AIと機械学習がゼロトラストセグメンテーションを加速する方法
ゼロトラストは、過剰でリスクの高い暗黙的信頼を、リスクの少ない明示的信頼モデルに変える戦略として捉えることもできます。
この暗黙的な信頼状態は、従来は、信頼できるネットワーク (ファイアウォールの内側) と信頼できないネットワーク (ファイアウォールの外側) の間の境界点であるファイアウォールで説明されています。ファイアウォールの役割は、攻撃者をその境界の信頼できない側に留めておくことです。
しかし、この標準的なアプローチでは、裏側に「柔らかく歯ごたえのある」中身が得られます ファイアウォール そのトラステッドゾーン内のすべてのものが暗黙的に信頼されているからです。
暗黙の信頼のリスク
これは非常にシンプルなセキュリティモデルであり、私たちが長年続けてきた方法であり、今日でも多くの人がそれを実践しています。しかし、いったん悪役が中に入ると、このモデルを使えば彼らの生活は楽になります。
リスクを悪化させる要因もあります。たとえば、企業の規模が拡大するにつれて、トラステッドゾーンが大きくなることは想像できます。つまり、信頼できない何かが内部にある可能性が高くなるということです。
第二に、規模に関係なく、物事がより複雑になるにつれて(時間の経過とともに自然にそうなる傾向があるため)、何かが内部に入る可能性が高まります。そのため、その暗黙の信頼モデルに関連するリスクは、規模と複雑さによって、時間の経過とともに継続的に増大します。
ゼロトラスト構想では、各システムのアイデンティティを知る必要があります
さて、暗黙の信頼から明示的な信頼に移行する際の課題は何でしょうか(または、 ゼロトラストジャーニー)?
明らかに、サーバー、エンドポイント、およびデバイスに適用するセグメンテーションポリシーが、明示的な信頼への転換を実現する方法です。しかし、リスクを軽減するのに十分なほど統制を強化し、アプリケーションを壊すほど脆弱ではない正確なセキュリティポリシーを策定する前に、その環境に何があるのかを知る必要があります。ネットワーク上にはさまざまなものがあり、セグメンテーションやアクセス制御の決定を行う前に、それらが何であるかを知っておく必要があります。
ここで答える必要があるのは、ネットワーク上の各システムの ID は何かということです。
長い間、アイデンティティという言葉はアイデンティティとアクセス管理(IAM)の分野で使われていたので、その定義は限られていました。IAM は主に、ユーザーが本人であることを証明するためにユーザーを認証することに重点を置いたテクノロジーです。私は「ユーザー名」と「秘密」を ID と同一視していたため、この文脈におけるアイデンティティの定義が私の理解を制限していました。正直に言うと、アイデンティティに対する見方がこんなに限られているのは本当に嫌なことです。それよりもずっと複雑です。
たとえば、テクノロジー以外の世界では、私のアイデンティティは名前だけではありません。私の名前 です 私のことを参考にしていたレーベルですが、私はCTO、イルミオの従業員、父、兄弟、夫、息子でもあります。私はオハイオ州で育ち、カリフォルニアに住んでいて、ライウイスキーやハイキング、料理を楽しんでいます。私は真実を求め、他者を信頼することの価値を信じており、CTOに関するポッドキャストを始めました。ソフトウェアとスタートアップが大好きです。
重要なのは、私のアイデンティティは私の名前だけではないということです。それは多次元の属性セットであり、他の多くの人と共有されているもの(一部は、これを読んでいるあなたと重複しているかもしれません)と、私のユニークなアイデンティティを説明するこれらのもののセットです。
人工知能と機械学習をアイデンティティに活用
人と同じように、ITシステムにもアイデンティティがあり、目的があります。システムは、本番環境でも非本番環境でもかまいません。システムは、フロントエンドでもバックエンドでも、HVAC コントローラー、プリンター、血圧計でもかまいません。システムは、病院の救命救急棟にある場合もあれば、地下にある場合もあります。システムが数百億ドルに上る送金を担当する場合もあれば、数千人の Roblox プレイヤーのライブゲーム状態を管理している場合もあります。
個別のシステム ID 用
人工知能/機械学習 (AI/ML) ソリューションは、多次元の入力があり、システムの同一性を構成する多次元の出力値を必要とするこの種の問題に最適です。これには、システムの同僚 (彼らが話している相手) の振る舞いと、アプリケーションレベルで何が起きているか (彼らが何を言っているか) を正確に把握するディープ・パケット・インスペクションの両方が含まれます。
