従来のネットワークの境界は消滅しました。組織のアプリケーションやデジタル資産へのアクセスは遠隔地から発生するため、それらのアクセスを制御することは重大な課題になります。ネットワークの境界を保護できた時代は遠い昔に終わりました。今こそ、新しいゼロトラスト セキュリティ戦略を採用する時期です。
企業のデジタル資産がインターネットの危険な経路を長距離移動しなければならない場合、リスクは非常に高く、何も信頼できず、誰も信頼できません。そのため、ゼロトラスト ネットワーク モデルを採用して、すべてのユーザーのすべてのネットワーク リソースへのアクセスを常に制限する必要があります。
ゼロトラスト ネットワークでは、以前に同じリソースにアクセスしたかどうかに関係なく、ユーザーまたはデバイスによるリソースへのアクセスの試みは制限されます。ユーザーまたはデバイスは、物理的に組織内にいる場合でも、リソースにアクセスするには常に認証および検証プロセスを通過する必要があります。セキュリティ ポリシーによってアプリケーションのパフォーマンスやユーザー エクスペリエンスが低下するのを避けるために、これらの認証と検証は高速である必要があります。
ゼロトラストとVPN
ゼロトラスト ネットワーク モデルは、従業員がデジタル資産にリモートでアクセスするために企業が従来使用していた VPN モデルを置き換えています。 VPN には、ゼロトラスト ネットワークで解決できる重大な欠陥があるため、置き換えられています。 VPN では、ユーザーを組織のネットワークに接続する暗号化チャネルで侵害が発生すると、潜在的な攻撃者にネットワークに接続されているすべての企業リソースへの無制限のアクセスが許可されます。
古いオンプレミス インフラストラクチャでは VPN はうまく機能しましたが、クラウドまたは混合インフラストラクチャ上のソリューションよりも多くのリスクが発生します。
ゼロトラスト ネットワークは、VPN のこの欠点を解決しますが、潜在的な欠点も追加します。すべてのユーザー、デバイス、リソースの承認を最新の状態に保つ必要があるため、実装とメンテナンスの点でさらに複雑になる可能性があります。これには追加の作業が必要になりますが、IT 部門はリソースの制御を強化し、その代わりに脆弱性を軽減できます。
幸いなことに、ネットワーク管理タスクを自動化および支援するツールのおかげで、追加のメンテナンスや導入作業を必要とせずにゼロトラスト ネットワークの利点を実現できます。以下で説明するツールは、最小限の労力とコストでゼロトラスト ポリシーを適用するのに役立ちます。
ノードレイヤー
NordLayer は、Security Service Edge フレームワークに基づいた適応型ネットワーク アクセス セキュリティ ソリューションを提供します。 Software as a Service (SaaS) ネットワーク セキュリティ ソリューションとして提供されるこのソリューションは、重要なゼロ トラスト原則を具体化し、安全なリモート アクセスを提供して組織のリスクを最小限に抑えます。
Secure Web Gateway を社内ネットワークへのポータルとして使用することで、暗黙的な信頼がすべてのインフラストラクチャから削除されます。ユーザーのエンドポイントから SWG へのリンクは AES 256 ビット暗号で暗号化され、ゲートウェイ自体はさまざまな脅威を防ぐセキュリティ ポリシーの設定を強制します。監視されていない接続が NordLayer の防御メカニズムをすり抜けることはありません。
SWG とユーザーのデバイス間のトラフィックは、NordLynx (Nord Security が開発した WireGuard の独自バージョン) のような最先端のトンネリング プロトコルによっても促進されます。一方、IKEv2 や OpenVPN (UDP および TCP) バージョンなどの他のオプションにより、デバイス間の互換性が向上します。そうすることで、ルーターやその他のハードウェア デバイスに NordLayer をセットアップできるようになります。
ユーザーの身元は、機密データや作業リソースにアクセスする前に数回チェックされることがあります。 NordLayer は、Azure AD、OneLogin、Okta、G Suite によるシングル サインオン (SSO) もサポートしており、現在使用しているツールとゼロ トラスト ネットワーク間の移行を容易にします。 NordLayer は、クラウド アクセス セキュリティ ブローカー機能を活用してネットワークの可視性を強化し、重要な組織リソースへのアクセス制御を強化します。
このソリューションでは、企業が現在使用しているツールを廃棄する必要もありません。NordLayer は既存のインフラストラクチャと組み合わせることができます。この製品はユーザー数に制限がないため、サブスクリプション価格を大幅に上げることなく拡張性が高くなります。これにより、ネットワーク参加者の明確な概要が提供されるため、ユーザーのセグメント化がより簡単かつ効果的になります。さらに、ライセンスはユーザー間で簡単に転送できるため、ペースの速い作業環境の変化に適応できます。
外周81
Perimeter 81 は、 クラウド環境とオンプレミス環境の両方で組織のアプリケーションとネットワークを管理し、安全に保つための 2 つのアプローチを提供します。 2 つの提案は、ゼロトラスト ネットワークをサービスとして提供することから始まります。これを実現するために、Perimeter 81 はソフトウェア定義の境界アーキテクチャを使用します。これにより、新しいユーザーのオンボーディングに優れた柔軟性が提供され、ネットワークの可視性が向上します。さらに、このサービスは主要なクラウド インフラストラクチャ プロバイダーと互換性があります。
