、安全性が高く、厳重に管理されています。App Access Cloudは、レガシー(または仮想化された)ネットワークレベルのソリューションの妥協や複雑さを伴うことなく、従業員とサードパーティのどこからでもアクセスできるようにするために考案されました。

ローカルネットワークを介してユーザーをトンネリングする代わりに、ユーザーは単一の集中化された場所であるアプリケーションアクセスクラウドを介してアプリに直接送られます。ネットワークやアプリ自体に触れることなく、ユーザーとプライベートアプリ間のアクセスを仲介します。VPNトンネルやエージェントは必要ありません。長い展開や複雑な構成はありません。ネットワークセキュリティのリスクはありません。代わりに、ユーザーは、必要なアプリにシームレスに接続し、アプリとエンタープライズで可能な最も簡単で安全な方法で作業します。そしてその基盤では、App Access Cloudはユーザー、デバイス、および基盤となるネットワークが侵害され、敵意を持っていると想定し、厳格なゼロ信頼プリンシパルによって管理されている安全な仮想インフラストラクチャを確立します。

シンプルな導入

  • 10分
  • ソフトウェアのみ
  • IDP統合、DNS構成、証明書の発行はすべてオプションです

ゼロトラストを導入するには、企業ネットワークに1つ以上のコネクタを導入するだけです。コネクタは軽量でソフトウェアベースの安全なコンポーネントで、インストールに約3分かかります。エンタープライズネットワークにインストールされるのはこれだけです。ユーザーエンドポイントがネットワークに導入されることはありません。これがエンドでの唯一の展開であり、アプリケーション、ネットワーク、または接続デバイスへの変更は必要ありません。すべてが数分かかります。

コネクタはApplication Access Cloudに接続して戻り、使い捨ての証明書を使用して相互に認証します。接続が確立されると、アプリケーションはアプリケーションアクセスクラウドで公開され、エンドユーザーが利用できるようになります。

Application Access Cloudは、公開されたアプリケーションへの透過的なフロントエンドとして機能します。ほとんどの場合、ユーザーはリクエストを仲介していることにさえ気づいていません。背後では、アプリケーションに接続する前に、各ユーザーリクエストがポリシー(ID、デバイスポスチャ、時刻、geoIP 、使用履歴)と照合されます。ポリシーの目的で追加されたコンテキストは、ユーザー、デバイス、またはアプリケーションによってピボットできるアクティビティログも充実させます。

ユーザーがリソースへのアクセスを許可されると、ユーザーは許可されたリソースへの一時的な1対1の接続を獲得します。セッションは承認されたセッションであるだけでなく、継続的な承認アプローチを採用しています。セッション内の各ユーザー要求は個別に承認されます。一部のリクエストは、許可されたセッションでブロックされることさえあります。つまり、組織は、管理対象外のデバイスにRDPサーバーへのアクセスを許可しますが、同じセッションでのファイル転送要求をブロックできます。ポリシーでは、管理対象外のデバイスを使用するヨーロッパ以外のユーザーがセッションを視覚的に記録することも指定できます。

Application Access Cloudは、パブリックインターネットからリソースとアプリケーションを削除するだけでなく、攻撃対象を大幅に削減します。従来のソリューションは、本質的にイーサネットケーブルのように動作し、任意のビット(不正および不正)をやり取りすることでネットワークアクセスを提供します。ただし、アプリケーションアクセスクラウドは、アプリケーション分離テクノロジーを適用して、ユーザーにアプリケーションのネットワークへのアクセスを許可することなく、管理および制御されたアクセスを提供します。すべてのリクエストはユーザーと状況のコンテキストを取得します。リクエストは、解体、サニタイズ、および再構築のプロセスを通じて、プロトコルに対しても検証されます。そうして初めて、アプリケーションレベルの要求がポリシーに対して承認され、アプリケーションに中継されます(アプリケーション層のみ)。ユーザーは、アプリケーション自体に実際に触れることなく、アプリケーションにアクセスできます。

Application Access Cloudを通じて公開されたアプリケーションは、すぐにセキュリティアップグレードを利用できます。TLS 1.3は、現在TLSをまったくサポートしていない場合でも、すべてのアプリケーションで有効になっています。プロトコルは既知の攻撃に対して強化され、ヘッダーとチャネルはホワイトリストに制限され、基盤となるインフラストラクチャはユーザーから見えなくなります。