また、一部の値は製品対非製品などのバイナリ値ですが、ビジネスバリューなどの値はより連続的な値です。AI/ML の手法は、こうしたさまざまなタイプを提供できるだけでなく、予測に自信を持たせることで、アイデンティティ空間に関する提案を行うのに役立ちます。
Illumio が Illumio Core ソリューションで ML を初めて使用したのは、この辺りでした。コアサービスの検出では、ヒューリスティックと ML 手法の両方を使用し、ピアリレーションシップなどの機能を活用します。これにより、これらのコアサービスの推奨ワークフローを通じて、セグメンテーションシステムのオペレーターの生産性が向上します。
アプリケーショングループ ID 用
さらに一歩進んでみると、アイデンティティは個々のシステムだけの問題ではありません。私たち人間が個人であるように、私たちもグループの一員です。私には家族がいて、家族にはグループアイデンティティ、つまりそのグループをユニークにする共通の特徴があります。その一連の特徴は他のグループとは異なります。
これはITシステムにも当てはまります。サーバーはバックエンドでもフロントエンドでもかまいませんが、個々のサーバーの集合がアプリケーションを構成します。そして、多くの場合、そのアプリケーション全体を 1 つのユニットとして、つまり家族内の個人のグループのように扱う必要があります。たとえば、本番システムのステージング環境に、テストによく使用されるツインシステムがある場合、アプリケーションのインスタンスは非常に似ている可能性があります。また、基盤となる個々のコンポーネントがまったく異なっていても、グループとしては多くの点で類似している可能性があるため、そのように扱う必要があります。
ネットワークにセグメンテーションを実装する場合、顧客はアプリケーションの周囲にリングフェンスを作りたいと思うことが多いため、アプリケーションとそのすべてのメンバーのアイデンティティを知ることが重要です。ここでは、ML クラスタリングアルゴリズムやその他のアプローチが役立ちます。
時間の経過に伴うシステム ID の変更用
問題の3つ目の側面は、時間の問題です。個々のシステムレベルでもグループレベルでも、アイデンティティは流動的でないということです。
典型的な問題は、システムが構築されたその日から一部のビジネス機能にとって重要であるのに、時間が経つにつれて優先順位が変わり、人々が離れ、さまざまなことが起こり、重要だった同じシステムがもはや重要ではなくなることです。目的が変わると、そのアイデンティティもそれに伴って変化します。もしかしたら、最新のパッチでメンテナンスされなくなっている可能性があります。つまり、環境に永続的な足場を固めたい攻撃者にとっては、よりリスクが高く、より魅力的な標的になるということです (「」を参照)。 ソニー・ピクチャーズ・ハック)。あるいは、ビジネスクリティカルな機能を果たしていたのに、新世代のアプリケーションが新しい顧客を獲得し、このアプリケーションを利用するユーザーは減少の一途をたどっているかもしれません。
アイデンティティは時間とともに変化します。ただし、セグメンテーション・ポリシーは、こうした変化に遅れずについていく必要があります。ML/AI アルゴリズムは、特定時点の分析だけを目的とするものではありません。常に実行し、環境の変化を理解し、ポリシーを同期させるための推奨事項を提示する必要があります。
セキュリティポリシーは、システムのアイデンティティと目的が変化したときに調整されなければ、脆弱になります。ポリシーが完全で正しいかどうかを継続的に確認し、リスクやクラックが発生する場所について予測的なフィードバックを提供することは、事業者が物事を安全に保つのに役立ちます。
AIとMLがゼロトラストセグメンテーションに適合する場所
つまり、AI/MLのスイートスポットは ゼロトラストセグメンテーション システムは次のことを行います。
- システムの多次元アイデンティティに関する提案を提供する
- より高いレベルのグループ分け、メンバーシップ、およびグループアイデンティティを提供する
- アイデンティティへの変更を時系列で継続的に追跡し、ゼロトラストセグメンテーションポリシーの完全性と正確性を伝える
AIとMLのイノベーションは、重要なデータの保護と攻撃からの防御というタスクを私たちが日々任せている貴重なセキュリティ担当者にとって、強力なツールとして役立ちます。この AI と ML を活用したセグメンテーションシステムを、終わりのない戦いの力を倍増させましょう。
詳細を知りたい イルミオゼロトラストセグメンテーション? 今すぐお問い合わせ。