時代遅れのネットワーク信頼の前提—ゼロトラストアーキテクチャ以前

私たちはこれまで以上にネットワークを注意深く見守り、お金を投資しているのに、不思議ではありませんか エンタープライズセキュリティ、ネットワーク上の誰を信頼できるかを知ることはますます難しくなっていますか？多くの場合、1 つのワークロードが侵害されただけで、残りの重要なアプリケーションやデータにアクセスしたり、そのインフラストラクチャ内を自由に移動したりするのに十分です。

‍
AWSやAzureなどのクラウドサービスへのアーキテクチャシフト、SaaS、IaaS、PaaSの台頭、そして現在コンテナと呼ばれる革命の始まりにより、問題はますます大きくなっています。これらのインフラストラクチャはすべて、公開されている場所も含め、どこにでも存在する可能性があり、信頼できるネットワークという前提は、以前よりも誤りが増す一方です。ユーザーやデバイスでも同じことが起こり、世界中に散らばり、VPN を介して、または直接機密データやアプリケーションにアクセスしています。世界的なパンデミックによってネットワークアクセスが劇的に変化したときには、コーヒーショップ、ホテルのWi-Fi、またはホームオフィスにいる可能性があります。

‍
従来のアプローチにはさらに多くの課題があります。

• 今日のネットワークでは、セキュリティは重なり合っています。ネットワークはセキュリティが懸念される前に構築されたものであり、セキュリティを導入するにはネットワークを再構築する必要があり、トラフィックはアクセスを許可するコントロールポイントを通過するようにステアリングする必要があります。
• ゾーンがどんどん小さくなると、IPサブネット化は難しくなり、面倒になります。このためにレイヤー3/4のルールを記述する必要がある場合は管理できなくなります
• すべてのインフラストラクチャに対応する 1 つのポリシーを作成するのは難しい
• 多くの施行ポイント
• 横方向の動き どんなに小さくても、各ゾーンで可能です
• アクセス制御はネットワークの境界に限定されています
• ネットワークフローを可視化できない
• 業務を自動化するためのオーケストレーションは不要

ゼロトラストアーキテクチャ戦略の基礎

上記の問題への答えは、信頼モデルを暗黙の信頼からゼロトラストのセキュリティモデルに再考することです。つまり、ネットワーク内の接続ごとに、決して信頼せず、常に検証してください。これは「最初に拒否し、必要なものだけを許可する」というアーキテクチャ上のアプローチです。

‍
ゼロトラストネットワークアクセスモデルは、2010年代にフォレスターリサーチに在籍していたジョンキンダーヴォーグによって作成されました。このモデルは当初、次のことに重点を置いていました。

• 場所やホスティングモデル（プライベートクラウド、オンプレミス、パブリッククラウド）にわたるネットワークのセグメント化と保護
• リスクはネットワークの内外を問わず内在する要素であるというゼロトラストセグメンテーションの福音を伝え、過去数十年にわたって私たちが築いてきた信頼の仮定に異議を唱え、排除するためです。

Kindervagは、Forrester以外でも引き続きゼロトラストアーキテクチャを提唱してきました。Chase Cunninghamは、2018年からForresterが公開しているゼロトラストアーキテクチャとゼロトラストExtended Waveを引き継ぎました。

‍
このモデルはその後大きく進化し、現在では IT 部門とセキュリティ部門にゼロトラストアーキテクチャを実用的な方法で実装する機会を与える実用的なフレームワークとなっています。

‍
ゼロトラストセグメンテーションはテクノロジーではなく、アーキテクチャモデルであり、実装する前に考慮すべき主張がいくつかあります。

• 侵害を想定-ネットワークのどの部分も信頼されていないと仮定すると、データ漏えいが発生する
• 「内部」と「外部」の消滅-ネットワークのあらゆる部分に常に内部および外部の脅威が存在すると想定しています
• 最小権限-ネットワーク、デバイス、ユーザ、フロー、データのすべてを、最小権限アプローチでプロビジョニングする必要がある
• 決して信用しないで常に検証する-セキュリティに対するデフォルトの拒否アプローチ
• ポリシーは動的でなければならず、エンドユーザーの地域性よりも多くの情報を考慮する必要があります
• 一元管理-ネットワークを調整する場所

