ゼロトラストセキュリティの検証に関するホワイトペーパー

はじめに

このドキュメントでは、ゼロトラストに関する情報と、ゼロトラストを使用して企業を保護する方法について説明します。

要旨

ゼロトラストとは、ネットワークの内外を問わず、ユーザ、デバイス、またはアプリケーションが安全であると見なされず、それぞれがネットワーク資産へのアクセスを許可される前に検証される必要があるというモデルを表します。

この概念は、仮想化や、オンプレミスのリソースのパブリッククラウド、プライベートクラウド、ハイブリッドクラウドへの迅速な移行においてより重要になっています。

Zero Trustという用語は、Forresterが2010年にZero Trust Network Architecture Reportを発表したときに作成されました。

ゼロトラストは、重要なビジネス上の利益とイニシアチブを保護するためのビジネスレベルの戦略として開始する必要があることを理解することが重要です。

ゼロトラストの柱

ゼロトラストとは

ゼロトラストは、今日のインフラストラクチャに対してより実用的なセキュリティを実現するために、さまざまなテクノロジーを含む戦略的アプローチです。これは、今日のテクノロジー、プラクティス、ポリシーの組み合わせを効果的に調整するために設計されたセキュリティアーキテクチャおよびエンタープライズ手法です。

これは、セキュリティに対するシスコのアプローチの進化を表しており、複数のベンダーの製品とサービスを組み込んだ、包括的で相互運用可能な包括的なソリューションアプローチを提供します。

ゼロトラストは、ネットワークのセグメント化、多要素認証、ネットワークアクセスコントロールなど、確立された多くのテクノロジーに基づいています。

ゼロトラストが重要な理由

ゼロトラストは、権限のないユーザ、侵害、サイバー攻撃から企業を保護するのに役立ちます。セキュリティイベントのリスクを最小限に抑えるために、ユーザとデバイスの身元を継続的に確認し、作業に必要な権限のみをユーザに許可することができます。

市場調査によると、世界のゼロトラストのセキュリティ市場の規模は、2022年の270億ドルから2027/2028年には600億ドルに成長し、その時点で年平均成長率は約17%になる見込みです。

動機：

• 標的型サイバー攻撃の頻度の増加。
• データ保護と情報セキュリティに関する規制の増加
• ビジネスおよび組織のリスクを軽減する必要性の高まり
• より多くのサービスがクラウドに移行されると、一元化されたデータ展開はデータの境界を超え、セキュリティリスクを増大させます。
• 最初だけでなく、アクセスプロセス全体を通じてユーザの身元を確認する必要がある。

ランサムウェアによる単一の攻撃は500万ドルに上ります。サイバー犯罪者は、ビジネスのターゲットを区別しません。

最近のCIOおよびCISOの調査によると、ゼロトラストは上位5つの優先事項の1つです。CISOは、リモートワークへの移行、人手不足、サイバーセキュリティ攻撃の急増により、企業内の既存システムのセキュリティを確保する必要があると述べています。

従来のモデルとゼロトラストモデル

従来の環境では、環境の構築後にセキュリティが追加されています。通常、これらはフラットなネットワークであり、インターネットからの攻撃を防ぐために、ネットワークのエッジの周囲に防御が構築されます。

ゼロトラストは一般に、暗号化、安全なコンピュータプロトコル、動的なワークロード、およびデータレベルの認証と許可の組み合わせで複数のレベルで組織のシステムとデータを保護する必要性に焦点を当てることで認識されており、外部ネットワークの境界だけに依存するわけではありません。

ワークロードをクラウドから提供する機会が増え、モバイルエンドポイントがアプリケーションやデータアクセスの標準となっているため、従来の境界中心のセキュリティアーキテクチャの効果は低下しています。

ゼロトラストアーキテクチャフレームワーク

ゼロトラストのアーキテクチャフレームワークは、特にアクセスが必要で検証済みのユーザとデバイスに対する、システム、アプリケーション、およびデータリソースへのアクセス制限を扱います。アクセスを提供する各リソースに対して適切な許可を確保するには、それらのIDおよびセキュリティポスチャに対して継続的に認証される必要があります。

このフレームワークは、ゼロトラストのセキュリティ概念を企業環境に移行して導入するためのロードマップを提供するもので、NIST Special Publication 800-207に基づいています。