ゼロトラストなセキュリティアプローチ

これまでに読んだことのあるものとは逆に、ユーザーが実際にネットワークにアクセスする必要はほとんどありません。ほとんどすべてのユースケースで、ユーザーが必要とするのはアプリケーションへのアクセスだけです。

  • すべての単一のパケットが認証され、パケットがアプリケーション層でのみ中継されるという信頼。ネットワークスキャン、n日間の攻撃、盗まれたアプリの資格情報の使用を排除します。
  • VPNのようにアプリケーションとそのホストに直接ネットワークレベルのアクセスを取得する代わりに、アプリへの仲介接続。攻撃対象領域と横方向のネットワーク攻撃を制限します。
  • 追加のソフトウェアやユーザーアクションを必要とせずに、どこからでも任意のデバイスからアプリへのシームレスなアクセス。BYODを使用し、必要に応じてアプリやデータに簡単にアクセスでき、管理オーバーヘッドなしで広く展開できます。
  • アプリケーションレベルで実行される実際のユーザーアクションを可視化するための詳細なパケット検査。真の可視性、ポリシー制御、ビジネス対応の分析を実現します。また、セッション記録機能の制御なども可能になります。
  • ポリシーベースラインに対するユーザーの行動を継続的に評価し、ほぼリアルタイムで潜在的な違反を特定して対処します。資格情報ベースの侵害の可能性を制限します(多くの場合、検出が困難です)。
  • プラットフォーム内から、またはAPIを介した他のソリューションを通じて対処できる、潜在的に悪意のあるアクションの検出。悪意のあるイベントを継続的かつ迅速に検出して対応する柔軟なアプローチを試してください。
  • エージェントレス展開、クラウド実装のブローカーテクノロジー、集中管理です。実装とメンテナンスを合理化し、迅速な価値の実現と自動スケーラビリティを実現します。

構造

  • インターネット:ユーザー、管理者
  • セキュリティ:アクセスレイヤー、管理コンソール、可視性コンソール
  • エンタープライズ:AWS、データセンター

A . SaaS

システムに送信されるすべてのパケットの認証、承認、ルーティング、およびログに使用される、非常にスケーラブルで冗長なクラウドアプリケーションです。企業インフラストラクチャのみによってアクセスされること、及び完全に野生インターネットから隔離されています。疑わしいアクティビティをブロックまたは警告するために、蓄積されたデータに対して宣言ルールとAIを制御して実行します。

B . コネクタ

コネクタは、エンタープライズネットワークにデプロイされる軽量のコンテナです。それらはSaaSと相互認証し、軽量で限定的なアプリケーションプロトコルを使用して通信します。許可された接続をホワイトリストに登録されたアプリに中継し、アプリケーションレイヤーを除くすべてのレイヤーを制御します。

C. 可視性コンソール

管理者がさまざまなアプリでのアクティビティと、システムでトリガーされたアラートを表示できるようにするWebサービスです。データは、アプリ、セッション、ユーザー、ユーザーグループ、サイトなどによってピボットできます。

D. 管理コンソール+ API

ポリシー、アプリケーション、コネクタ、ユーザー、およびその他すべてのコンポーネントを管理するために使用されます。管理者は、当社のWebインターフェースまたはAPIを使用して、システムとその構成を操作します。

安心のアプリケーションアクセス

企業がアクセスを拡張する必要があるとき、そのアクセスに対するセキュリティの脅威はさらに危険で必然的に増大します。新しい問題が発生し、競争力を高め、気密のセキュリティを確保するための新しい革新的なソリューションが必要になります。セキュリティとアクセスの問題は、従業員とサードパーティの両方へのアクセスを、オンサイトおよびクラウド内のプライベートアプリケーションに拡張することで発生します。VPNはこれらの問題をさらに悪化させるだけです。アプリケーションへのアクセスをシンプル、安全、かつ厳重に管理できる最新のクラウド中心のソリューションを提供します。これは、ビジネスの革新をもたらすだけではありません。それはそれらを救うかもしれないゼロトラストソリューションです。より詳しいVPNからゼロトラストネットワークへの移行方法は、他の記事をご覧ください。

SNSでもご購読できます。

コメントを残す

*