ゼロトラスト戦略にZTSとZTNAの両方が必要な理由

平均して、データセンターまたはクラウドに入る 1 MB の North-South トラフィックごとに、ワークロード間の 20 MB の East-West トラフィック ワークロードが作成されます。  

境界トラフィックと内部トラフィックの両方に対してゼロトラストセキュリティを構築していない場合、攻撃者が悪用する死角がネットワーク全体に残ります。このため、ネットワークの境界と内部の両方を保護することが重要です。

南北トラフィックと東西トラフィックの両方で一貫したゼロトラストセキュリティを構築するために、イルミオはAppgateと提携して、ゼロトラストセグメンテーション(ZTS)とゼロトラストネットワークアクセス(ZTNA)を提供しています。  

最近のウェビナーでは、イルミオのシニアパートナーシステムエンジニアであるポール・スコフィールドが、DXC Technologyのセキュリティインフラストラクチャ製品担当シニアマネージャーであるマイルス・デイビス氏と、Appgateのグローバルソリューションエンジニアリング担当シニアバイスプレジデントであるジム・アンソニー氏と対談しました。彼らは、ゼロトラストネットワークアクセス(ZTNA)とゼロトラストセグメンテーション(ZTS)を使用したゼロトラストフレームワークの構築について話し合いました。彼らの重要な洞察は次のとおりです。

今すぐウェビナーの完全版をオンデマンドで視聴してください。

ZTNAは単なるVPN 2.0ではありません

Miles氏は、パンデミックの間、DXCチームは従来のVPNが時代遅れであることをすぐに知ったと語った。「リモートワークのために突然大規模に拡張されましたが、VPNだけでは十分ではありませんでした」と彼は振り返ります。  

代わりに、DXC はZTNAに目を向けました。「ZTNA はまったく異なるモデルであり、広範な権限ではなく、アイデンティティと必要性に基づいた安全なアクセスに重点を置いています」とマイルズ氏は説明します。

従来のVPNは、ユーザーが中に入ると広範なアクセスを許可します。しかし、ZTNAは最小権限アクセスで動作し、ユーザーが必要な特定のリソースにのみアクセスできるようにします。

ZTNAは、ゼロトラスト環境でアクセスを管理するための堅牢でスケーラブルなソリューションです。

「ZTNAは単なるVPN 2.0ではありません」とMiles氏は説明します。「常に最小特権アクセスなどのゼロトラスト原則を完全に取り入れています。」

Miles氏は、ZTNAの際立った利点の1つは、組織がクロークされたインフラストラクチャと呼ぶものを採用できるようにすることだと指摘しました。これは、権限のないユーザーやシステムが機密資産にアクセスすることはおろか、機密資産を見ることさえできないことを意味します。

「見えないものを攻撃することはできません」とマイルズは付け加えた。同氏は、AppgateがZTNA技術としてシングルパケット認証(SPA)を使用していることを強調した。ジャストインタイムアクセスとジャスト十分なアクセス、ゼロトラストの2つの重要な原則を保証します。

ZTSは横方向の動きを止めるために重要です

ZTNA はネットワーク境界を保護し、アクセスを制限しますが、 ZTS は内部ネットワークを保護します。多層的なゼロトラスト セキュリティ体制を構築するには、 ZTS と ZTNA を組み合わせることが重要です。

Illumio の Paul Schofield 氏は、 マイクロセグメンテーションとも呼ばれる ZTS が、境界を突破した攻撃者のアクセスを制限するために不可欠である理由を説明しました。ZTS は横方向の移動を阻止し、攻撃者がネットワークを介して拡散するのを防ぎます。

「従来のセグメンテーションでは、横方向の動きを止めるのは困難です」とポール氏は指摘します。「しかし、イルミオZTSによるマイクロセグメンテーションにより、誰がいつ誰と通信できるかを正確に定義できます。」

Illumio ZTS プラットフォームは、ハイブリッド マルチクラウド全体にわたるワークロードとデバイス間のすべての通信とトラフィックの可視性を提供します。これにより、組織はネットワーク全体で何が通信されているかを正確に把握でき、 わかりやすい英語のラベルを使用できます。この情報を使用して、セキュリティ チームは侵害を阻止するきめ細かなマイクロセグメンテーション ポリシーを構築できます。

「VLANやIPアドレスを覚えておく必要はありません」とポール氏は言います。「すべてを実際の言語で確認でき、必要なアプリケーションのみが相互に通信するようにしてください。」

「これはゲームチェンジャーです。イルミオを使用すると、実際に制御を適用する前に制御を計画および適用できるため、セグメンテーションエラーに関連するリスクが軽減されます」とマイルズ氏は述べています。

さらに、ポール氏は、ZTS が欧州連合のデジタル運用レジリエンス法 (DORA)など、多くの規制要件に準拠していることを指摘しました。DORA では、セグメンテーションの詳細な証拠が義務付けられています。「Illumio のようなものを導入すると、セキュリティが強化されるだけでなく、自信を持ってコンプライアンス基準を満たすことができます」とポール氏は付け加えました。

ZTNAとZTSを組み合わせることで、完全なゼロトラスト防御が構築されます

ZTNA はネットワークへのアクセスを制御しますが、ZTS はネットワーク内での不正アクセスが制限されることを保証します。これらを組み合わせることで、南北トラフィックと東西トラフィックの両方を管理する階層化されたゼロ トラスト セキュリティ戦略が構築されます。

「ZTNA が玄関を制御し、ZTS が家の中の動きを制御すると考えてください」とジムは説明しました。「攻撃者が内部に侵入した場合でも、ZTS は攻撃者がすべてにアクセスできないようにします。Appgate と Illumio を組み合わせることで、ゼロ トラストの全範囲をカバーできます。」

マイルズ氏は、DXC自身のゼロトラストへの道のりは、複数のVPNプラットフォームを統合し、部門全体でZTNAの原則を徐々に採用することから始まったと付け加えました。「ZTNAとZTSは単なるアドオンではありません」と彼は言いました。「これらはゼロトラストの重要なレイヤーです。これらが組み合わさることで、完全なセキュリティの全体像が生まれます。」

ZTNA + ZTS:ゼロトラストの必需品  

ゼロ トラストへの道のりは一夜にして実現するものではありませんが、 ZTNA と ZTS を組み合わせることで、組織はゼロ トラストの構築と避けられない侵害からのネットワークの保護において大きな進歩を遂げることができます。

ゼロトラスト戦略を始めたばかりの場合でも、既存のゼロトラスト戦略を改良している場合でも、これらの業界リーダーの洞察は、ゼロトラストへの統合アプローチの重要性を強調しています。ポールが要約したように、「ゼロトラストは中途半端に行うことはできません。ZTNAとZTSを使用すると、レジリエンスのある適応性のあるセキュリティモデルをセットアップし、あらゆることに備えることができます。」

今すぐ完全なオンデマンド ウェビナーにアクセスしてください。ZTS と ZTNA を使用したゼロ トラストの構築について詳しく知りたい場合は、今すぐお問い合わせください。