ゼロトラスト(1)
こんにちは。
株式会社フーバーブレイン SE の香取です。
「境界型防御からゼロトラストへ!」など、ゼロトラスト(ZTA)という言葉が身近になってきました。SASE の構成要素としても重要なゼロトラストについて、概要から Cato Cloud の対応・設定など数回に分けて記事にいたします。
ゼロトラストは何?
原則を見てみます。
詳しくは NIST SP 800-207 Zero Trust Architecture を参照してください。
従来は安全とされていたネットワーク(LAN / WAN)からのアクセスであっても、全く信頼しないコンセプトです。
組織の内部ネットワークに接続さえしてしまえば、あとは何でも…というのを防ぐには「侵入しただけでは何もできない」とする対策が必要です。
【出典】NIST SP 800-207 Figure 1: Zero Trust Access
この対策として、アクセス元とリソースの間にポリシー定義/適用ポイント(PDP / PEP)を設け、セッション毎にアクセスを制御します。
アクセス元が LAN / WAN にあっても PEP を避けてリソースに直接アクセスすることは出来ません。この形なら、仮に内部ネットワークへの不正侵入があってもリソースは守られます。
ゼロトラストと SASE
実際のネットワークで、こういうことは稀でしょう。
ゼロトラストが境界型防御やネットワークセキュリティ(不正アクセスを検知して防御)に今すぐ換わるというものではなく、併用される形が一般的であると思われます。
そこで、SASE です。NaaS(Network as a Service)と NSaaS(Network Security as a Service)を統合したものであり、境界型防御やネットワークセキュリティの機能が多く実装されています。
肝心のゼロトラストについて SASE を提唱している Gartner は Cost Effectively Scaling Secure Access While Preparing for a Remote Workforce の中で ZTNA(Zerot Trust Network Access)を「ここから開始(Start here)」と述べています。
よって、「SASE というカテゴリのサービスには、ゼロトラストを実現するための機能が必ず含まれている」と言えます。
SASE である Cato Cloud には SDP(Software Defined Perimeter)、セッション毎の動的なポリシー適用などゼロトラストのための機能があります。
具体的な機能や設定方法などを次回以降の記事で述べて行きます。
今後ともよろしくお願いいたします。
この記事が気に入ったらサポートをしてみませんか?