ゼロトラストの定義が間違っている理由とそれを正しく行う方法
数年前、私は誤解を招く最悪のマーケティングを表すバッジを付けた車を持っていました。シルバーの3次元のロゴには、パーシャル・ゼロ・エミッション・ビークルの略であるPZEVという頭文字が書かれています。
これが矛盾しているように聞こえるというのが最初の反応なら、あなたは良い本能を持っています。この場合、説明は驚くほど正確です。
問題は、このアドバタイズされた機能が本質的に役に立たないことです。この誤解を招くような用語と目立つバッジが正確に表しているのは、汚染物質を排出する内燃機関を唯一の推進源として搭載しているが、エンジンを停止しても汚染物質を排出しない車両です。
もっと正直なバッジは、ガソリンの蒸発による排出物を防ぐために燃料システムにプリティ・グッド・ガスケットを使用したことを示すPGGでしょう。それでも基本的な問題は、部分ゼロは存在せず、矛盾しているということです。
ここで異端者になるのは嫌ですが、ゼロが明確に定義されていることに気づかずにはいられません。
0.1はゼロではありません。
どちらも.0001ではありません。
0.0001 でさえゼロではありません。
ゼロトラストと最小権限の原則
それでは、車と基本的な算術から、コンピュータネットワークのセキュリティに切り替えましょう。
ゼロトラストネットワークセキュリティの重要な理念は(「テナント」ではありません)、次のことを実装する必要があるということです。 最小権限の原則 その定義には、超過特権はゼロでなければならないということが含まれています。最小権限、つまりトランザクションが正しく機能するために必要な絶対最低限の権限は、ゼロトラストを確立するために必要かつ称賛に値するが、それだけでは十分ではない権限を低くすることとは異なります。
ここでの問題の簡単な例としては、ネットワークリソースが IP アドレス w.x.y.z のポート 80 で Web ページを公開している場合です。ポート 80 以外のすべてのポートへのアクセスをブロックすることは、正しい方向への大きな一歩です。ただし、本当に許可する必要があるのは特定のユーザーだけであっても、これによってどのクライアントアドレスでもこのポートにアクセスできます。これは過剰な権限であり、特定のクライアント送信元 IP アドレスのみを許可すれば排除できます。
しかし、そうなると、権限のあるユーザーがポート 80 で公開されているすべてのリソースにアクセスしようとすると、意図したユースケースに含まれる GET 操作と、そうではない PUT 操作などの両方でアクセスできるようになるというシナリオになります。PUT 操作を防止するためにアクセスをさらに制限し、特定の 1 つの Web リソースのみに GET を許可することが、意図するユースケースの実装に最低限必要な権限である最小作業権限 (MWP) を実現するための最後の制限です。
MWP は、特定のユースケースで実現できる最も権限の少ない設定です。上記の以降の動作制限はそれぞれ軽減されます。 アタックサーフェス そしてMWPに近づきますが、実装したことについて話すことができるのは、最後の余分な権限が削除されたときだけです ゼロトラスト。
ゼロトラストは旅ではありません。しかし、そこにたどり着くための努力は
このことから、ゼロトラストは「旅路」であり、部分的なゼロトラストの無意味な状態を暗示しているように思われる、という一般的な主張につながります。ゼロトラストの「レベル」について、あたかもさまざまなゼロトラストのセキュリティ体制が存在するかのような議論を耳にするのはよくあることです。
ゼロトラストは旅ではなく、目的地です。
人々がゼロトラストの「旅」と言うとき、彼らが実際に意味するのは、ゼロトラストを実現するための努力は旅だということです。この目標に向けたステップは有益かつ重要ですが、ゼロトラストという最終目標の達成とは区別する必要があります。
誇張や緩い用語はどの業界にも共通していることは事実ですが、場合によっては、特にサイバーセキュリティにおいて、行き過ぎて誤解を招き、長期的な損害をもたらす可能性があります。セキュリティの大きなリスクは、ゼロトラストに近づけることはできるが、目的地まで導いてくれる計画や能力がないベンダーやソリューションとの関係につながることです。
何も部分ゼロにすることは不可能です。
ゼロトラストは自由と安全に関するものです。アプリケーションがゼロトラストを実装するネットワークサービスを使用する場合、それらのアプリケーションには、攻撃者から身を守るための複雑で脆弱なロジックを含める必要はありません。同社のゼロトラスト・インフラストラクチャー・プラットフォームは、こうしたリスクが排除されていることを保証しています。
ゼロトラスト:可能な限り最小限の攻撃対象領域
例として、米国の裁判所にいる場合、入口が1つあり、入口が1つあり、入ってくる人を磁力計でスキャンし、誰も内部に悪意のあるものを持ち込んでいないことを確認できるため、安全を確保できます(ゼロトラスト)。このようなセキュリティ対策(攻撃対象領域の縮小)のない入り口が他にあれば、脅威がないという保証は受けられず、誰もが自分の安全を心配する必要があります。このような入口が 2 つあるシナリオでは、ほとんどの人 (何も悪意のない人) がセキュリティで保護されたインターフェースを経由するという事実は、安全性がないという意味ではありません。
攻撃対象領域の縮小とゼロトラスト(可能な限り最小限の攻撃対象領域)の違いは、自己防衛の心配をせずに自由に行えるかどうかです。真のゼロトラストだけが、アプリケーション開発者が防御機能をアプリケーションから除外し、それによってコスト、複雑さ、市場投入までの時間を削減できるのです。
多くのベンダーが、現在よりも安全性が高く、ある程度の価値があるソリューションを販売しています。しかし、ゼロトラストの目的地にたどり着くにはどうすればよいのか、またその目標に導いてくれるかどうかを理解することは重要です。
ゼロトラストは、サービスのメリットを提供するためにネットワークとのやり取りをある程度許可する必要があることを考えると、可能な限り最高のセキュリティ体制と考えることができます。このゼロトラストの定義は、現在入手可能なセキュリティソリューションのいくつかで実現できます。
特定のネットワークベースのアプリケーションやサービスでは、そのようなソリューションを導入するコストは、ソリューションなしで導入する場合のコスト、つまり侵害のコストよりもはるかに小さくなります。この分析を始めるのに最適なのは、アプリケーションに与えられる最低限の作業権限を理解することです。
アプリケーション所有者は、ゼロトラストがビジネス全体でどの程度費用対効果が高いかを判断するために、アプリケーションのセキュリティ要件を理解する必要があります。しかし、サイバーセキュリティ環境が進化し、より高度になるにつれて、組織はゼロトラストを採用しないわけにはいかないことに気付くでしょう。なぜなら、信頼を弱めるだけでは十分ではないからです。
イルミオゼロトラストセグメンテーションはゼロトラストの実現に役立ちます
ゼロトラストはセキュリティ戦略であり、特定の製品やソリューションではありませんが、 フォレスターがゼロトラストセグメンテーション (ZTS) を検証はマイクロセグメンテーションとも呼ばれ、あらゆるゼロトラストアーキテクチャの基本的かつ戦略的な柱です。ZTS は、完全なゼロトラスト実現を支援することを約束していませんが、ゼロトラストにとって不可欠なテクノロジーです。
ZTSは、侵害は避けられないと想定し、ネットワークをセグメント化し、最小権限アクセスを確立することでセキュリティ侵害に備えています。侵害が発生した場合、ZTSはネットワーク全体にわたるラテラルムーブメントを阻止することで侵害の拡大を抑制します。
ザの イルミオ ZTS プラットフォーム は、ハイブリッドアタックサーフェスを横断して侵害を封じ込める業界初のプラットフォームです。
イルミオ ZTS を使用すると、次のことが可能になります。
- リスクを確認:ワークロードとデバイスの通信状況を継続的に視覚化
- ポリシーの設定:必要かつ必要なコミュニケーションのみを許可するきめ細かなポリシーを設定
- 侵害の拡大を阻止:積極的に横方向の動きを制限するか、攻撃が活発に行われている間は、侵害を自動的に隔離します
ZTS とは何ですか?さらに読む ここに。
今すぐお問い合わせ ZTSの詳細と、ZTSがゼロトラスト戦略にどのように適合するかについて学ぶ準備ができたら。