Cybersecurity 101:
ZTNA (ゼロトラストネットワークアクセス)
ゼロトラストネットワークアクセス(ZTNA)モデルは、コンテキスト認識に基づいて、権限のあるユーザーまたはデバイスにアクセス権を適応的に付与します。これらのシステムでは、アクセス権限がデフォルトで拒否に設定されており、ID、時間、デバイス、その他の設定可能なパラメータに基づいて承認された許可されたユーザーのみが、ネットワーク、データ、またはアプリケーションへのアクセス権が付与されます。アクセスは暗黙的に許可されることはなく、事前に承認され、知る必要がある場合にのみ許可されます。
サイバー犯罪は、社会に年間6兆ドル以上の損害を与えると予想されています。現在の IT 部門は、はるかに大規模な組織を管理する責任を負っています。アタックサーフェスこれまで以上に。潜在的な攻撃対象には、デバイスとサーバー間のネットワークエンドポイント (ネットワークアタックサーフェス)、ネットワークとデバイスが実行するコード (ソフトウェアアタックサーフェス)、攻撃を受けやすい物理デバイス (物理的なアタックサーフェス) などがあります。
リモートワークが拡大し、日常業務にクラウドアプリケーションが使用されるようになると、従業員に必要なアクセスを提供すると同時に、組織を悪意のある攻撃から保護することが難しくなっています。そこで、ゼロトラストネットワークアクセス (ZTNA) の出番です。
ゼロトラストネットワークアクセス (ZTNA) の仕組み
ZTNAモデルでは、ユーザーがZTNAサービスによって認証されて初めてアクセスが承認されます。ZTNAサービスは、安全で暗号化されたトンネルを介してアプリケーションまたはネットワークアクセスを提供します。このサービスは、アクセス権限のないアプリケーションやデータをユーザーが見ることができないようにすることで、攻撃者になりそうな攻撃者によるラテラルムーブメントを未然に防ぎます。この種の移動は、侵害されたエンドポイントや承認された認証情報が権限のないデバイスやエージェントによって悪用され、他のサービスやアプリケーションへの方向転換が可能になった場合に起こり得ることです。
ZTNAでは、保護されたアプリケーションも発見されないようになり、ZTNAサービス(トラストブローカーとも呼ばれる)を介したアプリケーションへのアクセスは、事前に承認された一連のエンティティに制限されます。トラストブローカーは、以下の条件が満たされた場合にのみ、ある事業体にアクセスを許可します。
- エンティティ (ユーザー、デバイス、またはネットワーク) はブローカーに正しい認証情報を提供します。
- アクセスが要求されたコンテキストは有効です。
- その特定のコンテキスト内のアクセスに適用されるすべてのポリシーが守られています。
ZTNAでは、アクセスポリシーはカスタマイズ可能で、システムのニーズに基づいて変更できます。たとえば、上記の要件に加えて、位置情報またはデバイスベースのアクセス制御を実装して、脆弱なデバイスや未承認のデバイスが保護されたネットワークに接続するのを防ぐことができます。
ゼロトラストネットワークアクセス (ZTNA) のメリット
まず、アプリケーションアクセスはZTNAフレームワークでネットワークアクセスから分離されているため、ネットワークが感染にさらされたり、侵害されたデバイスによるアクセスにさらされたりすることが少なくなります。
次に、ZTNAモデルはアウトバウンド接続のみを行います。これにより、ネットワークとアプリケーションのインフラストラクチャーが不正または未承認のユーザーから見えなくなることが保証されます。
第三に、ユーザーが承認されると、アプリケーションへのアクセスは1対1でプロビジョニングされます。ユーザーは、完全なネットワークアクセスを享受する代わりに、明示的にアクセスを許可されたアプリケーションにのみアクセスできます。
最後に、ZTNAはソフトウェア定義型であるため、デバイスとアプリケーションの管理オーバーヘッドを大幅に削減できます。
ゼロトラストネットワークアクセス (ZTNA) のユースケース
ここでは、ZTNA セキュリティモデルの威力を示す一般的なユースケースをいくつか紹介します。
VPN の置き換え
VPN は動作が遅く、比較的安全性が低く、管理が難しい場合があります。ZTNA は、中央ネットワークへのリモートアクセスをプロビジョニングする目的で VPN に代わるセキュリティモデルとして、急速に推奨されつつあります。
サードパーティとベンダーのリスクの軽減
サードパーティまたは外部ベンダーとの間のアクセス権限とデータ転送は、ITインフラストラクチャに内在するセキュリティギャップです。ZTNA では、外部ユーザーが権限がない限りセキュリティで保護されたネットワークには絶対にアクセスできないようにし、アクセスがあってもアクセスが承認された特定のアプリケーションやデータベースにのみアクセスできるようにすることで、これらのリスクを軽減できます。
ゼロトラストネットワークアクセス (ZTNA) の導入
ZTNA は以下のように組織に導入できます。
- ゲートウェイ統合により、ネットワークの境界を越えようとするトラフィックはすべてゲートウェイによってフィルタリングされます。
- 各ネットワークアプライアンスに組み込まれたセキュリティスタックを使用してネットワークアクセスを最適化および自動化できる安全なソフトウェアデファインドWAN経由。
- 仮想クラウドアプライアンスを介してソフトウェア定義のWANセキュリティを提供するセキュアアクセスサービスエッジ(SASE)経由。
ZTNAはサイバーセキュリティのベストプラクティスとして認識されています。ZTNA の最大の利点は、導入時に既存のネットワークを大幅に再設計する必要がないことです。ただし、どのようなITの取り組みでも、人材やデバイスのオンボーディング、ポリシーの再定義、利害関係者の同意の確保が必要なため、意思決定者はZTNAソリューションプロバイダーと提携する前に、次のことを検討する必要があります。
- このソリューションは、マイクロペリメーターを使用してデータやアプリケーションを保護するのに役立ちますか?
- 転送中のデータを保護できますか?
- デフォルト拒否のセグメンテーションと、きめ細かなポリシー設計とテストが行われているか?
- 既存のインフラストラクチャに関係なく導入できますか?
- 違反アラートは提供されますか?
- どのような種類のワークロードセキュリティ規定がありますか?
- このソリューションには、ユーザーベースのセグメンテーション、リモートアクセス制御、ラテラルムーブメント防止機能が備わっていますか?
- デバイスレベルのセグメンテーション、不明なデバイスの検出、デバイスの検疫はありますか?
- 脅威が特定される前であっても、デフォルトの封じ込めは行われていますか?
- ユーザーはどのような可視性を持っていますか?また、どのような監査が可能ですか?
- どのようなインテグレーションが含まれていますか?次の点を考慮してください。
- シェフ、パペット、または Ansible によるオーケストレーション
- Red Hat OpenShift、Kubernetes、または Docker によるコンテナ・プラットフォーム・オーケストレーション
- Splunk と IBM QRadar によるセキュリティー分析
- Qualys、Tenable、Rapid7 などの脆弱性管理ツール
- AWS クラウドフォーメーション、AWS GuardDuty、Azure などのパブリッククラウドツール
- ネットワーク環境をどのくらいの速さでセグメント化できますか?
- ホストファイアウォール、スイッチ、ロードバランサーなどの既存の投資をどのように活用して、レガシーシステムとハイブリッドシステムにまたがるセグメンテーションを実施できますか?
- どのような種類の REST API 統合がサポートされていますか?確認すべき重要なツールには、OneOps、Chef、Puppet、Jenkins、Docker、OpenStack Heat/Murano などがあります。