ゼロトラストネットワーク
ゼロトラストネットワーク
https://www.amazon.co.jp/Zero-Trust-Networks-Building-Untrusted/dp/1491962194/
ゼロトラストとフェイルファースト
ゼロトラストをより細かく分解する
セキュリティ設計を行う場合、全ての「モノ」を信頼できない「モノ」としゼロトラストで1つ1つの「モノ」を”信頼可能な状態”になるよう管理できるようにします。しかし、”信頼可能な状態”とは”無条件で信頼可能な状態”にすることではありません。”無条件に信頼可能な状態”とは”完璧なセキュリティが維持されている状態”と言えます。セキュリティに完璧はありません。必ず何らかのリスクが残っている、と考えることが大切です。
ゼロトラストで安全、検証済みである、信頼できる、としたモノにも必ずと言って良いほど残存リスクがあります。つまり検証済み/信頼できるモノであっても、前提条件付きで信頼できるモノに過ぎません。
企業のITは何かを「信用」して成り立つが、システム的に信用を捨てる概念
ゼロトラストアーキテクチャには3大原則があります。
・人を信用しないインフラ
・ネットワークを信用しないインフラ
・デバイスを信用しないインフラ
この3つを全て包括したインフラこそが、ゼロトラストアーキテクチャを踏襲したインフラといえるとされています。性悪説で構成されたシステムであり、セキュアな環境が提供されるというのは、働く人にも管理者にとっても嬉しいことだらけです。
BeyondCorp
https://cloud.google.com/beyondcorp/
BeyondCorp は、Google での 6 年に及ぶゼロトラスト ネットワークの構築を基に、コミュニティから寄せられた最善のアイデアやベスト プラクティスを加味して設計された企業セキュリティ モデルです。
アクセス制御地点をネットワークの境界から個々のデバイスやユーザーに移すことで、従来のように VPN を介さなくても従業員がどこからでももっと安全に働けるようにします。
BeyondCorp の高レベル コンポーネント
シングル サインオン、アクセス プロキシ、アクセス制御エンジン、ユーザー インベントリ、デバイス インベントリ、セキュリティ ポリシー、トラスト リポジトリ
BeyondCorp の原理
接続元のネットワークによって、ユーザーがアクセスできるサービスが決定されることはありません。
サービスへのアクセス権限は、ユーザーとそのデバイスについてサービス提供側が知っている情報に基づいて付与されます。
サービスへのすべてのアクセスは認証、承認、暗号化される必要があります。
VPN を中心とした「ネットワーク境界の保護」からの脱却
「ユーザー」「デバイス」「ロケーション(IPアドレス含む)」といったコンテキスト(文脈)情報に基づくアクセス管理機能
Microsoft 365 を用いたゼロ トラスト ネットワークの実現
従来の境界ベースのネットワーク制御は時代遅れとなりつつあります。 境界ベースのネットワークには、ネットワーク内のすべてのシステムが信頼できるという前提があります。 しかし、今日ますますモバイル ワーカーが増える中、パブリック クラウドサービスへの移行や BYOD (Bring Your Own Device) モデルの採用もあり、境界セキュリティの制御は意味をなさなくなってきています。従来有効とされていた制御方法を依然として使い続けているネットワークは、侵入に脆弱となります。信頼される境界として定義していた中に含まれるエンドポイントのたった一つからでも攻撃者の侵入を許すと、攻撃者はその後あっという間にネットワーク全体を支配下においていきます。
ゼロ トラスト ネットワークは、境界で囲まれたネットワークは信頼できるという考え方を用いません。 代わりに、ゼロ トラスト アーキテクチャは組織内のデータとリソースへのアクセスにデバイスおよびユーザーのクレーム情報を活用します。
ゼロ トラストの考え方は、ネットワーク セキュリティの進化系です。 サイバー攻撃の現状を鑑みるに、組織は「侵入されることが前提」として考える必要があります。しかし侵入への対応だけではなく、ゼロトラスト ネットワークは企業のデータとリソースを保護しながら、従業員がいつでもどこでもどのような方法であっても生産的でいられるようモダンな職場環境を得られるようにします。
お客様がゼロ トラスト ネットワークを実現するにあたり、Azure Active Directory の条件付きアクセスが重要な構成要素となります。 条件付きアクセスと Azure Active Directory Identity Protection は、すべてのリソース要求に対して、ユーザー、デバイス、場所、およびセッションのリスクに基づき動的にアクセス制御を実施します。 これらにより、(1) Windows デバイスのセキュリティ状態に関する attested runtime signals (正常性を示す実行時の情報) と (2) ユーザー セッションと ID の信頼度を組み合わせることで、可能な限り強力なセキュリティ状態が得られるようにします。
新しいセキュリティアプローチ、CalicoとIstio、Kubernetesによるゼロトラストネットワークとは
Curtis氏は、これまでのモノリシックなアプリケーションを実行してきたデータセンターが、Kubernetesによってマイクロサービス化されてきたために、セキュリティに対する要件が変わってきたことを解説した。つまりアプリケーションの前にファイアウォールを置いて、外と中を隔離する方法では充分なセキュリティを確保できなくなったということだ。これは悪意のあるプロセスが一旦、中に入ってしまえば、ファイアウォールなどの前方を守る壁は役に立たないということを解説したものだ。
そして次の流れとしては、隔離するエリアを細かく分ける「マイクロセグメンテーション」に向かうと語った。これは守るべき領域を狭めて、プロセスが攻撃されないように守るという方法論だ。しかし「ではネットワークトラフィック自体がどこかでキャプチャーされたら? その時はもうなにもできない」と説明して、マイクロサービスの間を流れるネットワークトラフィックが暗号化されている必要がある点を強調した。その場合、エンドツーエンドで暗号化(mTLS=Mutual TLS)を行うことが必要となり、それを実現できるのがIstioであると説明。
「ゼロトラストネットワーク」と言う命名については、データセンターの中のネットワークですら常に危険に晒されている、つまり信頼できるものは何もない(ゼロトラストである)という発想で設計すべき、というのがCurtis氏の主張だ。「全てのデバイス、プロセス、ネットワークが暗号化され認証されることで、ハッカーからのアタックを避けることができる」と語った。
#セキュリティ