‍

2010年代、Forresterの調査では、マイクロセグメンテーションを使用してインフラストラクチャ内の水平方向の脅威の移動と侵入に対処することを目的としたゼロトラストアーキテクチャアプローチが導入されました（Dr. Chase Cunningham）。このフレームワークはデータ中心で、次の 5 つの柱に基づいています。

• あらゆるセキュリティフレームワークのなかで最も重要なのはデータですが、保護すべき最も重要な資産です。
• ネットワーク-トラフィックは正当なユーザーには流れ、信頼できない接続ではブロックする必要がある
• デバイス-ネットワークへのユーザーアクセスの手段
• 人-攻撃を成功させる鍵となるのは人的要因であることが多く、ネットワークへの侵入経路として最も多く利用される要因の 1 つです。
• ワークロード-アプリケーションが実際に計算とストレージを行うデバイス

‍

これらはすべてオーケストレーションと自動化と結びついており、ゼロトラストセグメンテーションの実装を開始するうえでも重要なコンポーネントとして可視化が必要です。

ゼロトラストアーキテクチャ戦略の実装方法

データを特定する

機密データがどこに何があるかを知ることは、環境を保護し、ゼロトラストアーキテクチャ戦略を確立するための鍵です。

トラフィックを確認

アプリケーション間のトラフィックフローを特定し、問題を特定 アタックサーフェス は、ゼロトラストアーキテクチャを構築する上で最も重要でありながら最も困難な作業の 1 つでもあります。トラフィックを取得するのが難しいだけでなく、ネットワークの変化も多く、その変更をモデルにリアルタイムで反映させる必要があります。次の段階に進む前に、アプリケーションとアプリケーションの依存関係を特定することが重要です。

ポリシーを定義

トラフィックを確認したら、デフォルトの拒否標準ルールを使用してゼロトラストアーキテクチャポリシーを作成するのが簡単になります。特定のアプリケーションなどのマイクロ境界を定義して特定するのがはるかに簡単になるだけでなく、アプリケーション境界での特権アクセスのトラフィックを確認することもはるかに簡単になります。
Illumioは、アプリケーションに最適なポリシーを自動的に生成し、準拠していないフローを特定するのに役立ちます。
ポリシーのテストはワークフローの一部であり、実際にポリシーを完全に適用しなくてもテストできます。その結果、リスクが軽減され、失敗率が最小限に抑えられます。

強制する

ポリシーを適用することは、以前は非常にリスクの高い作業でした。ポリシーを変更するたびに、ネットワークが停止したり、アプリケーションの可用性が低下したりする可能性がありました。テストモードを使用すれば、この脅威はなくなり、アプリケーションを破壊するリスクなしに、より早く適用できるようになります。
ポリシー違反のアラートをリアルタイムで追跡し、意味のあるコンテキストデータでアラートを強化し、東西トラフィックを透過的に暗号化し、アプリケーションライフサイクル全体にわたって完全な可視性を実現します。

監視と保守

企業のセキュリティと実装を維持し維持するには、絶え間ない努力と努力が必要です。ゼロトラストアーキテクチャはテクノロジーではなく、フレームワークとプロセスであることを忘れないでください。学んだことを踏まえると、企業内の新しいアプリケーションごとにゼロトラストセグメンテーションを実装し、「決して信頼せず、常に検証する」というアプローチを維持しながら、時間の経過とともに最適なワークフローを見つけることができます。

セキュリティの自動化とオーケストレーションを採用

オーケストレーションと自動化によってのみ、安定性、予測可能性、信頼性を維持することができます。ネットワークセキュリティ モデル。
上記のワークフローにより、複雑さが大幅に軽減され、変更に伴うリスクが軽減され、ゼロトラストアーキテクチャモデルをより迅速に構築できます。

‍

さらに詳しく

• 理由の詳細をご覧ください ゼロトラストセグメンテーション は、あらゆるゼロトラストアーキテクチャの基礎的かつ戦略的な柱です。
• フォレスターがイルミオを「A」と名付けた理由をご覧ください ゼロトラストとマイクロセグメンテーションのリーダー。
• イルミオ ZTS の方法を学ぶ QBEインシュアランスのようなお客様を支援します ゼロトラスト戦略を推進します。

‍