ゼロトラストの実装方法

ゼロトラストの仕組み

ゼロトラストの背後にある基本的な考え方は、そうでないことが証明されるまで、すべてのデバイスとユーザーは信頼できないという前提です。 ユーザーまたはエンティティが信頼できることが一度証明された後でも、ゼロトラスト モデルは、次回システムが認識したときに同じユーザーまたはデバイスをデフォルトで信頼しません。 ゼロトラストモデルにおける信頼は、決して当たり前のことではなく、リスクを制限するための観察と定期的な認証に基づいています。

ゼロ トラストの概念は、多くの場合、Software Defined Perimeter (SDP) と関連付けられます。SDP は、もともとクラウド セキュリティ アライアンス (CSA) の後援の下で開発が開始された取り組みです。

一般的なSDPモデルには、エージェントがさまざまなリソースに接続してアクセスするためのポリシーを定義するコントローラがあります。 Gartner Magic Quadrant コンポーネントは、トラフィックを適切なデータセンターまたはクラウド リソースに誘導するのに役立ちます。 デバイスとサービスは、コントローラーからリソースに接続してアクセスを要求する SDP エージェントを利用します。 その過程で、デバイスの健全性チェック、行動データを含むユーザー プロファイリング、および多要素認証メカニズムがセキュリティ体制を検証するために使用されます。

ゼロトラストモデルでは、エージェントまたはホスト接続のすべての段階で、リクエストが認証され、続行が承認されていることを検証するセキュリティ境界が必要です。 正しいユーザー名とパスワード、またはアクセストークンが提供された後に暗黙的な信頼に依存するのではなく、定義上ゼロトラストではすべてが信頼されず、アクセスを提供する前にチェックする必要があります。

ゼロトラスト展開の課題

ゼロトラストは、組織が攻撃対象領域を減らし、リスクを制限するのに役立つ優れたアイデアですが、複雑さと実装の課題がないわけではありません。

• デバイス要件

一部の SDP ゼロトラスト実装の主な課題は、それらがオンプレミスのデプロイメント アプローチに基づいており、デバイス証明書とポートベースのネットワーク アクセス コントロール (NAC) 用の 802.1x プロトコルのサポートが必要であることです。

• クラウドサポート

複数のパブリック クラウドとオンプレミスのデプロイメントにわたるエンドツーエンドの完全なサポートを有効にすることは、多くの場合、退屈で時間のかかる作業となる可能性があります。

• 信託

誤解があるように思えるかもしれませんが、データ暗号化の終了要件が存在する傾向があるため、組織はゼロトラスト ソリューションを信頼する必要があることがよくあります。

• 単なるセキュリティツールではない

通常、組織には VPN やファイアウォールなどのさまざまなセキュリティ ツールがすでに導入されています。 ゼロトラストソリューションプロバイダーが、その地雷原をどのように乗り越えることができるかは、多くの場合、重要な課題です。

• デプロイメントの課題

ゼロトラストソリューションが導入されているかどうかは、多くの場合、実際にセットアップするのがいかに簡単かにかかっています

ゼロトラスト デプロイメントの考慮事項

ゼロトラスト モデルは、既存のネットワークおよびアプリケーション トポロジ上のオーバーレイとして機能します。 そのため、分散ネットワークを管理できる機敏なデータ プレーンを備えることが重要な考慮事項となります。

デバイス証明書とバイナリをエンドユーザー システムにインストールするのにかかる労力は、時間とリソースの両方の需要を含むさまざまな課題によってさらに複雑になることがよくあります。 エージェントレスのソリューションを使用することは、ソリューションを持つことと、実際に運用環境に迅速に展開できるソリューションを持つこととの違いを生む可能性があるため、重要な考慮事項です。

ホストベースのセキュリティモデルを備えたゼロトラストツールを検討してください。 現代の世界では、多くのアプリケーションが Web 経由で配信されており、ホストベースのアプローチを採用することはそのモデルに合致しています。 ゼロトラストのホストベースのモデルでは、特定のエンドユーザーシステムが特定のリソースのアクセストークンを受け取ることが適切に承認されていることをシステムが検証しました。

ゼロトラスト モデルで暗号化がどのように機能するかを理解することも重要です。 1 つのオプションは、ゼロトラスト デプロイメント全体でエンドツーエンドで暗号化を強制することです。

クラウドにゼロトラストを導入する方法

基本的なSDP手法は、ゼロトラストモデルをオンプレミスにデプロイするために明確に定義されています。 クラウドとなると、さらに複雑になる可能性があります。 クラウド プロバイダーが異なればシステムも異なるため、あらゆるタイプのデプロイメントが複雑になる可能性があります。

マルチクラウド デプロイメントへの傾向が高まっていることが、複雑さをさらに悪化させています。 そのため、単一のパブリック クラウド プロバイダーでのデプロイメントの課題に加えて、複数のパブリック クラウド プロバイダーにわたって展開可能で強制可能なゼロトラスト モデルを持つという複雑さもあります。

