ZTNAがセキュリティギャップを残す理由と、ZTSがそれらを埋める方法

同じくらい ゼロトラストベンダー ゼロトラストは単一の製品やテクノロジーではなく、IT環境全体の全体的な戦略であると信じてほしいと思います。

ゼロトラストは、その名のとおり、企業のデジタルリソースへのアクセスをデフォルトで拒否し、IDとリソースタイプに基づいて必要な場合にのみ権限を付与するモデルです。

組織の重要なワークロードを保護するには、ゼロトラストに欠かせない3つの要素は次のとおりです。

• アイデンティティガバナンス
• ゼロトラストセグメンテーション (ZTS)
• ゼロトラストネットワークアクセス (ZTNA)

ほとんどの組織はすでにアイデンティティガバナンスを採用していますが、後者の2つのコンポーネントは ゼロトラスト 手を携えて、組織のインフラを保護する上で大きな役割を果たしてください。

ZTNA とは何か、なぜ重要なのか

ZTNAは、組織の境界と南北の交通を保護するために、過去数年にわたって広く採用されてきました。ZTNA は、ID と役割に基づいてユーザーを認証することにより、ユーザーがクラウドまたはデータセンターのアプリケーションにアクセスするためのシンプルかつ堅牢なメカニズムを提供します。

さらに、ユーザーにアクセスを許可すると、従来のVPNとは異なり、ユーザーにはユーザーが必要とするアプリケーションにのみアクセスできるようになり、企業ネットワーク自体へのアクセスは拒否されます。これにより、境界に潜むネットワークの攻撃対象領域が減ります。

ZTNAが落ちる上位3つのエリア

ZTNAには多くの利点があることが証明されていますが、ネットワークにとって万能のソリューションではありません。

実際には、侵害はまだ発生しています。

攻撃の複雑さが増すにつれて、導入が差し迫っています。」違反を想定「組織の目標は、社内の攻撃対象領域を減らし、侵害をできるだけ少ないリソースに封じ込めることであるべきだという考え方。

ZTNAは、リモートユーザーからのアプリケーションへの外部アクセスを保護する点で優れていますが、ZTNAがメリットを提供できないシナリオは複数あります。だからこそ、多層防御のアプローチが不可欠なのです。

ZTNAが保護を提供しない主な分野は3つあります。

• 横方向の動き エンドポイント間: ZTNA ソリューションは、リモートユーザーからアプリケーションへのリソースアクセスを提供します。ただし、ユーザーがオフィスにいる場合でも、さまざまなエンドユーザーデバイスからのアクセスが妨げられたり規制されたりすることはありません。企業環境内の感染したエンドポイントは、多くのエンドポイントやサーバーを横切って移動し、機密のユーザーデータにアクセスすると同時に、大規模なランサムウェア攻撃を受けやすくなります。
• サーバー間の横方向の移動: ZTNAには、データセンター内部から発生する攻撃ベクトルから保護する機能がありません。良い例としては、 ソーラーウィンズ 攻撃者がSolarWindsが導入されたネットワークやシステムにアクセスした2020年のサプライチェーン攻撃。
• ID サービスプロバイダーの失敗: ZTNA ソリューションは、アイデンティティサービスプロバイダー (IdP) 上の環境へのユーザーの認証を信頼しています。攻撃者はこれを利用して、IDP になりすましたり MFA をバイパスしたりしています。いったん侵入すると、攻撃者は自由に大混乱を引き起こしたり、データを盗み出したり、組織の重要な資産を感染させたりすることができます。

ZTNAが倒れたとき、ZTSはどのように役立ちますか？

ZTS そしてZTNAは、あらゆるゼロトラストジャーニーの基本的な構成要素です。組織が悪意のある攻撃者からの保護をZTNAだけに頼ることはできないことは明らかです。

ZTSは、ZTNAが広く公開している東西トラフィックを保護することでギャップを埋め、ゼロトラストへの取り組みを続けるために必要なネットワークトラフィックの可視性を提供します。

保護できるのは目に見えるものだけだというのは常識です。ZTSは、東西のトラフィックを保護するだけでなく、エンドポイント (リモートおよびオフィス) からデータセンターやクラウド内のアプリケーションに至るまで、エンドツーエンドの可視性を提供します。組織は、この可視性を活用して他の可視性を導入することができます。 ゼロトラストソリューション。

ZTSでは、「侵害を想定する」アプローチが環境全体に適用されるため、明示的に許可されない限りノード同士が通信できなくなります。これにより、侵害が確実に封じ込められ、ネットワーク全体に広がることがなくなります。

侵害防止の考え方から侵害の封じ込めの考え方への移行は、2021年に発行されたホワイトハウスの大統領令14028号によって裏付けられています。EO は、連邦政府機関およびすべての組織に対し、ゼロトラストセグメンテーション (マイクロセグメンテーションとも呼ばれる) を主要な柱の 1 つとして特に強調するゼロトラストセキュリティ戦略に移行するよう求めています。

大統領令14028号の要点については、以下をご覧ください。 この記事。

ZTSは、ZTNAがもたらす3つの主要な欠点に対処します

他のエンドポイントとの通信が許可されているエンドポイントは、攻撃者が迅速に拡散できるという利点です。そのため、企業ネットワークの内部または外部のエンドポイントは ZTS を使用して保護する必要があります。ポートを開放したままにしておくと、エンドポイントは魅力的な攻撃ベクトルとなり、ネットワーク内でランサムウェアが拡散する主な原因となります。エンドポイントが感染すると、攻撃者はデータセンター内の重要な資産に移動する可能性があります。

ZTSから得られる可視性により、細分化されたポリシーをアプリケーションサーバーに適用できるセグメンテーションルールを簡単に作成できます。これにより、特定のサーバーのみが特定のプロトコルを介して相互に通信できるようになります。たとえば、Web サーバーとデータベースサーバー間の通信はポート 3306 (MySQL) で許可したいが、データベースから Web サーバーにアクセスできないように制限したい場合があります。

ZTSは、攻撃者がIDPの認証メカニズムをバイパスした場合の貴重なフェイルセーフであることが証明されています。攻撃者が侵入しても、環境内を横方向に移動することはできないため、攻撃の爆発範囲が小さくなります。

サイバー攻撃の大半は、ネットワークの発見とラテラルムーブメントに依存しています。ZTNAに加えてZTSがなければ、組織はこれらの戦術が繰り返し悪用されることに対して脆弱になります。

イルミオ+アプリゲート：ZTSとZTNAの両方を実装することでサイバーニルヴァーナを実現

ZTSとZTNAは、近代的なインフラの確保において大きな役割を果たしています。これらを組み合わせることが、ネットワークを再び素晴らしいものにし、サイバーニルヴァーナを達成する方法です。

イルミオと アプリゲート 組織が効果的かつ効率的なゼロトラストセキュリティ保護を実装できるよう支援する道を切り開いています。IllumioとAppgateは、ゼロトラスト拡張エコシステムプラットフォームプロバイダーであるForrester Wave†のリーダーにランクされました。

IllumioとAppgateを使用すると、ハイブリッドコンピューティング環境全体で境界トラフィックと内部トラフィックの両方を保護するゼロトラストセキュリティを迅速に構築できます。

イルミオ+アプリゲートの詳細はこちら この記事。そして、ゼロトラストセキュリティを実装するための3段階のベストプラクティスアプローチを、IllumioとAppgateで入手してくださいソリューションガイド。