下図に示すゼロトラスト セキュリティ アーキテクチャのトポロジ(ネットワークの接続形態)において、中央の緑色のアイコンはネットワークセグメンテーションゲートウェイと呼ばれるもので、ファイアウォールやIPS、コンテンツセキュリティを統合した機器、つまり次世代のファイアウォールを指します。
ネットワークセグメンテーションゲートウェイの周りに周りに“MCAP(Micro Core and Perimeter)”と呼ばれるセグメント化されたゾーンを作成し、MCAP内部では中央と同じセキュリティ機能とグローバルポリシーを持ちます。このような細かくセグメント化されたネットワーク(マイクロセグメンテーション)にして、コンプライアンス範囲や脆弱性対象範囲を狭めて、より強固なセキュリティを持つことが推奨されています。
ゼロトラストネットワーク アーキテクチャ
ゼロトラストモデルとファイアウォールの進化
ゼロトラストモデルのマイクロセグメンテーションを実現できる次世代のファイアウォールですが、その定義は2009年10月に米国のITアドバイザリ企業であるGartnerがリリースしたレポートに記載されています。当時のほとんどのファイアウォールベンダーは統合脅威管理(UTM)と呼ばれる、ネットワークの状態をチェックし動的にポートを開閉できる「ステートインスペクションファイアウォール」をベースにした製品を提供していました。
このレポートでは従来型ファイアウォールを第1世代のファイアウォールとし、これにより提供されるフィルタリング「ステートフル プロトコル フィルタリング」や限定的なアプリケーション検知では現在(当時)の脅威や新しい脅威に対応しきれない、と言っています。従来型ファイアウォールと異なるアプローチとなる次世代ファイアウォールについては「外部から内部だけでなく、内部から外部も含む双方向の攻撃を検知し、アプリケーション単位のセキュリティポリシーを実現できるもの」としています。両社の具体的な違いは以下の表になります。