効果的なゼロトラストアーキテクチャフレームワークは、これら7つの主要なコアコンポーネントを調整および統合します。

• ゼロトラストネットワークは、ゼロトラスト戦略の重要な特性です。ゼロトラスト戦略とは、ネットワークをセグメント化する機能、またはネットワーク資産を分離してネットワーク間の通信の制御を維持する機能を指します。また、信頼性の高い接続を保護して、リモートで使用できるように職場環境を拡張します。
• Zero Trust Workforceには、ユーザアクセスを制限および適用する方法が含まれています。これには、ユーザを認証し、アクセス権限を継続的に監視および制御するテクノロジーが含まれます。このアクセスは、DNS、多要素認証、ネットワーク暗号化などのテクノロジーによって保護されます。
• Zero Trust Devicesは、モビリティとInternet of Thingsの追加によって拡大したネットワーク接続デバイスをすべて隔離、保護、管理し、攻撃者が悪用できる巨大な脆弱性を作り出す必要性に対処します。
• ゼロトラストワークロードは、重要なビジネスプロセスを実行する前面から背面へのアプリケーションスタックを保護します。データセンター内のアプリケーション、データ、およびサービス間のイースト/ウェストトラフィックのセキュリティを確保し、重要なアプリケーションの保護を強化します。
• ゼロトラストデータとは、データを分類および分類する手法と、データの暗号化を含むデータを保護および管理するテクノロジーソリューションを組み合わせたものです。
• 可視性と分析とは、自動化とオーケストレーションを認識し、管理者がリアルタイムの脅威の存在を含む環境内のアクティビティを確認するだけでなく理解できるようにするテクノロジーです。
• 自動化とオーケストレーションには、機械学習アルゴリズムや人工知能などのツールやテクノロジーが含まれ、ネットワークやデータセンターの資産を自動的に分類し、セグメンテーションやセキュリティ対策、ポリシー、ルールを提案して適用して自動的に適用します。これにより、セキュリティチームの負担が軽減され、攻撃の緩和が促進されます。

ゼロトラストとセグメンテーション

すべてのネットワークベースのリソースは、最小権限の原則を使用して保護およびセグメント化する必要があります。これは、クレデンシャルとアクセスをあらゆる目的で制御する資産管理システムを通じて実現するのが最適です。

ゼロトラストセグメンテーションのニーズには、ブランド保護、限定された攻撃対象領域、ネットワークの安定性の向上、迅速なサービス展開の実現が含まれます。

個々のリソースの保護をさらに実現するために、マイクロセグメンテーションを使用できます。Scalable Group Tag（SGT；スケーラブルグループタグ）は、イーサネットフレームにタグ値を挿入してリソースを一意に識別する場合に使用できます。さらに、インフラストラクチャデバイスには、各リソースを保護するゲートウェイデバイスとして使用できるインテリジェントスイッチ、ルータ、または次世代ファイアウォールが含まれます。

可視性、分析、自動化

組織のすべての資産と、それらの資産に関連するアクティビティを完全に把握することが重要です。これがゼロトラストの基盤です。

動的なポリシーおよび信頼に関する意思決定を行うには、継続的な分析の収集が必要です。デルのゼロトラストのアーキテクチャアプローチでは、ポリシーエンジンとポリシー管理者を使用したSDN戦略のコア論理コンポーネントに重点を置き、コントロールプレーンを形成して、データプレーン内のポリシー適用ポイント経由でリソースへのアクセスを制限します。

ゼロトラストアーキテクチャに必要な機能により、ネットワークコンテキスト、ラーニング、および保証を強化し、その使命を安全に遂行できます。

• ユーザ、デバイス、アプリケーション、ワークロード、データへのアクセスのきめ細かなマイクロセグメンテーション
• LAN、WAN、データセンター、クラウド、エッジなど、あらゆる場所でセキュリティポリシーが適用されます。
• 包括的なID管理：ID管理とアクセス管理を拡張して、ユーザー、デバイス、アプリケーション、ワークロード、およびデータのIDを含めます。これらのIDは、ソフトウェア定義のアクセスを通じて新たに微小な境界となります。
• グローバルな脅威インテリジェンスとフィードを活用する統合型脅威防御
• 組織のネットワークを完全に自動化し、俊敏性に優れた方法で制御することで、目的の達成に必要な規模、パフォーマンス、信頼性で安全に機能します。

信頼をゼロにするステップ

ゼロトラストの包括的なセキュリティを実現するには、LAN、データセンター、クラウドエッジ、クラウドなど、ネットワーク環境全体にセキュリティを拡張することが重要です。コンプライアンスは当然、必須です。