マルチクラウド デプロイメント全体にゼロ トラストを展開する方法の 1 つは、オープンソースの Kubernetes コンテナ オーケストレーション プラットフォームを活用することです。 Kubernetes は、アマゾン ウェブ サービス (AWS)、Microsoft Azure、Google クラウド プラットフォーム (GCP) など、すべての主要なパブリック クラウド プロバイダーでサポートされています。 Kubernetes には、Docker コンテナ内で実行されるアプリケーションの分散ノードを管理するためのコントロール プレーンがあります。

アプリケーションをパッケージ化してデプロイしてゼロトラストを実現する方法として Docker コンテナーを使用することは、複雑さをさらに軽減するアプローチです。 システムごとに異なるアプリケーション バイナリを必要とするのではなく、Kubernetes ベースのシステムでクラウドネイティブのアプローチを使用することで、マルチクラウドの世界の根底にある複雑さを抽象化することができます。

また、すべてのパブリック クラウド プロバイダーが世界中に複数の地理的リージョンとゾーンを持っているため、クラウドは統一された構造ではありません。 さまざまなデプロイメントの目的は、エンドユーザーのできるだけ近くでリソースを確実に利用できるようにすることです。 ゼロトラスト モデルをクラウドに展開する場合は、ネットワーク遅延をできるだけ少なくするために、世界中に複数の拠点があるソリューションを必ず選択してください。

ゼロトラストのデプロイメントに努力の価値がある理由

ITリソースは常に制約されており、必要なすべてのことを行うために必要な予算を持っている組織はほとんどありません。 ゼロトラストでセキュリティのレイヤーを追加することは、IT部門の貴重なリソースにさらなる時間と要求を必要とする、さらに別の複雑さと見なされる場合があります。

しかし、ゼロトラストを適切に導入すれば、過重な負担を強いられるITスタッフの要求を軽減できる可能性があります。

非ゼロトラスト ベースのネットワーク環境では、多くの場合、ユーザー名とパスワードが、基本的なディレクトリ (Active Directory など) ベースの ID およびアクセス管理テクノロジと並んで、アクセスの主要なゲートキーパーとなります。 セキュリティを向上させるために、ファイアウォールと侵入防御システム (IPS)も一般的に導入されています。

しかし、これらのシステムのどれもが実際に行うことは、特定のアクセス要求の状態を継続的に検証することです。 何か問題が発生した場合、資格情報を紛失したり盗まれたりした場合、ITスタッフは根本原因を特定して修復するために追加の時間と労力を必要とします。

適切に構成および展開されたゼロトラスト環境では、すべてのアクセスが検証されます。 つまり、IT スタッフは資格情報が悪用されてシステムが侵害されたことを把握する必要がなく、ゼロトラスト ネットワークは常にゼロアクセスを前提として開始されます。 検証によってのみ、アクセスが許可されます。 ゼロトラストとは、攻撃対象領域の縮小を意味し、通常はリスクの軽減につながります。

また、IT部門がアカウントが侵害されていないか疑問に思ったり、何が起こったのかを把握するためにログを掘り下げたりする時間も短縮されます。 ゼロトラストでは、侵害されたマシンへのアクセスは決して許可されず、ネットワーク上での敵の潜在的な横方向の移動が制限されます。

ゼロトラスト展開チェックリスト

ゼロトラストソリューションの実装方法を検討する際には、以下の簡単な質問を念頭に置いてください。

• デプロイメントの容易さ:システムをどれくらい早く立ち上げて実行できるでしょうか? プロバイダーは、ソリューションに合わせて環境を変更することを強制しますか? (たとえば、ファイアウォールでポートを開くことによって)

• マルチクラウドのサポート:ゼロトラスト ソリューションは、複数のパブリック クラウド プロバイダーにわたるサポートを簡単に有効にしますか? 複数のクラウド上でワークロードを効果的に保護できますか?

• 暗号化:ゼロトラスト ソリューションは暗号化をどのように処理し、データを安全に保ちますか? 暗号化キーはどこに保管されていますか?また、独自のキーを持ち込むことはできますか?

• スケーラビリティ:ゼロトラスト アーキテクチャはどの程度拡張可能ですか? ワークロードの要求を満たしていますか?

• 安全： ソリューションプロバイダーはどのようなセキュリティ対策を実施していますか? 合理化されたセキュリティサイクルが維持されていますか? アプリケーションのアクセス レベルでDDoS 保護などの追加のセキュリティ層を提供できますか? それともサードパーティのメカニズムを使用する必要がありますか?

• 可視： このソリューションは、コンテンツ、DLP、悪意のある動作や異常な動作を内部でトラフィック検査できますか?
• サービスとサポート: ゼロトラストソリューションプロバイダーは、問題のトラブルシューティングを支援してくれますか?
• 価値： ソリューションは付加価値を提供しますか? ゼロトラストソリューションが、既存のセキュリティツールがすでに提供しているものを超える価値、機能、リスク軽減を提供する方法と場所を理解します。