ゼロトラストとセグメンテーションが一部の組織に失敗している理由

アプリケーションは、現代の企業の中心にあります。革新的な顧客体験の創造を推進し、従業員の生産性をサポートします。しかし、アプリ間のトラフィックが増加し、環境がより分散化するにつれて、可視性、制御、セキュリティは低下しています。これが、セグメンテーションベースのゼロトラストアプローチが作られた新しい現実です。しかし、すべてのセグメンテーションが同じように作成されるわけではありません。

アナリストのエンタープライズ・ストラテジー・グループ(ESG)の新しいレポートは、 企業のITセキュリティリーダーに重要な教訓を提供します。結論は次のとおりです。これらのツールはワークロード レベルに焦点を当てる必要があり、従来のネットワークベースのセグメンテーションの制限を回避するために、セグメンテーションをネットワーク インフラストラクチャから切り離す必要もあります。

なぜゼロトラストなのか?

マーク・アンドリーセンの有名な論説が「ソフトウェアが世界を食い荒らしている」と主張してから10年が経ちました。今日、多数のクラウドベースのアプリケーションが一般的な組織を強化し、従業員のコラボレーション、顧客ロイヤルティ、利益を促進しています。ESGによると、現在、88%の組織が少なくとも100のビジネスアプリをサポートしています。しかし、クラウドプラットフォームは、これらの企業が独自のソフトウェアを開発するのに役立っていますが、複雑さと潜在的なサイバーリスクももたらしました。

従来のセキュリティツールは、南北のトラフィック、つまり境界での保護に重点を置いていました。一方、アプリケーション間、つまり東西のトラフィック量が急増し、保護に危険なギャップが生じています。ここでゼロトラストの出番です。

ゼロトラストは基本的に「決して信頼せず、常に検証する」という原則に基づいています。ネットワーク侵害がすでに発生していること、ユーザー、リソース、デバイスを盲目的に信頼してはならないという、2つの基本的で基本的な仮定があります。代わりに、継続的に認証され、 最小特権の原則によってリソースへのアクセスが制限される必要があります。ゼロトラストが意図したとおりに機能すると、今日のアプリ中心とクラウド中心の時代に適した、非常に効果的で適応性のあるサイバーセキュリティの基盤が提供されます。

しかし、 ESGの調査でも明らかになっているように、多くのITおよびセキュリティリーダーは、ゼロトラストは組織と技術の両方の観点から導入するのに費用がかかり、複雑であると誤解しています。これらの否定的な認識の多くは、市場の混乱とベンダーのあいまいなメッセージに起因していますが、真実の核が含まれています。ESGの世論調査によると、過去にゼロトラストプロジェクトを一時停止または放棄しなければならなかった人の半数が、原因として「組織の問題」を挙げていることが明らかになりました。

真のセグメンテーションへの道

ESGがさらに説明しているように、セグメンテーションはゼロトラストプロジェクトの「基礎要素」でなければなりません。これは、ゼロトラストが本質的にネットワーク上のエンティティを分離し、ポリシーが許可している場合にのみ他のエンティティと通信できるようにすることだからです。

問題は、すべてのセグメンテーションアプローチが今日の組織に必要な属性を提供しているわけではないことです。たとえば、アクセス制御リスト(ACL)やVLANなどの静的メソッドには、通常、クラウドベースの環境に必要なスケーラビリティが欠けています。ネットワークデバイス上に存在する何千ものACLルールをプログラムおよび管理するためのユーザーフレンドリーな方法を提供しません。また、ネットワークの再設計が必要になる場合もあり、これは潜在的に大きな作業です。

ESGによると、肝心なのは、組織はネットワークからセグメンテーションを抽象化し、ワークロードレベルに焦点を当てたソリューションを選択する必要があるということです。なぜでしょうか。そうすることで、これらのレガシーな課題を克服し、セグメンテーションが保護する環境と同じくらい動的でスケーラブルであることを保証できるからです。

ESGレポートの全文は こちらで読むことができます。

この2部構成のシリーズの第2部では、組織がセグメンテーションプロバイダーに要求している5つの主要な属性と、イルミオの製品がどのように積み重なるかを見ていきます。