従来のネットワーク境界がもはや存在しない世界では、VPNは時代遅れを示しています。
仮想プライベートネットワーク(VPN) は20年以上前から存在しており、通信とデータに安全で暗号化されたトンネルを提供しています。 SSL VPNやIPSecなど、VPNには複数の種類がありますが、基本的な考え方は実装に関係なく同じです。 VPNでは、アクセスが暗号化されるため、データが安全であることを保証することを目的とした安全なIPトランスポートトンネルが作成されます。
ソフトウェア・デファインド・ペリメーター(SDP)の概念はやや新しく、2013年にクラウドセキュリティ・アライアンス(CSA)の最初の方向性のもとに登場しました。SDPモデルでは、トランスポート層セキュリティ(TLS)を使用しているため、暗号化されたトンネルが安全であると信頼するだけでなく、信頼を前提としないため、SDPに関連して多くのベンダーが「ゼロトラスト」という用語を使用しています。
一般的なSDPアーキテクチャでは、信頼性を証明し、リスクを制限するために、すべての接続が検証および検査される複数のポイントがあります。 通常、SDP モデルには、クライアントがさまざまなリソースに接続してアクセスするためのポリシーを定義するコントローラーがあります。 Gartner Magic Quadrant コンポーネントは、トラフィックを適切なデータセンターまたはクラウド リソースに誘導するのに役立ちます。 最後に、デバイスとサービスは、コントローラーからリソースへの接続とアクセスを要求する SDP クライアントを利用します。 一部の SDP 実装はエージェントレスです。
VPNが最初に構築および展開された基本的な前提は、IDS/IPSやファイアウォールなどの境界セキュリティデバイスによって表面上保護されたエンタープライズ境界が存在することです。 VPNを使用すると、リモートユーザーやビジネスパートナーは境界をトンネリングして企業内のものにアクセスでき、リモートでもローカルアクセス権限を提供できます。
現代のIT企業の現実は、境界がもはや存在せず、スタッフ、請負業者、パートナーがキャンパス内の場所、リモート、クラウド、そして世界中で働いているということです。 それこそが、SDPが誕生し、解決しようとしている世界です。
VPNは今日でも広く使用されており、特定のタイプの リモートアクセス やモバイルワーカーのニーズに有用ですが、ある程度の暗黙的または付与された信頼が必要です。 企業ネットワークは、適切な VPN クレデンシャルを持つユーザーがそれらのクレデンシャルを持ち、アクセスを許可されていることを信頼します。 さて、そのVPNユーザーがたまたま悪意のあるユーザーであることが判明した場合、またはローカルネットワークにアクセスできる権限のない人物によって資格情報が盗まれた場合、それは一種の問題であり、VPNの設計上、実際にはそれほどうまく解決できない問題です。
SDPまたは ゼロトラスト モデルは、最新の境界のない企業内で使用して、リモート、モバイル、クラウドのユーザーとワークロードを保護するのに役立ちます。 SDPは、安全なトンネルを持つだけでなく、検証と承認も重要です。 トンネルが安全であることを信頼するだけでなく、ポスチャを検証するためのチェック、アクセスを許可する堅牢なポリシー、アクセスを制限するセグメンテーションポリシー、および複数の制御ポイントがあります。
あらゆる規模の組織によるゼロトラストセキュリティテクノロジーの採用が進んでいることは、進化するトレンドです。 組織がリスクを軽減し、潜在的な攻撃対象領域を最小限に抑えることを目指す場合、多くの場合、より多くの制御ポイントを持つことが重要な目標になります。 また、セキュリティの専門家は、通常、組織が特権ユーザーの数を最小限に抑え、最小特権の原則に基づいてアクセスを許可することを推奨しています。 システム管理者は、VPNユーザーに単に完全なローカルアクセスを与えるのではなく、ゼロトラストモデルの中核的な属性であるポリシーとデバイス認証に基づいてアクセスを制限する必要があります。
適切に設計されたゼロトラストソリューションは、物理アプライアンスやクライアント側のエージェントを必要とせずに、オーバーヘッドが少ないという潜在的なメリットも提供できます。
ビジネスユーザーにとって、VPNはリモートアクセスの馴染みのある概念であり、近い将来に変わる可能性は低いです。 企業内のローカルファイル共有へのアクセスや、企業のプリンターへのアクセスのような簡単なものでも、VPNは今後2〜3年間は合理的な選択肢であり続けるでしょう。 しかし、SDPに移行する企業が増えれば、プリンタからの簡単なアクセスもカバーされるようになるでしょう。
企業内では、境界のない企業における内部の脅威は外部の脅威と同じくらいありやすく、ゼロトラストモデルはインサイダーリスクを制限するための有用なモデルです。
開発者やDevOps関係者にとって、ゼロトラストは、アクセスを許可し、オンプレミス、クラウド、リモートのリソースへのアクセスを提供するための、よりエレガントで制御されたアプローチです。 開発は分散されており、単にネットワークにトンネリングするだけでは、ゼロトラストが可能になるほど強力ではありません。
VPNは、かつて約束されていたアクセスを保護するための万能ソリューションではなくなりました。
現代のインターネットの現実は、脅威はどこからでもやってくるということであり、あらゆるデバイスや侵害されたユーザー資格情報がネットワークを侵害するためのピボットポイントとして使用される可能性があります。 ゼロトラストのアプローチは、単に暗号化と認証情報に頼るだけでなく、リスクを最小限に抑え、セキュリティを向上させることができます。 SDPは、単にハード・ペリメーターという虚構がまだ存在するかのように装うだけにとどまらない。