IT および DevOps エンジニアにとっての新しい現実は、クラウド、モビリティ、そして俊敏性に対する需要の高まりによって定義されます。 この新しい状況では、従来の「境界ベース」のセキュリティ モデルは十分に古くなっており、VPN、ファイアウォール、ジャンプ サーバーなどのバイナリ アクセス ツールは扱いにくく、拡張性がないことが判明しています。
作業環境は、もはや固定された境界によって管理されていません。 ユーザーは自分のデバイスで作業し、企業の機密データはサードパーティのクラウド サービスに保存されます。 企業はもはや、善人を入れ入れ、悪人を締め出すことに重点を置いた二元的なセキュリティモデルに頼ることはできません。 現代の企業にとっての課題は、セキュリティを損なうことなく、セットアップとメンテナンスのコストを削減しながら、ユーザーに必要なアクセス権をいかに付与するかということです。
ゼロトラストセキュリティ は製品ではなく、プロセスです。 以下は、組織がゼロトラストセキュリティへの道のりで遵守すべき6つのベストプラクティスです。
多要素認証 (MFA) を使用してすべてのユーザーを検証する
ゼロトラストの根底にあるのは「決して信頼せず、常に検証する」という原則にあるとよく言われます。 しかし、適切に実装されれば、ゼロトラストは「決して信頼せず、常に検証し、再度検証する」という原則に根ざしていると言った方が正確でしょうか。
ユーザー名とパスワードでユーザーの身元を確認できる時代は終わりました。 現在、これらの資格情報は多要素認証 (MFA) を使用して強化する必要があります。 追加の認証要素は、次のうち 1 つ以上で構成されます。
ゼロトラスト アーキテクチャを実装する場合、ネットワークにアクセスするすべてのユーザー (特権ユーザー、エンドユーザー、顧客、パートナーなど) の ID を複数の要素を使用して検証する必要があります。 また、これらの要因は、アクセスされるデータ/リソースの機密性に応じて調整できます。
ユーザーの確認は必要ですが、それだけでは十分ではありません。 ゼロトラストの原則はエンドポイント デバイスにも適用されます。 デバイスの検証には、内部リソースへのアクセスに使用されるデバイスが会社のセキュリティ要件を満たしているかどうかの確認が含まれます。 ユーザーのオンボーディングとオフボーディングを簡単に行うことで、すべてのデバイスのステータスを追跡および強制できるソリューションを探してください。
最小特権の原則 (PoLP) によって、ゼロトラスト環境でアクセスできる内容が決まります。 これは、特定のユーザーには、特定のタスクを完了するのに十分な権限のみを付与する必要があるという考えに基づいています。
たとえば、レガシ コードの行の更新のみを扱うエンジニアは、財務レコードにアクセスする必要はありません。 PoLPは、セキュリティ侵害が発生した場合の潜在的な損害を封じ込めるのに役立ちます。
最小特権アクセスを拡張して、「ジャストインタイム」の特権アクセスを含めることもできます。 このタイプのアクセスでは、権限が必要な特定の時間のみに制限されます。 これには、有効期限が近づいている特権と 1 回限りの資格情報が含まれます。
認証と権限の割り当てとは別に、ネットワーク上のすべてのユーザー アクティビティを監視して確認する必要もあります。 これにより、不審なアクティビティをリアルタイムで特定できます。 可視性は、アクセス許可の範囲が非常に広く、アクセスできるデータの機密性が高いため、管理者権限を持つユーザーにとって特に重要です。
属性ベースの制御を使用して、クラウドおよびオンプレミスのアプリケーションから API、データ、インフラストラクチャに至るまで、セキュリティ スタック全体のリソースへのアクセスを承認します。 これにより、管理者はアクセスポリシーを簡単に調整して適用し、疑わしいイベントをリアルタイムでブロックできます。
完璧なものを善の敵にしないでください。 エンドユーザーが使いたがらない完璧なゼロトラスト戦略を実装することは、あまり良い戦略ではありません。 エンドユーザーはただ働きたいだけです。 チームにとって最もスムーズで SaaS のようなエクスペリエンスを生み出す戦略と製品を検討してください。