連邦政府のOMBゼロトラストメモにより、政府機関に期限を通知する
2021年5月、バイデン政権は 大統領令14028、国のサイバーセキュリティの向上 ソーラーウィンズとコロニアルパイプラインの攻撃を受けて。この命令は、サイバー・レジリエンスを高め、政府機関のリスクを軽減することを目的としていました。ゼロトラストアーキテクチャを実装する計画をわずか60日で策定するよう指示されました。ライティング 注文への対応、イルミオ連邦局長のマーク・シンセビッチ氏は、政府機関にはアーキテクチャを構築して連邦システムに実装するための運用ロードマップが必要であると述べました。
そのロードマップは 覚書 M-22-09、1月26日にリリース第四に 行政管理予算局(OMB)が、期限を定めた連邦ゼロトラストアーキテクチャ戦略指令を定めています。
メモの発行から60日以内に、22年度から24年度の実施計画をOMBとCISAに提出するよう各機関に指示しています。このメモには、政府機関が技術レベルで達成することが期待されること、いつまでに何をすべきか、必要な予算計画が明記されています。マイルストーンには 12 か月という期間があるものもあれば、24 か月というものもあります。このメモは、2024会計年度末までに各機関がゼロトラスト条件でどのような状況になると予想されるかについて、重要な指針を示しています。
このメモは、OMBが各機関に実装することを期待していることと、プラットフォームまたはソリューションが提供できることとの間を直接見通すものです。明確に定義されていない要件と、ベンダーが提供できるものとの間で、思い切って考える必要はありません。
メモの要求は野心的です。しかし、政府機関はゼロトラスト態勢を推し進めるのに3年近くかかり、2024年12月までには、大多数が要求事項の大部分を達成しているか、その方法について明確な計画を立てていると思います。しかし、このメモには、進捗状況をどのように測定し、成功を測定するかは明記されていません。これらの指標の定義と追跡は、導入を促進するために不可欠です。
CISAのゼロトラスト5本の柱
覚書で概説されている戦略的目標は、サイバーセキュリティ・インフラセキュリティ庁(CISA)のゼロトラスト成熟度モデルと一致しています。このモデルには次の5つの柱があります。
- アイデンティティ
- [デバイス]
- [ネットワーク]
- アプリケーションとワークロード
- [データ]
マークがブログで述べているように、ゼロトラストを実現するために政府機関が実装できるテクノロジーは1つもありません。しかし、イルミオは覚書で取り上げられた目標の多くに貢献し、直接支援することができます。例えば、IDの柱の下では、連邦政府は「政府が使用する許可のもとで動作し、これらのデバイスでのインシデントの防止、検出、対応が可能な、すべてのデバイスの完全なインベントリ」を用意する必要があります。
Illumioは、デバイス間のリスクと関係を理解するためのコンテキストを含む完全な可視性を提供することで、政府機関のエンドポイント検出および対応(EDR)機能を強化できます。EDR ツールを使うと、個々のデバイスで何が起こっているかを知ることができます。Illumio のマッピング機能を使うと、デバイス間の相互作用や関係を確認して、許可すべきこととすべきでないことをより明確に把握できます。
そしてもちろん、メインフレームなどの特定のシステムは、EDRツールと互換性がありません。これらのツールはオペレーティングシステムにインストールするように設計されているからです。しかし、Illumio はそれらのシステムからフローデータを取り込み、それらとそれらの相互作用を同じ依存関係マップ上に表すことができます。そして、この詳細なリアルタイムの依存関係マップは、ゼロトラストセグメンテーションに向けた重要な第一歩です。
ネットワークとアプリケーションワークロードの保護
ネットワークに関する覚書のキーフレーズは、「政府機関は、可視性を高めたり、さまざまなアプリケーションや企業機能にアクセスしたりできるようにする、企業全体の広範なネットワークを維持する慣行から脱却しなければならない」と主張しています。ネットワークセクションの全体的な目標は、ネットワーク境界を分離された環境に分割することです。つまり、セグメンテーションを実装することです。
作業負荷に関しては、覚書は「仮想プライベートネットワーク(VPN)やその他のネットワークトンネルに依存せずに、アプリケーションを安全な方法でインターネットにアクセスできるようにする」よう各機関に指示しています。政府機関は、内部向けの連邦情報セキュリティ管理法(FISMA)の適度な適用例を少なくとも1つ特定し、それを完全に運用可能にし、公衆インターネット経由でアクセスできるようにする必要があります。
まとめると、次のようなメッセージがあります。ネットワーク上のあらゆるものを信頼できるとは想定できず、すべてのアプリケーションを周囲のすべてが信頼できないかのように保護する必要があります。その代わり、ネットワーク上のあらゆるリソースが悪意のある攻撃者によって侵害される可能性があるというセキュリティ侵害の考え方を想定してください。目的を達成するのが本当に難しくなるようにするには、どうすればよいでしょうか?
