ブログ
/
ゼロトラストセグメンテーション

広く開かれた環境でゼロトラストセキュリティモデルを実装する方法

イルミオエディトリアル
March 18, 2022
23 最小読取り

セキュリティには、境界が保護されたオンプレミスのストレージが関わっていたのは、それほど昔のことではありません。機密データがどこに保存され、物理的にアクセスできるユーザーの数が限られているかを把握していたため、組織は保護の強さに自信を持つことができました。

これは、私たちが今日住んでいるデジタルの世界とはまったく異なります。強化された境界は、リモート環境とモバイルデバイスの急増に取って代わられました。現在、ビジネスデータは、世界中のサーバーにある仮想ストレージに分散しています。これにより、企業に大きな柔軟性と拡張性がもたらされる一方で、セキュリティギャップを悪用しようとする悪意のある攻撃者の攻撃対象が広がることにもなります。

この課題に対応するため、セキュリティ専門家はゼロトラストセキュリティの新時代を迎えています。最も基本的なのは、 ゼロトラストアプローチ 誰が、何を、どこにいるかにかかわらず、すべてのリソース間のすべてのアクセス要求を検証する必要があります。基本的に、ゼロトラストはセキュリティの考え方と戦略であり、完全に実装するのは難しい場合があります。

この投稿では、ゼロトラスト方法論の起源について説明し、組織がますますリモート化され、境界線がなくなり、クラウドファーストの環境でゼロトラストセキュリティを実装する方法を説明します。

ゼロトラストの簡単な歴史

ゼロトラストという用語は、1990年代に計算セキュリティに関する博士論文で初めて議論されましたが、現在の意味では使われていませんでした。このコンセプトは より多くの牽引力を得た パラダイムの基礎となる原則についてフォレスター・リサーチが議論した後の2010年頃。

Forresterは、組織に信頼できる境界を設けるという考えにはリスクが伴うことを認識していました。認証情報が漏洩する可能性があるだけでなく、内部からの脅威を防ぐことについても触れられていません。したがって、別の方法で証明されない限り、すべてのネットワークトラフィックは信頼できないと見なすべきです。

それから数年が経ち、モバイル化が進む(そして現在ではリモートワークも増えている)従業員が、境界という基本的な考え方さえも再定義しつつあります。これは、クラウドソリューションの台頭と相まって、認証情報ベースの認証からのさらなる転換を必要としています。私たちは今、人に焦点を当てることに加え、今こそそうしなければなりません。 ゼロトラストフレームワークの拡張 データに集中するためですつまり、次世代のセキュリティツールでは、ネットワークアクティビティ、ユーザーのアクセスと権限、データへのアクセスと使用を考慮に入れる必要があります。

ゼロトラストでは、ユーザーが誰であるかを尋ねるだけでは不十分です。ログインを試みるたびに、次のようなコンテキストを要求する必要があります。

  • そのデバイスは既知のデバイスとして使用されていますか?
  • ログインは既知の場所またはネットワークから行われていますか?
  • どのデータまたはアプリケーションにアクセスしようとしていますか?

もちろん、このすべてのコンテキストを要求して検証することは、ますますオープンになっている環境では口で言うほど簡単ではありません。セキュリティ専門家は次のことを行う必要があります。 新しいトレンドに備えましょう ますますオープンなデジタル環境の中で。さらに一歩進んで、現代のセキュリティ環境でゼロトラストパラダイムを採用する方法を見ていきます。

ボーダーレス環境におけるゼロトラストの実装

今日のデータ拡散とリモートワークの性質上、かつてのようにセキュリティ境界を強制することはほぼ不可能です。それでは、この戦略を成果とテクノロジー主導のセキュリティパラダイムに変えるための実行可能なステップをいくつか見てみましょう。

保護サーフェスを定義してください

組織の環境を保護するための最初のステップは、その環境を定義することです。要するに、何も存在しないところに国境を設けようとしているのです。このアプローチ 全体像を把握する必要がある すべてのユーザ、デバイス、権限、トラフィックを含むネットワークと環境の

これは、クラウドベースのサービスを使用している場合や、サーバーのホスティングを共有している場合に特に困難です。Hosting Data社の業界エキスパート、アレックス・ウィリアムズ氏によれば、 リソースが共有されるときはいつでも、セキュリティが打撃を受ける可能性があります。Williams氏は次のように述べています。「サーバーは非常に共有しやすいため、ウイルスがサーバーサイト全体に広がり、リンク先のサイトに感染する可能性があります。「セキュリティをパーソナライズする方法はありません。実質的に、ホスティングチームに保護を任せていることになります。」

どのような設定であっても、現代のアタックサーフェスは常に拡大しています。それにはいくつかの方法があります。 アタックサーフェスの定義しかし、ゼロトラストでは、どうあるべきかという観点から具体的にアプローチしています 保護されています

これにより、ビジネスにとって最も価値のあるものに焦点が絞られます。「保護対象領域」には以下が含まれます。

  • データ (個人を特定できる情報や支払いカード情報など)
  • アプリケーション (CRM や支払いプロセスなど、データへのアクセスに使用されるアプリケーション)
  • 資産 (POS端末など、データを処理するサーバーまたは機器)
  • サービス (DNS や Active Directory など、データへのアクセスに使用されるビジネスクリティカルなサービス)

