fbpx

ゼロトラストネットワークアクセス戦略には3つのニーズがある

クラウドの緊張の下でVPNがきしみ始める

クラウドコンピューティングの登場と拡大は、従来のVPN 技術アーキテクチャにとって大きな課題です。企業のデータセンターを介してトラフィックのバックホールを強制すると、レイテンシが発生し、その結果、多くの場合、ユーザーエクスペリエンスが低下し、生産性が低下します。SaaSアプリケーションの使用率が急上昇し、アプリケーションインフラストラクチャのオプションとしてIaaSおよびPaaS環境が増加し続けているため、ラップトップからデータセンターに「トロンボーン」してからクラウドベースのアプリケーションに戻る必要があるトラフィックは非効率であり、リモートユーザーの生産性を低下させます。ネットワーク管理のコストと複雑さを増大させます。エッジコンピューティング。アプリケーションをさらに細分化し、複数に配置します。 ロケーションでは、VPNアーキテクチャの潜在的なレイテンシの問題のみが複雑になります。

また、VPNが包括的なネットワークアクセスを許可することによる深刻なセキュリティ問題もあります。アクセスが何らかの方法で侵害された場合、またはリモートユーザーが不正になった場合、侵害されたユーザーまたはアカウントが通常1つまたは2つの企業アプリケーションにアクセスするためにのみログオンしても、企業の「クラウンジュエル」への自由なアクセスが可能になります。

VPNを置き換えるためにゼロトラストアクセスが発生する

これらの欠点に対処するために、さまざまな方法でVPNをゼロトラストに置換する新しいテクノロジーアプローチが登場しました。現在このテクノロジーに適用されている用語はゼロトラストネットワークアクセス(ZTNA)ですが、Omdia はこれがテクノロジーやその使用例を正確に説明しているわけではないと主張します。

ゼロトラストは確かに、この場合はリモートアクセスを含むセキュリティの多くの領域に適用されるアプローチです。このアプローチは、「誰も信用せず、したがってすべてのアクセスを絶対最小限に制限する」アプローチの1つであり、リモートユーザーのIDが検証され、特定のタスクに必要な特定のアプリケーションへのアクセスのみが許可され、その他はすべて効果的に「グレー表示」されます。 ただし、問題は「ネットワーク」の追加です。

それはあるOmdiaのこれらの新しいアプローチによって付与されたアクセスが企業ネットワークにはないことを主張すべてに、また実際には任意に、特にネットワークが、アプリケーションに代わりです。これは、Salesforceの企業インスタンスなどのパブリックインターネット上のSaaS アプリケーション、または企業が移行した、またはエンタープライズリソースプランニング(ERP)システムなどのIaaSまたはPaaS環境用に作成したアプリケーションである可能性があります。どちらの方法でも、企業ネットワークを介してアクセスが提供されるとは限りません。企業のデータセンターにあるアプリケーションのみが、会社のWANにアクセスするためにトラフィックを必要とします。したがって、Omdia は、ゼロタッチアクセス(ZTA)というより一般的な用語を支持しています。

SDPおよびZTAを提供するその他の手段

ZTAを提供するための最もよく知られているアプローチはSDPテクノロジーであり、その仕様は2014年4月に遡るCloud Security Alliance(CSA)バージョン1.0に由来します。SDP の中心的な考え方は、ラップトップなどの開始ホストがSDPコントローラーへのアプリケーションアクセスのリクエスト。これは通常、クラウドのどこかに存在しますが、会社の敷地内に存在する場合もあります。リクエストを行っているユーザーとデバイスを検証すると、コントローラーはデバイスとアプリケーションが存在するサーバーとの間に安全な(暗号化された)トンネルを設定します。重要なことに、この実装では、コントローラーはデータパスにありません。

ZTAを配信するもう1つの方法は、プロキシを(通常はクラウドに)展開して接続を仲介することですが、この場合、プロキシはセッション全体を通じてコン​​トロールプレーンとデータプレーンの両方に残ります。

これをアイデンティティ認識プロキシ(IAP)アプローチと呼びます。追加されるレイテンシは、独自のネットワークを運用するサービスを提供する会社によって打ち消されます。つまり、他の方法でトラフィックを高速化できます。

ZTNAによって境界型セキュリティを乗り越える

従来のセキュリティモデルは、組織のネットワーク内のすべてが信頼されるべきであるという前提の下で動作します。ただし、デバイスまたはユーザーに信頼を自動的に拡張すると、意図的かどうかにかかわらず、組織が危険にさらされた場合に組織が危険にさらされます。そのため、多くのセキュリティリーダーがゼロトラストネットワークアクセスアプローチを使用して、ネットワーク内外のユーザーとデバイスを識別、認証、および監視しています。

デジタルイノベーションは生産性に新たな飛躍をもたらしていますが、同時に新しいサイバーセキュリティリスクも生み出しています。エッジセキュリティチェックポイントを迂回する攻撃者、マルウェア、感染したデバイスは、多くの場合、内部のネットワークに無料でアクセスできます。

これらの理由により、組織はネットワーク上またはネットワーク外のユーザーまたはデバイスを信頼できなくなります。セキュリティリーダーは、ネットワーク上のすべてのデバイスが潜在的に感染していること、およびユーザーが意図的または不注意で重要なリソースを危険にさらすことができると想定する必要があります。ゼロトラストネットワークアクセス(ZTNA)戦略は、厳密なネットワークアクセス制御の採用により、固有の信頼を中心に構築されたオープンネットワークの基本的なパラダイムをゼロトラストフレームワークにシフトします。

ゼロトラストネットワークアクセス戦略は、ネットワーク接続に焦点を当てており、3つの重要な機能があります。

1.WHAT:ネットワーク上のすべてのデバイスを把握する

アプリケーションとデバイスの急増により、境界が拡大し、管理および保護する必要のある数十億のエッジが作成されています。モノのインターネット(IoT)イニシアチブ、持ち込みデバイス(BYOD)ポリシー、または企業環境のその他の領域からのものであれ、デバイスの洪水を管理するために圧倒されたITスタッフは奮闘しています。

ゼロトラストネットワークアクセス戦略を採用する最初のステップは、エンドユーザーの電話またはラップトップ、ネットワークサーバー、プリンター、またはHVACコントローラーなどのヘッドレスIoTデバイスであるかどうかにかかわらず、ネットワーク上のすべてのデバイスを検出して識別することです。またはセキュリティバッジリーダー。この可視性により、セキュリティチームは、ネットワーク内でのすべてのデバイスタイプ、機能、目的を知ることができます。そこから、チームはそれらのデバイスが持つアクセスの適切な制御を設定できます。次に、適切な制御が行われると、ゼロトラストネットワークアクセスアプローチにはデバイスの継続的な監視と応答も含まれ、ネットワーク上の他のデバイスやシステムに感染できないように問題のあるデバイスを特定して修正するのに役立ちます。

2. WHO:ネットワークにアクセスするすべてのユーザーを知っている

ユーザーIDは、効果的なゼロトラストネットワークアクセスポリシーを開発する上で重要です。組織は、ネットワークにアクセスしようとしているすべてのユーザーを知る必要があります。彼らは従業員ですか?請負業者?お客様?ベンダー?ユーザーIDを確立するには、ログインと多要素認証が必要です。パスワードは脆弱で、頻繁に盗まれます。次に、証明書を使用してIDを適用し、役割ベースのアクセス制御(RBAC)に関連付けて、認証されたユーザーを特定のアクセス権およびサービスと照合することができます。

IDが確立されると、アクセスポリシーは組織におけるユーザーの役割によって決定されます。「最小アクセスポリシー」を使用して、役割またはジョブに必要なリソースへのアクセスを許可し、必要に応じて提供される追加リソースへのアクセスを許可できます。

ゼロトラストモデルがより広く採用されるにつれ、セキュリティリーダーは、ユーザーがどこからでもネットワークに適切にアクセスできるようにする適切な制御の実装を開始できます。ネットワークへの役割ベースのアクセス権を持つすべてのユーザーをオンボーディングする機能は、組織全体および組織と連携するエンティティ(パートナー、サプライヤー、請負業者)に利益をもたらす堅牢なネットワークセキュリティを提供します。

3.オンとオフ:ネットワーク内外の資産を保護する方法を理解する

最近のレポートによると、63%の企業がネットワーク外のエンドポイントを監視できず、半数以上がエンドポイントデバイスのコンプライアンスステータスを判断できません。この課題の主な原因の1つは、職場でのモビリティの向上と、リモートでの作業の重要性の高まりです。

ゼロトラストネットワークアクセス戦略により、組織はエンドポイントの可視性を向上させることにより、ネットワーク外のデバイスを保護するという課題に対処できます。脆弱性スキャン、堅牢なパッチ適用ポリシー、およびWebフィルタリングはすべて、ゼロトラスト戦略の重要な要素です。

次の段階で考慮すべき事項

真のゼロトラストフレームワークは、すべてのデバイスを識別、セグメント化、継続的に監視し、組織が内部リソースを保護し続け、データ、アプリケーション、および知的財産を保護し、ネットワークとセキュリティの運用を全体的に簡素化できるようにします。

SNSでもご購読できます。