ゼロトラストセキュリティ
Cloudflare® ZTNAVPNアクセスの課題
社内リソースからSaaS利用に至るまで、VPNやWANにより本社にリクエストが集中するため、業務トラフィックの効率化は望めません。2020年から続くパンデミックの影響で多くの従業員がリモートワークに移行したことにより、ゲートウェイ装置の通信容量はますます逼迫しています。
VPNゲートウェイ装置の配布の増加は、アタックサーフェスを拡大し、ランサムウェア等を目的とする世界中の攻撃者の標的となります。リモートアクセスユーザーの増加はマルウェア感染端末の純増に直結し、これらの端末が社内ネットワークに接続することでデータ侵害が拡大します。
ゼロトラストとは
Forrester Research, Inc.が提唱した理念で全てのトラフィックを信頼しないことを前提としてセキュリティ対策を行う今後主流となる情報インフラ管理アプローチのことです。
ゼロトラストセキュリティを実現するメソッド Zero Trust Network Access では、中央集権型の境界防御モデルと決別し、全てのトラフィックを信頼しないことを前提として、アプリケーション毎のセグメント化、ユーザー認証、ポリシー照合、アクセス毎のセッション管理を行います。
企業活動の前提の変化
| 従来型の境界防御セキュリティ | ゼロトラストセキュリティ | ||
|---|---|---|---|
| 従業員の働く場所 | 企業の物理拠点 | → | あらゆる場所 |
| 情報資産の保管場所 | 企業ネットワーク内 | → | あらゆる場所 |
| 企業ネットワークの安全性 | 確保できる前提 | → | 確保できない前提 |
アクセス制御
ユーザーには社内ネットワークには接続させずに、ユーザー認証と、デバイスの健全性評価などのポリシー判定を経て、ポリシーに合致したリソースへのアクセスを認可します。リソース毎のセグメンテーションの実現により、マルウェア感染ホストからの横方向移動によるネットワーク侵害が排除されます。
SaaS毎に分散発行しているID/パスワードもAzure ADなどのIDaaSに移管し一元化すれば、社内/社外問わずあらゆるリソースへのログイン処理と通信経路が統一されるため、アクセスログによる監査が容易になり、シャドーITが抑制されます。
ルート制御
100カ国200都市を超える分散エッジサーバー間の高速IPルーティングと世界最速のDNSリゾルバーにより、ユーザーがどこにいても、彼らのデバイスから目的リソースまでの通信をセキュアに高速に中継します。
100ミリ秒以内に99%のユーザーに応答するため、従来型VPNアクセスよりも圧倒的に優れたユーザー体験を提供できます。
全体トポロジー
従業員が業務アプリへ接続するためのブラウザベースの玄関口です。社内リソース・社外サービス問わず、一貫したロールベースのアクセス制御を施し、ユーザーが必要なリソースのみに接続できるようにします。
ユーザーにはCDNで高速配信されるアクセス用ページを使用させ、リモート接続を高速化し、VPNへの依存から脱却させます。
IDaaSとの連携によるユーザー認証を基本とし、EDRとの連携によるデバイス検証も。
マルウェア / 司令塔サーバーが攻撃を始める前にゲートウェイがこれらの挙動をブロックし、侵害を引き起こす前に感染したデバイスの通信を遮断します。
Windows, Mac, iOS, Android向けのエージェントを従業員のデバイスに導入すれば、場所を問わず通信を最寄りのゲートウェイに直接向けることができ、従業員は常にセキュリティの恩恵を得られ、情シスはアクセスポリシーを強制できます。
CASBによるSaaS利用時の統制も。
社内やデータセンター上のアプリケーションサーバーに対し、アクセス認証とルールを通過した端末のみが社内外からアクセスできるようにするために設置する、従業員専用の通路です。
社内サーバーと最寄りのゲートウェイをプライベートなトンネルで結ぶことで、認証・認可済みのユーザーのリクエストのみがサーバーに到達します。
アプリケーションサーバーはインターネット空間から隔離され、外部からの侵害は遮断されます。
ゼロトラスト実装の指標
米国国立標準技術研究所 ( NIST ) は「SP ( Special Publication ) 800-207 ゼロトラスト・アーキテクチャ」を2020年8月に正式公開しました。
ゼロトラストの理念を次の7点にまとめており、ZTNAを構築する上で明快な指標となります。ZTNAソリューションの導入は是非当社まで、ご相談ください。