Zscalerによるゼロトラストのためのソリューション
Gartner CARTAは、ユーザへの導入を支援することを目的としたフレームワークです。ゼロトラストを実践するための提案をいくつかご紹介します。
企業は、ネットワーク境界に基づくセキュリティについて考えることから離れ、代わりに多要素認証とマイクロセグメンテーションに基づくアーキテクチャを検討する必要があります。
ゼロトラストの大きなアイデアは、企業が誰も信頼していないかのように運営することでした。それは素晴らしいように聞こえますが、実際には、ある時点で信頼を確立する必要があります。そうしないと、ユーザが実際に作業を行うことができなくなります。
拡大するクラウドベースの世界では、信頼は境界に依存すべきではありません。これはグローバルなスケーラビリティに適したテクノロジであるため、ユーザが接続する場所に関係なく境界を形成する必要があります。
Zscalerは、アプリケーションアクセスとネットワークアクセスを完全に切り離すように設計しました。ユーザを必要なアプリケーションに直接接続する方が、企業ネットワークに配置するよりも安全です。これだけでも、企業の攻撃対象を大幅に減らすことができます。
ゼロトラストの堅牢で現実的な実装により、以下が可能になります。
- WannaCry、Bad Rabbit、NotPetyaなどの高度なランサムウェアに対する保護
- ネットワークにユーザを配置することなく、すべてのユーザ、アプリ、およびデバイスでシームレスかつ安全なエクスペリエンスを実現
- インターネットベースの攻撃からプライベートアプリを隠すことができるインサイドアウト接続許可ユーザ向けの特定のアプリケーションへのマイクロセグメント化されたアクセス
- 異常なアクティビティを監視するためのユーザアクティビティの可視性
- レガシーVPNインバウンドゲートウェイの排除、外部ロードバランサー、DDoS防止、ファイアウォール、VPNアプライアンスに関するコストと管理の削減
Zscaler Private Access(ZPA)サービスは信頼できるブローカーとして機能し、許可されたユーザのデバイスから、アクセスする特定のアプリケーションに直接マイクロトンネルを作成します。このブローカーは、ユーザとアプリケーション間をZscalerクラウド上で接続します。これにより、ネットワークアクセスなしで真のアプリケーションアクセスが提供されます。
このアプローチは、既存のインフラストラクチャに変更を加えることなく、ハイブリッドおよびマルチクラウド環境全体でセキュリティを標準化するのに役立ちます。 ZPAは完全にソフトウェアベースおよびクラウドベースであるため、実際に企業のクラウドサービスの採用を加速できます。
今後の展望
セキュリティは、ビジネスの成功、競争力の維持、生産性の向上を妨げるものではなく、常にビジネスをサポートするために機能しなければなりません。人々は職場、空港、ホテル、自宅で個人用デバイスを使用し、翌日は職場に戻ります。これらのデバイスは、クラウドでホストされているものだけでなく、当社が管理する環境内のアプリケーションにアクセスするために使用されます。すべてのネットワークを制御する必要がなくなったため、ユーザはどこからでも、どのようなデバイスからでもセキュリティで保護される必要があります。これが、Gartner CARTAの目標です。
Gartner CARTAモデルは、企業のBYODに関する課題解決に関しても説得力があります。 CARTAモデルは、アプライアンスによるセキュリティスタックに囲まれたデータセンタの周囲に壁で囲まれた境界の代わりに、企業にソフトウェア定義の境界を設置する事を推奨します。このモデルでは、ユーザはコンテキストに基づいてアクセスが許可され、定常的なアクセスはありません。コンテキストアクセスを使用すると、ユーザは、その時点で境界の内側か外側か、およびアクセスが許可されているものに基づいてアクセスが許可されます。最後にCARTAを使用すれば、監視は過去に発生したイベントだけでなく、リアルタイムで発生している事象も監視する事が可能です。
現在、私たちは以下を含む一連の基本的な方針に基づいて運営しています。
- ネットワークアクセスなしのアプリケーションアクセス
- アプリケーションをインターネットに公開せず、権限のないユーザがプライベートアプリを表示できないようにするためのインサイドアウト接続
- ネットワークセグメンテーションを必要としないアプリのセグメンテーションにより、水平方向の動きを抑制
- インターネット上の暗号化されたトンネルが新たな企業ネットワークになります
私たちが学んだこと
私たちの経験では、ゼロトラストの実現に取り組んでいる企業は、2つの現実を発見します。 1つは、ネットワークセキュリティアプライアンスは、従業員(およびパートナ)を常に企業のネットワークに接続させる必要があるため、本質的に過度に信頼している。この過剰なアクセス権限は、真のゼロトラストが約束するものと反対です。 2つ目は、ゼロトラストセキュリティが最終目標ではないことです。それは始まりに過ぎません。リスクを評価するためのコンテキストと継続的な監視の重要性は、見落とされがちな2つの追加の柱です。CARTAフレームワークを構成する3つの柱は、ゼロトラスト、コンテキストアクセス、および継続的な監視です。
これらの実現により、複数のエンタープライズセキュリティユースケースですでに成功を収めています。
- リモートアクセスVPNの代替としてZTNA / SDPテクノロジーを使用する
- この新しいモデルでサードパーティのアクセスを保護する
- マルチクラウド環境全体のプライベートアプリへのアクセスを簡素化する
- 合併と買収プロセスの加速
ゼロトラストのコンセプトに感謝します。あなたもCARTAをご検討ください。