そしてそれこそが、イルミオとゼロトラストセグメンテーションの出番です。ホストベースのマイクロセグメンテーションを含むゼロトラストセグメンテーションは、 ゼロトラストアーキテクチャ 精密な制御を目的として 横方向の動き ネットワーク全体で。
ホストベースのアプローチでセキュリティを構築することで、セキュリティをきめ細かく制御できるようになります。 アプリケーションとワークロード メモの要求を平準化します。これは、ネットワークベースのセグメンテーションアプローチでは簡単には提供できません。イルミオのゼロトラストセグメンテーションテクノロジーは、各機関がメモに記載されているアプリケーションとワークロードの保護要件を満たすことを直接支援します。
インターネットから内部アプリケーションに安全にアクセスできるようにする
通常は内部にあるアプリケーションにインターネットから安全にアクセスできるようにすると、認証に成功した人は誰でも内部ネットワーク上のアプリケーションに直接アクセスできるようになります。しかし、そのアプリケーションが侵害されたからといって、組織全体が侵害されるわけではありません。侵害の影響を抑えるには、そのアプリケーションを中心にマイクロセグメンテーションを採用する必要があります。基本的に、各アプリケーションには「マイクロペリメーター」、つまりゼロトラストの「エンクレーブ」が必要です。イルミオはそれを可能にする上で重要な役割を果たすことができます。
リスクベースの可視性と監視
もちろん、可視性と監視は、ゼロトラストのセキュリティ戦略にとって不可欠な要素です。イルミオの アプリケーション依存関係マップデータセンターとクラウドプラットフォームにわたるアプリケーションとワークロード間のトラフィックフローをリアルタイムで観察できるため、依存関係と接続性を理解して適切にセグメント化できます。
Illumioは、ネットワーク検査によるオーバーヘッド(そしてしばしば過小評価されるリスク)なしに、監視プラットフォームが活用できる多くの有用な情報を収集しています。例えば、イルミオは サードパーティの脆弱性データをアプリケーション依存関係マップでオーバーレイします セキュリティとパッチの決定に優先順位を付けるためのリスクベースのアプローチです。これは、CISAのゼロトラスト成熟度モデルを見ると、主に最初に行うことに関するものです。
脆弱性と脅威フィードのデータを統合することで、リスクベースの可視化が可能になります。Illumio は、お気に入りのスキャナーから脆弱性スキャンデータをポリシーコンピュートエンジン (PCE) に取り込みます。これにより、各ワークロードに関する脆弱性メタデータが提供され、ワークロードの接続状況と重ね合わせることができます。これにより、定量的なエクスポージャーやリスクスコアが得られ、脆弱性がどの程度リスクを生んでいるか、どのアプリケーションが脆弱なポートに接続されているかを簡単に把握できます。
通常、脆弱性スキャナーはワークロードがどの程度危険にさらされているかを知りません。しかし、それこそまさに Illumio が提供しているものです。この2つは強力な組み合わせです。例を見てみましょう。
ザの Log4j の脆弱性 ハッカーが何百万ものサーバーを制御し、欠陥のあるコードが広く使用されているためにシャットダウンしたり、マルウェアを強制的に拡散させたりすることができました。Log4jのCVSS(共通脆弱性評価システム)スコアは10でした。
しかし、Log4jを実行しているワークロードは1つだけで、他のワークロードとの接続はほとんどなく、データセンターの奥深くに埋め込まれているとしましょう。一方、スコアが 5 の脆弱性がもう 1 つ存在するのは、高度に接続された 10 台のサーバーにあります。