ゼロ トラスト アプリケーション アクセスは、ほとんどのユーザーがアクセスする必要のない重要なアプリケーションやサービスがすべての企業に存在するという前提に基づいています。このサービスでは、特定のユーザーの役割、デバイス、場所、その他の識別子に基づいて障壁を設けることができます。
一方、 ゼロ トラスト ネットワーク アクセスは 、信頼ゾーンによる組織のネットワークのセグメント化を定義します。これにより、高い粒度レベルでデータ フローを制御する信頼制限を作成できます。信頼済みゾーンは、同じ信頼レベルで動作し、同様の機能を提供するリソースを備えたインフラストラクチャ要素のセットで構成されます。これにより、通信チャネルの数が減り、脅威の可能性が最小限に抑えられます。
Perimeter 81 のゼロ トラスト ネットワーク アクセス (ZTNA) サービスは、組織のネットワークの完全かつ一元化されたビューを提供し、各リソースに対して可能な限り最小限の特権アクセスを保証します。セキュリティとネットワーク管理が単一のプラットフォーム上で統合されているため、そのセキュリティ機能は Gartner の SASE モデルに対応しています。
Permiter 81 の 2 つのサービスは、幅広いオプションを備えた料金体系に含まれています。これらのオプションは、ネットワークの保護と管理に必要な要素を備えた基本プランから、無制限に拡張でき、24 時間 365 日の専用サポートを提供するエンタープライズ プランまで多岐にわたります。
最近、ペリメーター 81 が ZTNA リーダーに指名されました。
ZScaler プライベート アクセス
ZScaler Private Access (ZPA) は、 独自のデータ センターにあるかパブリック クラウドにあるかに関係なく、組織のプライベート アプリケーションへのアクセスを制御する、クラウド ベースのゼロトラスト ネットワーク サービスです。 ZPA を使用すると、アプリケーションは権限のないユーザーには完全に見えなくなります。
ZPA では、アプリケーションとユーザー間の接続はインサイドアウト戦略に従って実行されます。 (VPN を使用する場合のように) ユーザーを含めるようにネットワークを拡張するのではなく、ユーザーがネットワーク内に存在することはありません。このアプローチは、マルウェアの拡散と横方向の移動のリスクを回避することで、リスクを大幅に最小限に抑えます。さらに、ZPA の範囲は Web アプリケーションに限定されず、あらゆるプライベート アプリケーションに適用されます。
ZPA は、ネットワーク管理者がアプリケーションごとにネットワークをセグメント化できるマイクロ トンネル テクノロジーを使用しており、ネットワーク内に人為的なセグメント化を作成したり、ファイアウォール ポリシーやアクセス コントロール リスト (ACL) による制御を適用したりする必要がなくなります。マイクロ トンネルは、企業アプリケーションにアクセスする際のセキュリティを強化する TLS 暗号化とカスタム秘密キーを採用しています。
ZPA の API と ML (機械学習) の機能強化により、IT 部門はアプリを検出してアクセス ポリシーを作成し、さまざまなアプリのワークロードごとにセグメンテーションを自動的に生成することで、ゼロトラスト メカニズムを自動化できます。
Cloudflareへのアクセス
Cloudflareの ゼロトラストネットワークサービスは、世界中に分散されたアクセスポイントを備えた独自のネットワークによってサポートされています。これにより、IT 部門は組織のすべてのリソース (デバイス、ネットワーク、アプリケーション) への高速かつ安全なアクセスを提供できるようになります。
Cloudflareのサービスは、従来のネットワーク中心のセキュリティ境界を置き換え、代わりに分散ワークグループに最適な速度を保証する安全な近距離アクセスを使用します。
Cloudflareのゼロトラストアクセスは、組織内のアプリケーション全体を操作し、独自のグローバルネットワークを通じてユーザーを認証します。これにより、IT 管理者は各イベントとリソースへのアクセス試行を記録できるようになります。さらに、ユーザーの管理や追加ユーザーの追加も簡単になります。
Cloudflare Accessを使用すると、組織はアイデンティティ、保護プロバイダー、デバイスの状態、アプリケーションごとの場所要件、さらには既存のクラウドインフラストラクチャを維持できます。 ID 制御のために、Cloudflare は Azure AD、Okta、Ping、デバイス ポスチャ、Tanium、Crowdstrike、Carbon Black と統合されています。
Cloudflare は、主要なツールを提供し、最大 50 人のユーザーとアプリケーションを保護できるサービスの無料版を提供しています。多くのユーザーやアプリケーションに拡張するには、サービスの有料バージョンを選択する必要があります。これにより、24 時間 365 日の電話やチャット サポートなどの利点が追加されます。
ワンデラ
Wandera Private Access の ゼロトラスト ネットワーキング ソリューションは、組織のアプリケーションが SaaS で運用されているか、内部に展開されているかにかかわらず、組織のアプリケーションへの高速、シンプル、安全なリモート アクセスを提供します。このサービスはそのシンプルさが際立っており、インストール手順は数分で完了でき、特殊なハードウェア、証明書、サイジングは必要ありません。
