セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
Segmentation
Illumio Editorial
Illumio Editorial
2022年3月18日
23分読む

ゼロトラストセキュリティモデルを広く開かれた環境に実装する方法

セキュリティに保護された境界を備えたオンプレミス ストレージが含まれていたのは、それほど昔のことではなかったことです。組織は、機密データがどこにあるか、物理的なアクセスを許可される人数が限られているため、保護の強さに自信を持つことができました。

これは、私たちが今日住んでいるデジタル世界ではありません。要塞化された境界は、遠隔地の環境とモバイルデバイスの急増に取って代わられています。ビジネス データは現在、世界中のサーバーに格納されている仮想化ストレージに分散されています。これにより、企業に優れた柔軟性と拡張性がもたらされますが、セキュリティギャップを悪用しようとする悪意のある攻撃者の攻撃対象領域も広がります。

In response to this challenge, security professionals are ushering in a new era of Zero Trust security. At its most basic, a Zero Trust approach requires verifying every access request between all resources, no matter who, what or where they are. Fundamentally, Zero Trust is a security mindset and strategy — which can be challenging to implement fully.

この投稿では、ゼロトラスト手法の起源について説明し、ますますリモートで境界のないクラウドファーストの環境で組織がゼロトラストセキュリティを実装する方法について説明します。

ゼロトラストの簡単な歴史

The term Zero Trust was first discussed in the 1990s in a doctoral thesis on computational security, though it was not used in quite its current meaning. The concept gained more traction around 2010 after a discussion by Forrester Research on the principles of what would become the basis of the paradigm.

Forrester は、組織内で信頼できる境界という考え方にはリスクがあることを認識していました。認証情報が侵害される可能性があるだけでなく、内部脅威の防止については一切言及されていません。したがって、別段の証明がない限り、すべてのネットワーク トラフィックは信頼できないと見なされる必要があります。

Fast forward a few years, and our increasingly mobile (and now, increasingly remote) workforce is redefining even the basic idea of a perimeter. This, combined with the rise of cloud solutions, requires a further shift from credential-based authentication. In addition to a focus on people, we now must extend the Zero Trust framework to focus on data. This means next generation security tools must take into consideration network activity, user access and privileges, and data access and use.

ゼロトラストでは、ユーザーが誰であるかを尋ねるだけでは不十分です。すべてのログイン試行は、次のようなコンテキストを要求する必要があります。

  • デバイスは既知のデバイスとして使用されていますか?
  • ログインは既知の場所またはネットワークから来ていますか?
  • 彼らはどのようなデータまたはアプリケーションにアクセスしようとしていますか?

Of course, demanding and verifying all of this context can be easier said than done in our increasingly open landscape. Security professionals need to prepare themselves for new trends in an increasingly open digital landscape. We’ll take it a step further to see how to adopt a Zero Trust paradigm in a modern security environment.

ボーダレス環境でのゼロトラストの実装

今日のデータ急増とリモートワークの性質上、かつてのようにセキュリティ境界を適用することはほぼ不可能です。それでは、この戦略を結果とテクノロジー主導のセキュリティパラダイムに変えるためのいくつかの実行可能なステップを見てみましょう。

保護サーフェスの定義

The first step to securing your organization’s environment is defining said environment. In essence, you are trying to put up a border where none exists. This approach requires a holistic view of the network and environment, including all users, devices, privileges and traffic

This is particularly challenging if you use cloud-based services or have shared hosting for your servers. According to industry expert Alex Williams of Hosting Data, any time resources are shared, security can take a hit. “The server’s very communal nature may allow viruses to spread across a server site, infecting those linked to it,” says Williams. “You have no way to personalize your security. You’re essentially relying on your hosting team to protect you.”

特定の設定に関係なく、最新の攻撃対象領域は常に拡大しています。いくつかの方法があります。 攻撃対象領域を定義するしかし、ゼロトラストでは、何を 保護しなければならないかという観点から具体的にアプローチします。

これにより、ビジネスにとって最も価値のあるものに焦点が絞られます。「保護サーフェス」には、次のものが含まれます。

  • データ(個人を特定できる情報や支払いカード情報など)
  • アプリケーション(CRMや支払いプロセスなど、データにアクセスするために使用されるもの)
  • 資産 (POS 端末など、データを処理するサーバーまたは機器)
  • サービス (DNS や Active Directory など、データへのアクセスに使用されるビジネス クリティカルなサービス)

