ゼロトラストにおいてトラフィックの信頼と信用を確立する
ゼロトラストネットワークにおいてトラフィックの信頼と信用を確立する
from ゼロトラストネットワーク ―― 境界防御の限界を超えるためのセキュアなシステム設計
暗号化と認証
メッセージの真正性はゼロトラストネットワークの前提条件 (= 認証は必須)
暗号化も、機密性のことを考えると必要だし、強力な認証を提供するネットワークプロトコルにはだいたい暗号化がついてくる
ファーストパケット問題 (first packet problem) : 事前認証 (pre-authentication) で解決
SPA (Single Packet Authorization)
ネットワークモデル
ネットワークセキュリティスイートとして優勢なのは TLS (Transport Layer Security) と IPSec (Internet Protocol Security)
TLS は TCP/IP のアプリケーション層 (OSI 参照モデルのレイヤ 5、6 あたり)
IPSec は TCP/IP のインターネット層の一部
ゼロトラストの目標は全てのトラフィックに対するセキュアな通信なので、デフォルトでセキュアな通信をしたい
より低レイヤの IPSec がうってつけ、だが、IPSec には扱いにくいという問題がある
現実的には
クライアントとサーバー間の通信では mTLS が合理的
ネットワーク上サポートされていなかったり、クライアントが追いついていない可能性もあるため
サーバー間では IPSec
デバイス間のトランスポートセキュリティに IPSec はうってつけ
TLS ハンドシェイクの基本原理
現在の公開鍵暗号方式のセキュリティは、量子コンピュータにより破られうる
因数分解を解く既存の GNFS (General Number Field Sieve) というアルゴリズムは効率が悪いが、ショアのアルゴリズム (Shor's algorithm) という量子アルゴリズムは効率が良い
ゼロトラストネットワークでは、暗号化の責務をアプリケーションから切り離すのがベストプラクティス
ゼロデイの緩和、パフォーマンスの低下、監査といった種々の問題とも相性が良い
IPSec ではもともとそのような設計になっている
TLS の利用では、アプリケーションに TLS ライブラリを組み込むことが多い → TLS デーモンの利用が推奨される
フィルタリング