ゼロトラストアーキテクチャ(ZTA)は、主に最近のせいで、サイバーセキュリティの世界で多くの騒ぎを起こしました 行政命令 米国大統領ジョセフバイデンによって発行されました。 この順序で、ゼロトラストアーキテクチャは、連邦政府のサイバーセキュリティを最新化するためのベストプラクティスのXNUMXつとして言及されています。
ゼロトラストアーキテクチャとは何ですか?
では、「ゼロトラストアーキテクチャ」またはZTAとは何でしょうか。 つまり、ゼロトラストセキュリティモデルに基づいて組織のネットワークのサイバーセキュリティインフラストラクチャを設計する方法です。 ゼロトラストは、その中核として、ネットワークのどの部分にも暗黙の信頼が付与されないという原則に基づいて機能します。 または、素人の言葉で言えば、組織は、要求がその境界の内側からのものか外側からのものかに関係なく、検証なしに要求を信頼してはなりません。 ゼロトラストモデルは、ネットワークへの攻撃の潜在的な脅威を軽減し、そのセキュリティ体制を強化するために開発されました。
ネットワークセキュリティは一般的にアクセスを扱います。 リソースにアクセスするには、すべてのユーザーが資格情報を表示してIDを証明する必要があります。これにより、ネットワークの信頼を得ることができます。 セキュリティに対する従来の「城と堀」のアプローチは、これらの資格情報がチェックされ、検証されるとアクセスが許可される境界防御の設定に依存しています。 ただし、この方法では潜在的なセキュリティの脅威が発生します。 たとえば、古いレガシーソフトウェアを搭載したサーバーなど、単一の侵害ポイントがネットワーク全体のバックドアになる可能性があります。 SSL.comの最近の投稿で概説されているように、 デジタル証明書によるランサムウェア攻撃の防止、これはコロニアルパイプラインに対する最近のダークサイド攻撃で起こったこととほぼ同じです。
会社のCEO 明らかにした その[攻撃]は見落としのために発生しました。 彼は上院委員会に、ハッカーは会社が任務外であると信じていた古い仮想プライベートネットワークを介してアクセスしたと語った。 A CNN記事 4 年 2021 月 XNUMX 日以降、このネットワークにアクセスするために必要なのは、XNUMX つの侵害されたパスワードだけであることが明らかになりました。
悪意のある攻撃者が境界防御に侵入すると、ネットワーク内を自由に移動できます。 さらに、ネットワークの境界でのみの資格情報の検証は、悪意のあるユーザーからの内部攻撃や正当なユーザーの機器の侵害にはほとんどまたはまったく影響を与えません。
ゼロトラストモデルでは、すべてのネットワーク要求は、ネットワークがすでに侵害されているかのように扱われる必要があり、単純な要求でさえ潜在的な脅威と見なされる必要があります。 セッションの開始またはアクセスが許可される前に、多要素認証と承認が必要です。 さらに、認証されたユーザーが新しいリソースへのアクセスを要求するときはいつでも、その資格情報を再度確認する必要があります。 このアプローチは、脅威がネットワーク内に入ると横方向の動きを制限するのに役立ち、脅威がネットワークの外部または内部にあるかどうかにかかわらず、脅威の迅速な検出、識別、および中和に役立ちます。
この防御戦略の変化は、リモートユーザー、BYOD(Bring Your Own Device)、クラウドベースのサービスやデバイスなど、最新のネットワーク設計の傾向とセキュリティ要件への対応です。 インターネットのもの(IoT)。 これらのリソースはすべてネットワークの境界内にあるため、境界防御を設定することはもはや効果的ではありません。 最近のランサムウェア攻撃 ほとんどの組織のセキュリティアーキテクチャを再評価する必要性を強調します。
概念の多くは新しいものではありません。たとえば、計算概念としての信頼は 1994で最初に造られた。 当初、それは広く注目されていませんでした。これは主に、ネットワークとセキュリティが現在と比較して当時は比較的原始的な状態であったためです。 ただし、テクノロジが進歩し、コンピュータネットワークが指数関数的に複雑になるにつれて、組織のITシステムの境界を定義することはますます困難な作業であることが判明しました。 これにより、Zero Trustなどの代替セキュリティモデルが業界で注目を集め、人気を博しました。
NISTのゼロトラストロードマップ
2018年後半の時点で、米国国立標準技術研究所(NIST)は、米国国立サイバーセキュリティセンターオブエクセレンス(NCCoE)とともに、 NIST特別刊行物800-207, ゼロトラストアーキテクチャ。 この出版物は、ゼロトラストの原則に基づいてシステムを設計するためのロードマップとともに、ZTAの抽象的な定義を提供します。
- すべてのデータソースとコンピューティングサービスはリソースと見なされます。