さて、脆弱性スキャナーのデータだけを見れば、すぐにLog4jサーバーにパッチを適用したほうがよいと結論付けるでしょう。しかし、実際の露出状況を見ると、接続密度の高い脆弱性 5 の 10 台のサーバーが最も危険にさらされており、最初にパッチを適用する必要があることがわかります。
それが、イルミオのリスクベースの可視性によってわかるものです。脆弱性管理には優先順位付けが欠けていることが多く、イルミオは、最も露出度が高く、悪用される可能性が最も高い脆弱性を最初に優先順位付けするのに役立ちます。
Illumioによるゼロトラストセグメンテーション計画の導入
ですから、OMBメモに必要なものの観点から考えてみてください。60 日後 (3 月末) に、政府機関はメモの目標をどのように達成するかを詳述したゼロトラストアーキテクチャの実装計画を立てる必要があります。これには、2024年度末までに完了する必要がある計画目標や、2022会計年度および2023会計年度に完了する必要がある計画目標の予算をどのように予算化するかが含まれます。時間の制約により、この困難な作業はさらに困難になっています。最善の方法は、小規模から始めて 3 年かけて拡大することです。
60日計画の大部分は、政府機関が敵の横方向の動きをどのように阻止できるかを示す必要があります。これは優先リストの一番上にあるはずです。ゼロトラストセグメンテーションを展開する前に、リアルタイムのアプリケーションとワークロードの依存関係マップが必要です。
セグメント化したいものを確認する必要があります。そのため、可視性だけでなく、 不必要に開いているポートをロックダウン。後者は、イルミオが「コンテインメント・スイッチ」と呼んでいるものを使って実現できます。コンテインメント・スイッチとは、実際には特定のポートを囲むマイクロセグメントのことです。Illumio は脆弱性データを取り込んで、最もリスクの高いポートに優先順位を付けることができるため、攻撃ベクトルが減少します。政府機関は、重要なアプリケーションやワークロードなどの高価値資産 (HVA) をマイクロセグメント化する計画を提案することもできます。
3 年間のロールアウトでは次のようになります。
- 22年度:ネットワークの可視化、脆弱性マップによるコンテインメントスイッチの展開、HVA のマイクロセグメント、SIEM との統合
- 23年度:セグメンテーションの取り組みを拡大して、政府機関のより広い領域を含むように拡大し(たとえば、生産と開発の分離)、SIEMとの統合をさらに進め、次のように追加します。 執行境界線そして、機密ネットワークへの拡大
- 24年度:未分類/分類済みネットワークのマイクロセグメンテーションロールアウトを完了し、アプリケーション固有の適用を継続し、新しいサーバービルドに統合する
イルミオゼロトラストセグメンテーションは、これらの成果のすべてを実現できます。また、3年間にわたって、ある機関の一部がロールアウトのさまざまな場所に同時に配置されることもあります。Illumio には柔軟性があり、ネットワークアーキテクチャから切り離されているため、管理対象のワークロードの数に制限なく拡張できます。
Illumioはマルウェアやサイバー攻撃の水平移動を阻止し、政府機関がその使命をより効果的に遂行できるようにします。詳細については:
- お問い合わせ先 連邦政府のゼロトラスト専門家にご相談ください。
- 当社をご覧ください 連邦政府のソリューションページ リスクベースの可視性とゼロトラストセグメンテーションを備えたゼロトラストアーキテクチャの構築をIllumioがどのように支援しているかについて詳しく学んでください。