Wandera Private Access は、管理対象デバイスまたは所有デバイス (BYOD) を使用して、異種プラットフォームで動作する分散作業チームに柔軟性を提供します。このソリューションは、リスクを認識したアクセス ポリシーにより、アプリケーション アクセスをリアルタイムで可視化し、シャドー IT を特定し、感染したデバイスや安全でないデバイスからのアクセスを自動的に制限します。
Wandera Private Access を使用すると、ID 中心のセキュリティ モデルを実装でき、承認されたユーザーのみが組織のアプリケーションに接続できるようになります。アプリケーションベースのマイクロ トンネルを使用すると、ユーザーは、アクセスが許可されているアプリケーションにのみ接続されます。セキュリティ ポリシーの適用は、クラウド、データセンター、SaaS アプリケーションなど、すべてのインフラストラクチャにわたって一貫性を保ちます。
Wandera の保護システムは、MI:RIAM と呼ばれるインテリジェントな脅威検出エンジンを搭載しています。このエンジンには、4 億 2,500 万個のモバイル センサーから提供される情報が毎日入力され、最も広範な既知の脅威やゼロデイ脅威に対する保護が保証されます。
オクタ
Okta は、 アプリケーション、サーバー、API 保護を含む幅広いサービスを網羅するゼロトラスト セキュリティ モデルを提供します。オンプレミスおよびクラウド アプリケーションへの統合された安全なユーザー アクセス。適応型のコンテキストベースの多要素認証と自動オフボーディングにより、孤立したアカウントのリスクを軽減します。
Okta のユニバーサル ディレクトリ サービスは、組織内のすべてのユーザーを単一の統合ビューで表示します。ユーザー グループと AD および LDAP の統合、および人事システム、SaaS アプリケーション、サードパーティの ID プロバイダーとの接続により、Okta Universal Directory は、従業員、パートナー、請負業者、顧客など、あらゆる種類のユーザーを統合します。
API は新しい形式のシャドウ IT とみなされているため、Okta は API 保護サービスで際立っています。 Okta の API アクセス管理は、XML ベースのポリシーの設計と適用にかかる時間を数分に短縮し、新しい API のオンボーディングと API 使用のためのパートナーとの統合を容易にします。 Okta のポリシー エンジンを使用すると、API セキュリティのベスト プラクティスを実装し、OAuth などの ID フレームワークと簡単に統合できます。 API 認可ポリシーは、アプリケーション、ユーザー コンテキスト、およびグループ メンバーシップに基づいて作成され、適切なユーザーのみが各 API にアクセスできるようにします。
Okta の統合ネットワークはベンダー ロックインを回避し、組織にクラウドおよびオンプレミス システムとの 7,000 以上の事前構築済み統合から自由に選択できるようにします。
クラウドストライク ファルコン
CrowdStrike Falcon Identity Protection ゼロトラスト セキュリティ ソリューションは、アイデンティティの侵害によるセキュリティ侵害を迅速に阻止し、ゼロトラスト ポリシーを使用して組織内のすべてのユーザー、場所、およびアプリケーションのアイデンティティを保護します。
Falcon Identity Protection は、エンジニアリング リソース要件を削減し、冗長なセキュリティ プロセスを排除することで、コストとリスクを削減し、使用中のツールの ROI を高めることを目的としています。
すべての ID を統合制御することで、条件付きアクセスと適応認証戦略の実装が容易になるだけでなく、従来のシステムであっても、より優れたユーザー エクスペリエンスと多要素認証 (MFA) の適用範囲の拡大が保証されます。
CrowdStrike リモート アクセス ソリューションは、すべてのアカウントとエンドポイントの認証アクティビティを完全に可視化し、位置データ、送信元/宛先、ログインの種類 (人間またはサービス アカウント) などを提供します。さらに、廃止された特権アカウント、誤って割り当てられたサービス アカウント、異常な動作、横移動攻撃による資格情報の侵害などの内部関係者の脅威からネットワークを保護します。
既存のセキュリティ ソリューションと統合することで、Falcon Identity Protection の導入は最小限の時間でスムーズに実行されます。 CyberArk や Axonius などの重要な資産のセキュリティ ソリューションとの直接統合を提供することに加え、CrowdStrike は企業が事実上あらゆるシステムと統合できる高性能 API を提供します。
結論
新しい常態は今後も続くようで、IT 管理者はそれに慣れる必要があります。リモートワークは今後も日常的な現実となり、組織ネットワークに明確な境界線がなくなることはもうありません。
これに関連して、組織の最も貴重なデジタル資産を危険にさらしたくない場合、IT 管理者はできるだけ早くゼロトラスト ネットワークおよびアプリケーション ソリューションを導入する必要があります。
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
