ZTNAがセキュリティギャップをなくす理由と、ZTSがそれらを埋める方法

多くの ゼロトラストベンダー が信じてほしいのですが、ゼロトラストは単一の製品やテクノロジーではなく、IT環境全体の全体的な戦略です。

ゼロトラストは、その名前が示すように、デフォルトで企業のデジタルリソースへのアクセスを拒否し、IDとリソースタイプに基づいて必要に応じてのみ権限を付与するモデルです。

組織の重要なワークロードを保護するために、ゼロトラストに必須の3つの重要な要素は次のとおりです。

• アイデンティティガバナンス
• ゼロトラストセグメンテーション(ZTS)
• ゼロトラストネットワークアクセス(ZTNA)

ほとんどの組織はすでにアイデンティティガバナンスを採用していますが、 ゼロトラスト の後者の2つのコンポーネントは密接に連携しており、組織のインフラストラクチャを保護する上で大きな役割を果たしています。

ZTNAとは何ですか、そしてなぜそれが重要なのですか?

ZTNAは、組織の境界と南北のトラフィックを保護するために、過去数年間で広く採用されています。ZTNAは、ユーザーがIDと役割に基づいてユーザーを認証することで、ユーザーがクラウドまたはデータセンター内のアプリケーションにアクセスするためのシンプルかつ堅牢なメカニズムを提供します。

さらに、ユーザーにアクセスが許可されると、従来のVPNとは異なり、ユーザーはユーザーが必要とするアプリケーションにのみアクセスされ、企業ネットワーク自体へのアクセスは拒否されます。これにより、境界で公開されるネットワーク攻撃対象領域が減少します。

ZTNAが倒れる上位3つの分野

ZTNAには多くの利点があることが証明されていますが、ネットワークにとって確実なソリューションではありません。

実際には、侵害は依然として発生しています。

攻撃の複雑さが増すにつれて、組織の目標は内部の攻撃対象領域を減らし、侵害をできるだけ少ないリソースに封じ込めることであるべきである「侵害を想定する」考え方を採用することが差し迫っています。

ZTNAは、リモートユーザーからのアプリケーションへの外部アクセスを保護する上で優れた役割を果たしますが、ZTNAがメリットを提供できないシナリオは複数あります。そのため、多層防御アプローチが不可欠です。

ZTNAが保護を提供しない主な領域は3つあります。

• ラテラルムーブメント エンドポイント間: ZTNA ソリューションは、リモート ユーザーからアプリケーションへのリソース アクセスを提供します。ただし、ユーザーがオフィスにいる場合、さまざまなエンド ユーザー デバイスからのアクセスを防止または規制することはありません。企業環境内の感染したエンドポイントは、多くのエンドポイントやサーバー間を横方向に移動し、機密性の高いユーザーデータにアクセスすると同時に、大規模なランサムウェア攻撃を受けやすくなります。
• サーバー間のラテラルムーブメント:ZTNAには、データセンター内で発生する攻撃ベクトルから保護する機能がありません。その好例が、2020年の SolarWinds サプライチェーン攻撃で、攻撃者がSolarWindsが導入されたネットワークやシステムにアクセスしました。
• アイデンティティ・サービス・プロバイダーの障害:ZTNAソリューションは、アイデンティティ・サービス・プロバイダー(IDP)の環境でユーザーを認証することを信頼しています。攻撃者は、IDPを偽装し、MFAをバイパスすることで、これを悪用しています。攻撃者は一度侵入すると、自由に大混乱を引き起こし、データを盗み出し、組織の重要な資産に感染させることができます。

ZTNAが崩壊した場合、ZTSはどのように役立ちますか?

ZTS とZTNAは、ゼロトラストへの取り組みにおける基本的な構成要素です。組織が悪意のある攻撃者から保護するためにZTNAだけに頼ることはできないことは明らかです。

ZTSは、ZTNAによって広く開いたままになっている東西のトラフィックを保護することでギャップを埋め、ゼロトラストへの取り組みを継続するためにネットワークトラフィックを可視化します。

目に見えるものしか確保できないのは周知の事実です。ZTSは、East-Westトラフィックを保護するだけでなく、エンドポイント(リモートおよびオフィス)からデータセンターまたはクラウドのアプリケーションに至るまで、エンドツーエンドの可視性を提供します。組織は、他の ゼロトラストソリューションを実装する際に、この可視性を活用できます。

ZTS では、明示的に許可されない限りノードが相互に通信できないように、「侵害を想定する」アプローチが環境全体に適用されます。これにより、侵害が封じ込められ、ネットワーク全体に広がらないようにすることができます。

侵害防止の考え方から侵害封じ込めの考え方への移行は、2021年に発行されたホワイトハウスの大統領令14028によって検証されています。EOは、連邦政府機関およびすべての組織に対し、ゼロトラストセグメンテーション(マイクロセグメンテーションとも呼ばれる)を主要な柱の1つとして特に強調するゼロトラストセキュリティ戦略に移行するよう呼びかけています。

大統領令 14028 号のハイライトの詳細については 、こちらの記事をご覧ください。

ZTSは、ZTNAがもたらす3つの主要な欠点に対処します

他のエンドポイントとの通信が許可されているエンドポイントは、攻撃者にとって迅速に拡散するための贈り物です。したがって、企業ネットワークの内部または外部のエンドポイントは、ZTSを使用して保護する必要があります。ポートを開いたままにすると、エンドポイントは魅力的な攻撃ベクトルとなり、ネットワーク内でランサムウェアが伝播する主要な原因となります。エンドポイントが感染すると、攻撃者はデータセンター内の重要な資産に移動する可能性があります。

ZTSから得られる可視性により、アプリケーションサーバーにきめ細かなポリシーを適用できるセグメンテーションルールを簡単に作成し、特定のサーバーのみが特定のプロトコルを介して相互に通信できるようにします。たとえば、ポート 3306 (MySQL) で Web サーバーとデータベース サーバー間の通信を許可し、データベースが Web サーバーにアクセスするのを制限したい場合があります。

ZTS は、攻撃者が IDP の認証メカニズムをバイパスした場合に備えて、貴重なフェイルセーフであることが証明されています。攻撃者が入っても環境全体を横方向に移動できないため、攻撃の爆発半径が小さくなります。

サイバー攻撃の大部分は、ネットワークの発見とラテラルムーブメントに依存しています。ZTNA に加えて ZTS がなければ、組織はこれらの戦術が繰り返し悪用されるのに対して脆弱になります。

Illumio + Appgate: ZTS と ZTNA の両方を実装することでサイバー涅槃を達成

ZTSとZTNAは、最新のインフラストラクチャを保護する上で大きな役割を果たします。それらを組み合わせることで、ネットワークを再び素晴らしいものにし、サイバー涅槃を達成できます。

イルミオと Appgate は、組織が効果的かつ効率的なゼロトラストセキュリティ保護を実装できるよう支援する先頭に立っています。イルミオとAppgateは、Forrester Wave'Ñ¢: Zero Trust eXtended Ecosystem Platform Providersのリーダーとしてランク付けされました。

IllumioとAppgateを使用すると、ゼロトラストセキュリティを迅速に構築して、ハイブリッドコンピューティング環境全体の境界トラフィックと内部トラフィックの両方を保護できます。

イルミオ+アプリゲートの詳細については 、こちらの記事をご覧ください。また、ソリューションガイドで、IllumioとAppgateを使用してゼロトラストセキュリティを実装するための3ステップのベストプラクティスアプローチを入手してください。