.png)
ゼロトラスト戦略にZTSとZTNAの両方が必要な理由
平均して、データセンターまたはクラウドに入る 1 MB の North-South トラフィックごとに、ワークロード間の 20 MB の East-West トラフィック ワークロードが作成されます。
境界トラフィックと内部トラフィックの両方に対してゼロトラストセキュリティを構築していない場合、攻撃者が悪用する死角がネットワーク全体に残ります。このため、ネットワークの境界と内部の両方を保護することが重要です。
南北トラフィックと東西トラフィックの両方で一貫したゼロトラストセキュリティを構築するために、イルミオはAppgateと提携して、ゼロトラストセグメンテーション(ZTS)とゼロトラストネットワークアクセス(ZTNA)を提供しています。
最近のウェビナーでは、イルミオのシニアパートナーシステムエンジニアであるポール・スコフィールドが、DXC Technologyのセキュリティインフラストラクチャ製品担当シニアマネージャーであるマイルス・デイビス氏と、Appgateのグローバルソリューションエンジニアリング担当シニアバイスプレジデントであるジム・アンソニー氏と対談しました。彼らは、ゼロトラストネットワークアクセス(ZTNA)とゼロトラストセグメンテーション(ZTS)を使用したゼロトラストフレームワークの構築について話し合いました。彼らの重要な洞察は次のとおりです。
今すぐ ウェビナーの全文 をオンデマンドでご覧ください。
ZTNAは単なるVPN 2.0ではありません
Miles氏は、パンデミックの間、DXCチームは従来のVPNが時代遅れであることをすぐに知ったと語った。「リモートワークのために突然大規模に拡張されましたが、VPNだけでは十分ではありませんでした」と彼は振り返ります。
代わりに、DXCは ZTNAに目を向けました。「ZTNAはまったく異なるモデルであり、広範な権限ではなく、IDと必要性に基づく安全なアクセスに焦点を当てています」とMiles氏は説明しました。
従来のVPNは、ユーザーが中に入ると広範なアクセスを許可します。しかし、ZTNAは最小権限アクセスで動作し、ユーザーが必要な特定のリソースにのみアクセスできるようにします。
ZTNAは、ゼロトラスト環境でアクセスを管理するための堅牢でスケーラブルなソリューションです。
「ZTNAは単なるVPN 2.0ではありません」とMiles氏は説明します。「常に最小特権アクセスなどのゼロトラスト原則を完全に取り入れています。」
Miles氏は、ZTNAの際立った利点の1つは、組織がクロークされたインフラストラクチャと呼ぶものを採用できるようにすることだと指摘しました。これは、権限のないユーザーやシステムが機密資産にアクセスすることはおろか、機密資産を見ることさえできないことを意味します。
「見えないものを攻撃することはできません」とマイルズは付け加えた。同氏は、AppgateがZTNA技術としてシングルパケット認証(SPA)を使用していることを強調した。ジャストインタイムアクセスとジャスト十分なアクセス、ゼロトラストの2つの重要な原則を保証します。
ZTSは横方向の動きを止めるために重要です
ZTNAはネットワーク境界を保護し、アクセスを制限しますが、 ZTS は内部ネットワークを保護します。ZTSとZTNAを組み合わせて、多層的なゼロトラストセキュリティ体制を構築することが重要です。
イルミオのポール・スコフィールド氏は、 マイクロセグメンテーションとも呼ばれるZTSが、攻撃者が境界を突破した場合にアクセスを制限するために不可欠である理由を説明しました。ZTSは ラテラルムーブメント を停止するため、攻撃者はネットワークを介して拡散できません。
「従来のセグメンテーションでは、横方向の動きを止めるのは困難です」とポール氏は指摘します。「しかし、イルミオZTSによるマイクロセグメンテーションにより、誰がいつ誰と通信できるかを正確に定義できます。」
イルミオZTSプラットフォームは、ハイブリッドマルチクラウド全体にわたるワークロードとデバイス間のすべての通信とトラフィックを可視化します。これにより、組織はネットワーク全体で何が通信しているのか、 平易な英語のラベルを使用しているのかを正確に確認できます。この情報を使用して、セキュリティチームは侵害を含むきめ細かなマイクロセグメンテーションポリシーを構築できます。
「VLANやIPアドレスを覚えておく必要はありません」とポール氏は言います。「すべてを実際の言語で確認でき、必要なアプリケーションのみが相互に通信するようにしてください。」
「これはゲームチェンジャーです。イルミオを使用すると、実際に制御を適用する前に制御を計画および適用できるため、セグメンテーションエラーに関連するリスクが軽減されます」とマイルズ氏は述べています。
さらに、ポール氏は、ZTS は 欧州連合のデジタル運用レジリエンス法 (DORA) など、多くの規制要件に準拠していると指摘しました。DORA は、セグメンテーションの詳細な証拠を義務付けています。「イルミオのようなものを導入すると、セキュリティが強化されるだけでなく、自信を持ってコンプライアンス基準を満たすことができます」とポール氏は付け加えました。
ZTNAとZTSを組み合わせることで、完全なゼロトラスト防御が構築されます
ZTNA はネットワークへのアクセスを制御しますが、ZTS はネットワーク内で不正アクセスが制限されるようにします。これらを組み合わせることで、南北トラフィックと東西トラフィックの両方を管理する階層化された ゼロトラストセキュリティ戦略 を構築します。
「ZTNA は玄関ドアを制御し、ZTS は家の中の動きを制御すると考えてください」とジム氏は説明します。「攻撃者が侵入した場合、ZTS は攻撃者がすべてにアクセスできないようにします。AppgateとIllumio は、ゼロトラストの全範囲をカバーしています。」
マイルズ氏は、DXC自身のゼロトラストへの道のりは、複数のVPNプラットフォームを統合し、部門全体でZTNAの原則を徐々に採用することから始まったと付け加えました。「ZTNAとZTSは単なるアドオンではありません」と彼は言いました。「これらはゼロトラストの重要なレイヤーです。これらが組み合わさることで、完全なセキュリティの全体像が生まれます。」
ZTNA + ZTS:ゼロトラストの必需品
ゼロトラストへの道のりは一夜にして実現するものではありませんが、 ZTNAとZTSを組み合わせることで、組織はゼロトラストを構築し、避けられない侵害からネットワークを保護する上で大きな進歩を遂げることができます。
ゼロトラスト戦略を始めたばかりの場合でも、既存のゼロトラスト戦略を改良している場合でも、これらの業界リーダーの洞察は、ゼロトラストへの統合アプローチの重要性を強調しています。ポールが要約したように、「ゼロトラストは中途半端に行うことはできません。ZTNAとZTSを使用すると、レジリエンスのある適応性のあるセキュリティモデルをセットアップし、あらゆることに備えることができます。」
今すぐ 完全なオンデマンドウェビナー にアクセスしてください。ZTSとZTNAによるゼロトラストの構築の詳細については、今すぐお問い合わせください。
