ゼロトラスト戦略にZTSとZTNAの両方が必要な理由
平均すると、1 MB の NorthSouth トラフィックがデータセンターまたはクラウドに入るごとに、ワークロードに 20 MB の東西トラフィックのワークロードが発生します。
境界トラフィックと内部トラフィックの両方に対してゼロトラストセキュリティを構築していなければ、攻撃者が悪用する盲点をネットワーク全体に残すことになります。これが、ネットワークの境界と内部の両方を保護することが重要である理由です。
南北と東西の両方のトラフィックで一貫したゼロトラストセキュリティを構築するために、IllumioはAppgateと提携してゼロトラストセグメンテーション(ZTS)とゼロトラストネットワークアクセス(ZTNA)を提供しています。
最近のウェビナーでは、IllumioのシニアパートナーシステムエンジニアであるPaul Schofieldが、DXC Technologyのセキュリティインフラストラクチャサービス担当シニアマネージャーであるMiles Davisと、Appgateのグローバルソリューションエンジニアリング担当シニアバイスプレジデントであるJim Anthonyに話を聞きました。彼らは、ゼロトラストネットワークアクセス (ZTNA) とゼロトラストセグメンテーション (ZTS) を使用してゼロトラストフレームワークを構築することについて話し合いました。主なインサイトは次のとおりです。
を視聴する フルウェビナー 今日はオンデマンド。
ZTNA は単なる VPN 2.0 ではありません
パンデミックの最中、DXCチームは従来のVPNが時代遅れであることをすぐに知ったとMiles氏は語りました。「突然、リモートワーク向けに大規模に規模を拡大し始めたのですが、VPNだけでは不十分でした」と彼は回想しました。
代わりに、DXCは ズトナ。「ZTNAはまったく別のモデルで、幅広い権限ではなく、アイデンティティと必要性に基づく安全なアクセスに重点を置いています」とMiles氏は説明します。
従来のVPNは、ユーザーが内部に入ると幅広いアクセスを許可します。しかしZTNAは、ユーザーが必要とする特定のリソースにのみアクセスできるように、最小限の権限で運営されています。
ZTNAは、ゼロトラスト環境でのアクセスを管理するための堅牢でスケーラブルなソリューションです。
「ZTNAは単なるVPN 2.0ではありません」とマイルスは説明しました。「常に最小権限アクセスなどのゼロトラストの原則を完全に取り入れています。」
Milesは、ZTNAの優れた利点の1つは、組織が彼がクローキングインフラストラクチャと呼んでいるものを採用できることだと述べています。つまり、権限のないユーザーやシステムは、機密資産を見ることすらできず、ましてアクセスすることもできないということです。
「見えないものを攻撃することはできません」とマイルスは付け加えました。彼は、AppgateがZTNA技術としてシングルパケット認証 (SPA) を使用していることを強調しました。これにより、ゼロトラストに不可欠な 2 つの原則である、ジャストインタイムアクセスとジャストアーノップアクセスが保証されます。
ZTSは横方向の動きを止めるのに不可欠です
ZTNAはネットワーク境界を保護し、アクセスを制限しますが、 ZTS 内部ネットワークを保護します。組み合わせることが重要です ZTS と ZTNA 多層的なゼロトラストセキュリティ体制を構築します。
イルミオのポール・スコフィールドが、なぜZTSとも呼ばれるのかを説明しました マイクロセグメンテーションは、攻撃者がなんとか境界を突破した場合に攻撃者のアクセスを制限するために不可欠です。ZTS が停止します。 横方向の動き つまり、攻撃者はネットワークを介して拡散することはできません。
「従来のセグメンテーションでは、横方向の動きを止めるのは難しいです」とポールは指摘しました。「しかし、Illumio ZTSのマイクロセグメンテーションでは、誰が誰といつ通信できるかを正確に定義できます。」
ザの イルミオ ZTS プラットフォーム ハイブリッドマルチクラウド全体のワークロードとデバイス間のすべての通信とトラフィックを可視化します。これにより、組織はネットワーク全体で何が通信され、何が利用されているのかを正確に把握できます。 プレーン・イングリッシュ・ラベル。この情報を使用して、セキュリティチームは違反を含むきめ細かなマイクロセグメンテーションポリシーを構築できます。
「VLANやIPアドレスを覚えておく必要はありません」とポール氏は言います。「すべてを実際の言葉で確認でき、必要なアプリケーションだけが相互に通信していることを確認できます。」
「これはゲームチェンジャーです。イルミオでは、実際に適用する前に統制を計画して実施できるため、セグメンテーションエラーに関連するリスクが軽減されます」と Miles 氏は言います。
さらに、Paulは、ZTSは次のような多くの規制要件に準拠していると指摘しました。 欧州連合のデジタル・オペレーショナル・レジリエンス法 (DORA)。DORAはセグメンテーションの詳細な証拠を義務付けています。「イルミオのようなものを導入することで、セキュリティが強化されるだけでなく、コンプライアンス基準を確実に満たすことができます」と Paul 氏は付け加えます。
ZTNAとZTSを組み合わせることで、完全なゼロトラスト防御が可能になります
ZTNAはネットワークへのアクセスを制御しますが、ZTSはネットワーク内での不正アクセスを制限します。これらが一緒になって階層化されます。 ゼロトラストセキュリティ戦略 南北と東西の両方の交通を管理します。
「ZTNAは玄関のドアを制御し、ZTSは家の中の動きを制御すると考えてください」とジムは説明しました。「攻撃者が侵入した場合、ZTSは侵入者がすべてにアクセスできないようにします。 アプリゲートとイルミオ これらを合わせると、ゼロトラストの全範囲をカバーできます。」
マイルズ氏は、DXC自身のゼロトラストへの道のりは、複数のVPNプラットフォームを統合し、部門間で徐々にZTNAの原則を採用することから始まったと付け加えました。「ZTNA と ZTS は単なるアドオンではありません」と彼は言います。「これらはゼロトラストに欠かせないレイヤーです。これらが一緒になって、完全なセキュリティ全体像を作り上げるのです。」
ZTNA + ZTS: ゼロトラストの必需品
ゼロトラストへの道のりは一夜にして実現するものではなく、組み合わせることによって実現します ZTNA と ZTS、組織はゼロトラストを構築し、避けられない侵害からネットワークを保護する上で大きな進歩を遂げることができます。
ゼロトラスト戦略を始めたばかりか、既存のゼロトラスト戦略を改良しようとしているかにかかわらず、これらの業界リーダーの洞察は、ゼロトラストへの統合的アプローチの重要性を浮き彫りにします。ポールがまとめたように、「ゼロトラストを中途半端に実行することはできません。ZTNA と ZTS を使用すれば、何にでも対応できる、回復力のある適応型セキュリティモデルを構築できます。」
にアクセスする フルオンデマンドウェビナー 今。 お問い合わせ 今日は、ZTSとZTNAによるゼロトラストの構築について詳しく学んでください。