ZTNA(ゼロトラストネットワークアクセス)

ゼロトラストネットワークアクセス(ZTNA)の仕組み

ZTNAモデルでは、ユーザーがZTNAサービスによって認証された場合にのみ、アクセスが承認され、安全で暗号化されたトンネルを介してアプリケーションまたはネットワークアクセスが提供されます。このサービスは、ユーザーがアクセス許可を持たないアプリケーションやデータを閲覧できないようにすることで、攻撃者によるラテラルムーブメントを先取りします。この種の移動は、侵害されたエンドポイントまたは承認された資格情報が、権限のないデバイスまたはエージェントによって他のサービスやアプリケーションにピボットする可能性がある場合に可能になるものです。

ZTNA では、保護されたアプリケーションも検出から隠され、それらへのアクセスは ZTNA サービス (トラスト ブローカーとも呼ばれます) を介して、事前に承認された一連のエンティティに制限されます。トラストブローカーは、次の条件が満たされている場合にのみエンティティへのアクセスを許可します。

• エンティティ (ユーザー、デバイス、またはネットワーク) は、ブローカーに適切な資格情報を提供します。
• アクセスが要求されるコンテキストは有効です。
• その特定のコンテキスト内でのアクセスに適用されるすべてのポリシーが遵守されています。

ZTNA では、アクセス ポリシーはカスタマイズ可能で、システムのニーズに基づいて変更できます。たとえば、上記の要件に加えて、脆弱なデバイスや未承認のデバイスが保護されたネットワークに接続できないようにする場所またはデバイスベースのアクセス制御を実装できます。

ゼロトラストネットワークアクセス(ZTNA)の利点

まず、ZTNAフレームワークではアプリケーションアクセスがネットワークアクセスから分離されているため、感染や侵害されたデバイスによるアクセスに対するネットワークの露出が減少します。

次に、ZTNA モデルはアウトバウンド接続のみを行います。これにより、ネットワークおよびアプリケーションインフラストラクチャが、権限のないユーザーや未承認のユーザーに見えないようにすることができます。

第三に、ユーザーが承認されると、アプリケーションアクセスは1対1でプロビジョニングされます。ユーザーは、完全なネットワーク アクセスを享受する代わりに、明示的にアクセスを許可されたアプリケーションにのみアクセスできます。

最後に、ZTNAはソフトウェア定義であるため、デバイスとアプリケーションの管理オーバーヘッドを大幅に削減できます。

ゼロトラストネットワークアクセス(ZTNA)のユースケース

ここでは、ZTNAセキュリティモデルのパワーを示す一般的なユースケースをいくつか紹介します。

VPN の置き換え

VPN は速度が遅く、比較的安全ではなく、管理が難しい場合があります。ZTNAは、中央ネットワークへのリモートアクセスをプロビジョニングするためにVPNに取って代わる、急速に好ましいセキュリティモデルになりつつあります。

サードパーティおよびベンダーのリスクの軽減

サードパーティや外部ベンダーとの間のアクセス許可とデータ転送は、IT インフラストラクチャに固有のセキュリティ ギャップです。ZTNAを使用すると、外部ユーザーが許可されていない限り、安全なネットワークにアクセスできないようにし、アクセス権があっても、アクセスが承認されている特定のアプリケーションまたはデータベースにのみアクセスできるようにすることで、これらのリスクを軽減できます。

ゼロトラストネットワークアクセス(ZTNA)の導入

ZTNA は、次のように組織にデプロイできます。

• ゲートウェイ統合経由で、ネットワーク境界を越えようとするトラフィックは、ゲートウェイによってフィルタリングされます。
• 各ネットワークアプライアンスに組み込まれたセキュリティスタックを使用してネットワークアクセスを最適化および自動化できる安全なソフトウェア定義WANを介して。
• 仮想クラウドアプライアンスを介してソフトウェア定義のWANセキュリティを提供するSecure Access Service Edge(SASE)経由。

ZTNAは、サイバーセキュリティのベストプラクティスとして認められています。ZTNA の最も優れた点は、導入するために既存のネットワークを大幅に再設計する必要がないことです。ただし、ITの取り組みには、人やデバイスのオンボーディング、ポリシーの再定義、利害関係者の賛同の確保が必要なため、意思決定者はZTNAソリューションプロバイダーと提携する前に、次の点を考慮する必要があります。

• このソリューションは、マイクロペリメーターでデータやアプリケーションを保護するのに役立ちますか?
• 転送中のデータを保護できますか?
• デフォルト拒否のセグメンテーションときめ細かなポリシーの設計とテストはありますか?
• 既存のインフラストラクチャに関係なく導入できますか?
• 違反アラートは提供されますか?
• どのような種類のワークロード セキュリティ プロビジョニングを使用できますか?
• このソリューションは、ユーザーベースのセグメンテーション、リモートアクセス制御、および横方向の移動防止を提供しますか?
• デバイス レベルのセグメンテーション、不明なデバイスの検出、およびデバイス隔離はありますか?
• 脅威が特定される前であっても、デフォルトの封じ込めは行われていますか?
• ユーザーはどのような可視性を持ち、どのような種類の監査を利用できますか?
• どのような種類の統合が含まれていますか?次の点を考慮してください。
• Chef、Puppet、または Ansible を使用したオーケストレーション
• Red Hat OpenShift、Kubernetes、または Docker を使用したコンテナプラットフォームオーケストレーション
• Splunk と IBM QRadar によるセキュリティー分析
• Qualys、Tenable、Rapid7などの脆弱性管理ツール
• AWS Cloud Formation、AWS GuardDuty、Azure などのパブリッククラウドツール
• ネットワーク環境をどのくらいの速さでセグメント化できますか?
• ホストファイアウォール、スイッチ、ロードバランサーなどの既存の投資を活用して、レガシーシステムとハイブリッドシステム全体でセグメンテーションを適用するにはどうすればよいでしょうか?
• どのような種類の REST API 統合がサポートされていますか?確認すべき重要なツールには、OneOps、Chef、Puppet、Jenkins、Docker、OpenStack Heat/Murano などがあります