保護されたサーフェスを定義すると、ユーザー認証に関連する従来のアクセス管理に加えて、データ管理と資産管理が統合されます。

ゼロトラストポリシーの草案

保護サーフェスを定義したら、この情報を使用して組織全体のポリシーを正式に設定する必要があります。ゼロトラストでは、誰が、何に、いつ、どこからアクセスできるかを尋ねる必要があります。特定のリソースに対してアクセス要求が行われるたびに、いくつかの質問をする必要があります。

  • 誰がアクセスする必要がありますか?
  • どのデバイスにアクセスできる必要がありますか?
  • ユーザーはいつアクセスできますか?
  • ユーザーはどこからアクセスできますか?
  • リソースは何に使用できますか?

These questions should be translated into actionable steps that are specific enough to cover the unique needs of different assets or services. An attribute-based access control (ABAC) model will be helpful in crafting policies targeted to the attributes of different resource groups.

However, just because you may have different policies for different service types does not mean it isn’t a company-wide policy. If you are new to the subject, you should consider consulting with an expert to help formulate your Zero Trust policy strategy.

「仮想」境界を形成する

仮想境界を強化するために適用できるツールや戦術はいくつかあります。オープンランドスケープでは、ネットワークフローをマッピングし、クラウドネイティブリソースの可視性を高めることが主な焦点となるはずです。

It may be that you have a hybrid cloud environment with some on-premises and virtual resources. You will also have to deal with in-house versus third-party software. The ABAC model will help to consolidate rules to provide more complete visibility. In addition, you will need to segment your services to enforce Zero Trust.

A micro-segmentation tool that offers granular control of your protected source will help to reduce the severity of an attack in the event of a breach. Segmentation is particularly critical when you use cloud-based microservices — without putting up virtual walls, an attacker could move laterally through your system with just one set of stolen credentials. The right tool will also give you real-time visibility of system behaviors, which will help in enforcing your policies.

一貫した監視とテスト

Even once you are confident in your policies and implementation, you should never stop testing your system for vulnerabilities. Test your pre-built policies to ensure they are detecting suspicious activity and can be used to enact emergency measures in the event of a threat. It can also be helpful to do periodic adversarial testing, either in-house or contracted out, to map vulnerabilities and avoid getting complacent.

チームを教育する

最後に、組織全体でゼロトラストパラダイムを推進するには、ターゲットを絞った教育を使用して全員を参加させる必要があります。IT 部門から経営幹部まで、ポリシーの変更がなぜ実施され、どのような影響を与えるのかを全員が理解することが重要です。

たとえば、アクセス管理と多要素認証によってログインプロセスがどのように変化するか、そしてこれが会社、従業員、顧客にとってなぜ重要なのかについて従業員をトレーニングする必要があります。

結論

The digital world is ever-changing, and security professionals bear the burden of adapting to these changes. The days of locked-down, on-premises devices are gone, replaced with hybrid cloud, edge computing and the Internet of Things.

ゼロトラストは、多層のデータ中心のセキュリティで企業がこの状況に立ち向かうのに役立ちます。そして、適切に実装されれば、セキュリティが不便に感じる理由はありません。むしろ、責任と健全なサイバー衛生を促進する組織全体の優先順位の変化になる可能性があります。

Learn how Illumio, the pioneer and leader of Zero Trust Segmentation, can help:

関連トピック

アイテムが見つかりませんでした。

関連記事

製薬業界におけるマイクロセグメンテーションの取り組みの原動力
Segmentation

製薬業界におけるマイクロセグメンテーションの取り組みの原動力

デロイトによると、製薬業界は、関連する知的財産に起因する莫大な価値と市場のデジタル化の進展により、世界中でサイバー犯罪者によって最も標的にされる分野になりつつあります。

詳細はこちら
クラウドDevOpsにおけるスピードとセキュリティのジレンマを解決する5つの方法
Segmentation

クラウドDevOpsにおけるスピードとセキュリティのジレンマを解決する5つの方法

迅速なクラウド開発とクラウド環境をセキュリティで保護する必要性との間のバランスを見つける方法に関する 5 つの推奨事項を学びましょう。

詳細はこちら
新世界のためのゼロトラスト
Segmentation

新世界のためのゼロトラスト

当社の CTO PJ Kirner が前回 Forrester の Chase Cunningham 博士と対談し、ゼロトラストを開始するための戦略について話し合って以来、多くのことが変わりました。

詳細はこちら
アイテムが見つかりませんでした。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る