保護対象領域を定義すると、ユーザー認証に関連する従来のアクセス管理に加えて、データ管理と資産管理が一元化されます。

ゼロトラストポリシーの草案

保護対象領域を定義したら、この情報を使用して組織全体のポリシーを正式化する必要があります。ゼロトラストでは、誰が、何に、いつ、どこからアクセスできるかを尋ねる必要があります。特定のリソースへのアクセスが要求されるたびに、次のような質問をする必要があります。

  • 誰がアクセスできるべきか?
  • どのデバイスにアクセスできる必要がありますか?
  • ユーザーはいつアクセスできますか?
  • ユーザーはどこからアクセスできますか?
  • リソースは何に使用できますか?

これらの質問は、さまざまな資産やサービスの固有のニーズに対応できるほど具体的な、実行可能なステップに変換する必要があります。そして 属性ベースのアクセス制御 (ABAC) モデル さまざまなリソースグループの属性を対象としたポリシーを作成するのに役立ちます。

ただし、サービスの種類によってポリシーが異なるからといって、それが全社的なポリシーではないというわけではありません。このテーマに慣れていない場合は、そうすべきです。 専門家に相談することを検討してください ゼロトラストポリシー戦略の策定を支援します。

「仮想」境界を形成する

仮想境界を強化するために適用できるツールや戦術はいくつかあります。オープン環境における主な焦点は、ネットワークフローをマッピングし、クラウドネイティブリソースの可視性を高めることです。

あなたが持っているかもしれません ハイブリッドクラウド環境 いくつかのオンプレミスと仮想リソースを使用します。また、社内ソフトウェアとサードパーティ製ソフトウェアとの比較も必要になります。ABACモデルは、ルールを統合してより完全な可視性を提供するのに役立ちます。さらに、ゼロトラストを実施するにはサービスをセグメント化する必要があります。

A マイクロセグメンテーションツール これにより、保護対象ソースをきめ細かく制御できるため、侵害が発生した場合の攻撃の重大度を軽減できます。セグメンテーションは、クラウドベースのマイクロサービスを使用する場合に特に重要です。仮想的な壁を設けなければ、攻撃者は盗んだ認証情報一式だけでシステム内を横方向に移動できてしまいます。また、適切なツールを使用すればシステムの挙動をリアルタイムで可視化できるため、ポリシーの適用にも役立ちます。

一貫した監視とテスト

いったんポリシーと実装に自信がついたとしても、システムの脆弱性テストをやめるべきではありません。 事前に構築されたポリシーをテストする 不審なアクティビティを検知し、脅威が発生した場合に緊急対策を講じられるようにするためです。また、社内または外部委託による定期的な敵対的テストを実施して、脆弱性を特定し、自己満足に陥らないようにすることも役立ちます。

チームを教育しましょう

最後に、組織全体でゼロトラストパラダイムを推進するには、対象を絞った教育を実施して全員を参加させる必要があります。IT 部門から経営幹部に至るすべての人が、ポリシー変更が実施される理由と、ポリシー変更がポリシー変更にどのような影響を与えるかを把握しておくことが重要です。

たとえば、アクセス管理と多要素認証によってログインプロセスがどのように変わるか、そしてこれが会社、従業員、顧客にとってなぜ重要なのかについて、従業員をトレーニングしたいと思うでしょう。

結論

デジタル世界は絶えず変化しており、セキュリティ専門家はこれらの変化に適応する責任を負っています。ロックダウンされたオンプレミスデバイスがハイブリッドクラウドに取って代わられた時代は終わりました。 エッジコンピューティング そしてモノのインターネット (IoT)。

ゼロトラストは、データ中心の多層セキュリティにより、企業がこの状況に対応できるよう支援します。そして、適切に実装されれば、セキュリティに不都合を感じる理由はありません。むしろ、責任感と健全なサイバー衛生を促すような、組織全体の優先順位の転換になり得るのです。

イルミオのパイオニアでありリーダーであるイルミオについて学ぶ ゼロトラストセグメンテーション、助けることができます:

関連トピック

アイテムが見つかりません。

関連記事

広く開かれた環境でゼロトラストセキュリティモデルを実装する方法
ゼロトラストセグメンテーション

広く開かれた環境でゼロトラストセキュリティモデルを実装する方法

A comprehensive overview of how to implement Zero Trust architecture.

もっと読む
2020年のオーストラリア政府資産の確保:パート2
ゼロトラストセグメンテーション

2020年のオーストラリア政府資産の確保:パート2

このシリーズのパート2では、政府機関がネットワークセグメンテーションを導入してゼロトラストを実現できる理由を学びます。

もっと読む
英国からの洞察によるゼロトラストへの障壁の克服
ゼロトラストセグメンテーション

英国からの洞察によるゼロトラストへの障壁の克服

今日の最高情報セキュリティ責任者(CISO)は、あらゆる側面から課題に直面しています。組織が直面している脅威の規模と企業の攻撃対象領域の大きさから、セキュリティ侵害は「もし」ではなく「いつ」のケースとなっています。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく