ゼロトラストネットワークを実現する方法
ゼロトラストネットワークを実現する方法
from ゼロトラストネットワーク ―― 境界防御の限界を超えるためのセキュアなシステム設計
1. まずは範囲を選択する
一連の特性と優先順位
全てのネットワークフローは処理される前に認証されなければならない (MUST)
認証は、ゼロトラストネットワークの唯一無二の最重要コンポーネント (認証がなければネットワークを信頼するしかない)
全てのネットワークフローは送信される前に暗号化されるべき (SHOULD)
認証と暗号化は、ネットワーク内のエンドポイントで実行されなければならない (MUST)
システムがアクセス制御を実行できるように、ネットワークフローはすべて列挙されなければならない (MUST)
期待されるフローを定義する単純なプロセスがあれば十分
ネットワーク内では、最も強力な認証 / 暗号化スイートを使用すべき (SHOULD)
認証には、プライベート PKI を使用すべき (SHOULD)
パブリック PKI プロバイダは使用すべきではない (SHOULD NOT)
デバイスのスキャン、パッチ、ローテーションは定期的に実施すべき (SHOULD)
2. システム図の作成
3. ネットワークフロー (network flow) を理解する
4. コントロールプレーンがないアーキテクチャの実現
構成管理
すべてのアプリケーションで認証と認可を実施
SAML や OpenID Connect などによる一元化
ロードバランサとプロキシの認証
リレーショナルなポリシー
マクロ境界化 (microperimeterization)
nobuoka.icon この日本語訳はあってんのかな
ポリシーの分散
5. ポリシーの定義と導入
6. ゼロトラストプロキシ (zero trust proxy)
7. クライアントとサーバーの移行
クライアントとサーバー間の通信と、サーバー同士の通信のやり取りを実現する必要
通常はクライアントとサーバー間の通信から着手 (そっちの方が信頼できないネットワークでの通信)