ゼロトラストセキュリティ

ZTNAの導入によるネットワークとセキュリティの変革

リモートアクセスVPNの課題とは

社内リソースからSaaS利用に至るまで、VPNやWANにより本社にリクエストが集中するため、業務トラフィックの効率化は望めません。2020年から続くパンデミックの影響で多くの従業員がリモートワークに移行したことにより、ゲートウェイ装置の通信容量はますます逼迫しています。

VPNゲートウェイ装置の配布の増加は、アタックサーフェスを拡大し、ランサムウェア等を目的とする世界中の攻撃者の標的となります。リモートアクセスユーザーの増加はマルウェア感染端末の純増に直結し、これらの端末が社内ネットワークに接続することでデータ侵害が拡大します。

ゼロトラストとは

Forrester Research, Inc.が提唱した理念で「全てのトラフィックを信頼しないこと ( Zero Trust ) を前提としてセキュリティ対策を行う」今後主流となる情報インフラ管理アプローチのことです。

ゼロトラストセキュリティを実現するメソッド ZTNA : Zero Trust Network Access では、中央集権型の境界防御モデルと決別し、全てのトラフィックを信頼しないことを前提として、アプリケーション毎のセグメント化、ユーザー認証、ポリシー照合、アクセス毎のセッション管理を行います。

従来の前提=境界防御依存 ゼロトラストの前提
情報資産の保管場所 企業ネットワーク内 あらゆる場所
従業員の働く場所 企業の物理拠点 あらゆる場所
企業ネットワークの安全性 確保できる前提 確保できない前提

Gartnerは SASE : Secure Access Service Edge, Cloud Security Allianceは SDP : Software Defined Perimeter という名称で同様の理念を提唱しております

アクセス制御

ユーザーには社内ネットワークには接続させずに、ユーザー認証と、デバイスの健全性評価などのポリシー判定を経て、ポリシーに合致したリソースへのアクセスを認可します。リソース毎のセグメンテーションの実現により、マルウェア感染ホストからの横方向移動によるネットワーク侵害が排除されます。

SaaS毎に分散発行しているID/パスワードもAzure ADなどのIDaaSに移管し一元化すれば、社内/社外問わずあらゆるリソースへのログイン処理と通信経路が統一されるため、アクセスログによる監査が容易になり、シャドーITが抑制されます。

トラフィック制御

100カ国200都市を超える分散エッジサーバー間の高速IPルーティングと世界最速のDNSリゾルバーにより、ユーザーがどこにいても、彼らのデバイスから目的リソースまでの通信をセキュアに高速に中継します。

100ミリ秒以内に99%のユーザーに応答するため、従来型VPNアクセスよりも圧倒的に優れたユーザー体験を提供できます。

アーキテクチャの俯瞰
アクセス

Cloudflare Access

従業員が業務アプリケーションへアクセスするためのブラウザベースの玄関口です。社内リソース・社外サービス問わず、一貫したロールベースのアクセス制御を施し、ユーザーが必要なリソースのみにアクセスできるようにします。

IDaaSとの連携によるユーザー認証

所属や接続元IPアドレスをチェック

EDRとの連携によるデバイス検証

CASBによるSaaS利用時の統制

CDNで配信されるアクセス用UIを使用して、リモートアクセスを高速化し、VPNへの依存を減らします。

ゲートウェイ

Cloudflare Gateway

マルウェア / C&Cサーバーが攻撃を始める前にセキュアWebゲートウェイがこれらの挙動をブロックし、侵害を引き起こす前に感染したデバイスからの通信を遮断します。

DNSフィルターをはじめとするポリシービルダーは、アクセス用の管理GUIに統合され提供されます。

Windows / Mac / iOS / Android向けのエージェントを従業員のデバイスに導入すれば、必要に応じてカフェの無料Wi-Fiからでも通信を直接エッジサーバーに向けることができ、ゲートウェイセキュリティの恩恵を受けることができます。

トンネル

Cloudflare Tunnel

社内アプリケーションサーバーに対し、従業員のみが外から入れるようにするために設置する、従業員専用の通路です。

社内サーバーと最寄りのエッジサーバーをプライベートなトンネルで結ぶことで、認可されたユーザーのリクエストのみがサーバーに到達します。社内サーバーをインターネット空間から隔離できるため、DDoS攻撃やブルートフォース攻撃を始めとするデータ侵害への防衛対策が根本的に不要となります。

アクセスと組み合わせることで、ユーザーはVPNなしで社内アプリケーションの利用を開始できます。

ゼロトラストの指標を網羅

米国国立標準技術研究所 ( NIST ) は「SP (Special Publication) 800-207 ゼロトラスト・アーキテクチャ」を2020年8月に正式公開しました。

ゼロトラストの理念を次の7点にまとめており、ZTNAを構築する上で明快な指標となります。

全てのデータソースとコンピューティングサービスはリソースとみなす
ネットワークの場所に関係なく、全ての通信を保護する
企業リソースへのアクセスは、セッション単位で付与する
リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する
企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する
全てのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する

最初の50席は常に無料です

ゼロトラストセキュリティの基本機能を一つの組織につき50ユーザーまで無料でご利用いただけます。お客様のレガシーなネットワークとセキュリティをゼロトラストネットワークアクセスに置き換えるためのお手伝いをします。