- ネットワークの場所に関係なく、すべての通信が保護されます。
- 個々の組織のリソースへのアクセスは、セッションごとに許可されます。
- リソースへのアクセスは、クライアントID、アプリケーション/サービス、および要求元のアセットの監視可能な状態を含む動的ポリシーによって決定され、他の動作および環境属性が含まれる場合があります。
- 組織は、所有および関連するすべての資産の整合性とセキュリティ体制を監視および測定します。
- すべてのリソース認証と承認は動的であり、アクセスが許可される前に厳密に適用されます。
- 組織は、資産、ネットワークインフラストラクチャ、および通信の現在の状態について可能な限り多くの情報を収集し、それを使用してセキュリティ体制を改善します。
これらの信条は、テクノロジーにとらわれず、組織のセキュリティ体制を改善することを目的としています。 理想的なシナリオでは、システムのセキュリティを設計する際に、これらの原則のすべてが考慮されます。 ただし、ビジネスニーズは組織によって異なり、ゼロトラストアーキテクチャの正確な実装はこれらの要件を満たす必要があります。 モデルの設計は、組織のリソースの価値とリスクの欲求に合わせてカスタマイズする必要があります。
全体的な目標は、オーバーヘッドを最小限に抑えながら、アクセス制御の実施を可能な限りきめ細かくすることと相まって、データやサービスへの不正アクセスを防止することです。 これを実現する方法はいくつかありますが、Zero Trust Architectureは、システム全体の主要なセキュリティ境界に戦略的に配置された、徹底的で広範な承認および認証メカニズムに依存しています。 このように、アクセスは、目前のタスクを実行するために絶対に必要なリソースにのみ許可され、それらを実行するための正当な権限を持つユーザーにのみ許可されます。 さらに、アクセスを許可する際には、通常の動作からの逸脱が考慮されます。 たとえば、組織の手口によっては、勤務時間外のリソースへのアクセスがアクセスを拒否する潜在的な理由と見なされる可能性があります。
ゼロトラストアーキテクチャへの移行
ゼロトラストアーキテクチャを実装するための組織のITシステムの完全な変革は複雑なプロセスです。 代わりに、組織は小さな簡単なステップでセキュリティ体制を継続的に改善するよう努めるべきです。 さらに、既存のサービスを新しいアーキテクチャに移行することは、一般に、新しいサービスを最初から設計するよりもコストがかかります。 そのため、優れた戦略は、ゼロトラストの信条に準拠して、新しいサービス、特にクラウドベースのサービスを実装することです(たとえば、次のような強力な認証方法を常に使用する) 相互 TLS.)
ゼロトラストは、ネットワーク自体のセグメントではなく、ネットワークの資産を保護することに重点を置いているという意味で、データ中心のアプローチです。 ZTAを実装するための重要な要素は、保護が必要なリソースとそれらを保護するための最良の方法を特定することです。 保管中および転送中のデータを保護する必要があるため、特にを使用して暗号化を行う PKI、ZTAの実装の基礎。 施行されたポリシーの効率とユーザーの行動に関するデータを収集することも、サイバーセキュリティである絶えず変化する環境に適応できる動的なシステムを作成する上で重要です。
まとめ
ゼロトラストアーキテクチャは、サイバーセキュリティへの最新のアプローチです。クラウドベースのサービスによって定義されるITエコシステムの最新のトレンドとニーズへの対応です。 ZTAの実装は一朝一夕には行われませんが、移行に役立つツールとソリューションが現時点で利用可能です。 全体的なセキュリティ体制の改善を検討している組織は、既存のテクノロジとデザインパターンの恩恵を受けて、セキュリティモデルを再評価し、ZTAなどの最新の業界のベストプラクティスに移行できます。
- ユーザーとデバイスの安全でブルートフォース耐性のある認証要素としてデジタル証明書を使用する方法の詳細については、以下をお読みください。 相互認証によるユーザーとIoTデバイスの認証 TLS.
- ホステッド PKI • カスタムブランドの発行CA SSL.comは、企業に投資することなく、公的または私的に信頼されたデジタル証明書を発行および管理する機能を提供します。 PKI インフラストラクチャと専門家の人員配置。 当社の施設とプロセスは、WebTrust認定とお客様の安心を維持するために、厳格な年次外部監査を受けています。 詳細については、以下をお読みください ホステッドエンタープライズ PKI • 下位CAと必要な理由.
- 組織がゼロトラストに移行するのを支援する方法についてSSL.comの担当者と直接話すには、メールでお問い合わせください。 Sales@SSL.com または、以下のエンタープライズセールスお問い合わせフォームを送信してください。