このセキュリティには、組織のネットワーク環境の総合的な可視性が含まれている必要があります。包括的なゼロトラストセンターの主なステップ：

• デバイスと機密データを特定します。デバイス、機密データ、ワークロードの特定と分類を実行します。
• 機密データのフローを把握します。
• ゼロトラストのセグメンテーションポリシーを設計します。各ネットワークベースの資産は、最小限の特権の原則と厳密に適用された細かい制御を使用して適切に保護およびセグメント化し、ユーザが業務の実行に必要なリソースにのみアクセスできるようにする必要があります。
• ポリシーとポスチャを実装します。これは、Cisco DNACやISEなどのプラットフォームで実行できます。
• ゼロトラスト環境を継続的に監視します。セキュリティ分析を実装して、セキュリティインシデントをリアルタイムで監視および分析し、悪意のあるアクティビティをすばやく特定します。内部および外部の両方ですべてのトラフィックを継続的に検査し、ログに記録します。

信頼できるアクセスの実現

包括的なゼロトラストのセキュリティを実現するには、組織はゼロトラストのアプローチを従業員、職場、およびワークロード全体に拡張する必要があります。

• 従業員のゼロトラスト：ユーザとデバイスは認証および承認を受ける必要があり、アクセスと権限は継続的に監視され、リソースを保護するために管理されます。
• ゼロトラストワークプレイス：クラウドとエッジを含むワークプレイス全体でアクセスを制御する必要があります。
• ゼロトラストのワークロード – きめ細かなアクセス制御を、アプリケーションスタック全体に適用する必要があります。これには、クラウド内のコンテナ、ハイパーバイザ、およびマイクロサービス間だけでなく、従来の機関のデータセンターも含まれます。

Forresterが認定したゼロトラストのリーダーであるシスコは、オンプレミスとクラウドの両方において、ネットワーク全体でゼロトラストを実現することを強く提唱しています。ゼロトラストアーキテクチャの重要な基盤としてシスコのネットワークインフラストラクチャを活用できるだけでなく、ゼロトラストへの移行を支援するシスコのゼロトラストセキュリティのその他の主要機能についても学習できます。

Cisco Secureポートフォリオ

次のコマンドを使用して、正常なゼロトラストフレームワークを構築できます。

• Cisco Duoによるユーザ、デバイス、およびアプリケーションへの円滑でセキュアなアクセス
• Cisco Umbrellaによる柔軟なクラウドセキュリティ
• Cisco Secure Firewallによるインテリジェントパケットインスペクション
• Secure Endpoint(旧AMP)による高度なマルウェア防御
• Cisco AnyConnectによるセキュアなVPNとリモートアクセス
• Cisco Secure Analytics（旧Stealthwatch）による総合的なワークロード保護
• Cisco Identity Services Engine(ISE)による保護されたネットワークセグメンテーション
• Cisco Secure Workloadによるアプリケーションの可視性とマイクロセグメンテーション
• Cisco SecureXによる統合セキュリティプラットフォーム
• Cisco Secure Connectによるas-a-serviceサブスクリプションを含むUnified SASEソリューション
• Cisco Zero Trust Strategy Serviceからのエキスパートガイダンス
• コンサルティング、アドバイザリ、およびソリューションサービスによるサポートおよびエンドツーエンドサービス

要約

ゼロトラストについて考える最も簡単な方法の1つは、「決して信頼せず、常に検証する」ことです。 これは、すべてのネットワーク接続、すべてのセッション、および重要なアプリケーション、ワークロード、データへのアクセス要求すべてに適用されます。

ゼロトラストのセキュリティフレームワークは、組織のネットワーク内の各リソースの周囲にローカライズされた微小境界の防御を作成します。フレームワークが正しく設計されていれば、その場所に関係なく資産を保護できます。

リスクを軽減する効率的な方法は、特権データおよび共有データへのアクセスを制御し、最小特権の原則を採用することです。このセキュリティモデルにより、APIを介したオーケストレーションが可能になるだけでなく、ユーザとアプリケーションの可視性を提供するワークフロー自動化プラットフォームとの統合も可能になります。

ゼロトラストを適切に実装すると、組織のIT環境全体にわたって安全でシームレスな運用を確保し、重要なワークロード、アプリケーション、およびデータに対して継続的で信頼できるアクセスを実現することで、組織のミッションを強化できます。