デジタル トランスフォーメーションは旅であり、冒険と同じように、少しの準備が成功への原動力となります。 冒険の準備には、どこに行きたいかを決定し、そこに到達するための最良の方法を決定し、途中で必要な機器、サービス、物資を集めることが含まれます.
通常、IT 変革の旅は、アプリケーションをデータセンターからクラウドに移動するアプリケーションの変革から始まります。 次に、現在広く分散しているアプリケーションにユーザーがアクセスできるようにするために、ハブ アンド スポーク ネットワーク アーキテクチャから直接接続アプローチへの移行という、ネットワークの変革が必要になります。 これにより、セキュリティ トランスフォーメーションの必要性が高まります。城と堀によるセキュリティ アプローチから、 ゼロトラストアーキテクチャ.
前述の順序は一般的なものですが、同様の結果を得るにはいくつかの方法があります。 に向かう旅を始めるべきです。 ゼロトラスト あなたが最も快適または準備ができていると感じる場所。 組織にとって、アプリの変革の前にセキュリティの変革から始める方が理にかなっている場合は、そうすることができます。
機器を評価する
ファイアウォール、VPN、および集中型セキュリティ アプライアンスを活用した城と堀のセキュリティ アーキテクチャは、アプリケーションがデータ センターにあり、ユーザーがオフィスで働いていたときにうまく機能しました。 当時の仕事にぴったりの装備でした。 しかし今日、従業員はどこからでも働き、アプリケーションはデータセンターからパブリック クラウド、SaaS、およびインターネットの他の部分に移行しています。 これらのファイアウォール、VPN、および従来のセキュリティ ハードウェア スタックは、今日の高度に分散されたビジネスのニーズを満たすように設計されておらず、その有用性を失いました。
ユーザーにアプリケーションへのアクセスを許可するには、VPN とファイアウォールでユーザーをネットワークに接続する必要があります。これにより、基本的にネットワークがすべてのリモート ユーザー、デバイス、および場所に拡張されます。 これにより、攻撃者がユーザー、デバイス、およびワークロードを侵害する機会が増え、横方向に移動して高価値の資産に到達し、機密データを抽出し、ビジネスに損害を与える方法が増えるため、組織はより大きなリスクにさらされます。 高度に分散されたユーザー、データ、およびアプリケーションを保護するには、新しいアプローチ、つまりより優れたアプローチが必要です。
最適ルートのマッピング
セキュリティの変革に関して言えば、革新的なリーダーはゼロトラストに目を向けています。 ファイアウォールと暗黙の信頼に依存し、信頼が確立されると広範なアクセスを提供する境界ベースのセキュリティ アプローチとは異なり、ゼロ トラストは、最小特権アクセスの原則と、ユーザー、デバイス、またはワークロードが存在しないという考えに基づくセキュリティへの全体論的アプローチです。本質的に信頼されるべきです。 すべてが敵対的であるという仮定から始まり、ID とコンテキストが検証され、ポリシー チェックが適用された後にのみアクセスが許可されます。
真のゼロトラストを実現するには、ファイアウォールをクラウドにプッシュするだけでは不十分です。 ネットワークに接続せずにユーザー、デバイス、およびワークロードをアプリケーションに安全に接続するには、クラウドで生まれ、クラウドを通じてネイティブに提供される新しいアーキテクチャが必要です。
あらゆる重要な旅と同様に、最終的な目的地を念頭に置きながら、道筋を明確に定義するさまざまなレグにゼロトラストへの旅を分割することが役立ちます。 アプローチを検討する場合、XNUMX つの重要な要素によって、動的かつ継続的にリスクを評価し、あらゆる場所からあらゆるネットワークを介して通信を安全に仲介することができます。
これらの要素を使用して、組織は真のゼロ トラストを実装して、攻撃対象領域を排除し、脅威の横方向の移動を防ぎ、侵害やデータ損失からビジネスを保護できます。
これらの要素は、次の XNUMX つのセクションにグループ化できます。
- ID とコンテキストを確認する
- コンテンツとアクセスの制御
- ポリシーの施行
詳しく見てみましょう。
ID とコンテキストを確認する
接続が要求されると、冒険が始まります。 ゼロトラスト アーキテクチャは、接続を終了し、ID とコンテキストを確認することから始まります。 要求された接続の誰が、何を、どこで調べます。
1. 誰が接続していますか?—最初の重要な要素は、ユーザー/デバイス、IoT/OT デバイス、またはワークロードのアイデンティティを検証することです。 これは、エンタープライズ ID アクセス管理 (IAM) プロバイダーの一部として、サードパーティ ID プロバイダー (IdP) との統合によって実現されます。
2. アクセスコンテキストとは?—次に、ソリューションは、役割、責任、時刻、場所、デバイスの種類、要求の状況などの詳細を調べて、接続要求者のコンテキストを検証する必要があります。
3. 接続先はどこですか?— ソリューションは次に、ID 所有者が権利を持ち、エンティティからリソースへのセグメンテーション ルールに基づいてアプリケーションまたはリソースにアクセスするために必要なコンテキストを満たしていることを確認する必要があります。これはゼロ トラストの基礎です。
コンテンツとアクセスの制御
ID とコンテキストを検証した後、ゼロトラスト アーキテクチャは、要求された接続に関連するリスクを評価し、トラフィックを検査して、サイバー脅威や機密データの損失から保護します。
4. リスクを評価する—ソリューションでは、AI を使用してリスク スコアを動的に計算する必要があります。 デバイスのポスチャ、脅威、宛先、動作、ポリシーなどの要因を接続の存続期間全体にわたって継続的に評価し、リスク スコアを最新の状態に保つ必要があります。
5.妥協を防ぐ:悪意のあるコンテンツを特定してブロックし、侵害を防止するには、効果的なゼロ トラスト アーキテクチャでトラフィックをインラインで復号化し、エンティティからリソースへのトラフィックの詳細なコンテンツ インスペクションを大規模に活用する必要があります。
6.データの損失を防ぐ—アウトバウンド トラフィックを復号化して検査し、機密データを特定し、インライン コントロールを使用するか、制御された環境内でアクセスを分離することにより、機密データの流出を防止する必要があります。
ポリシーの施行
旅の終わりに到達し、要求された内部または外部アプリケーションへの接続を最終的に確立する前に、ポリシーの適用という最後の要素を実装する必要があります。
7. ポリシーを適用する- 前の要素の出力を使用して、この要素は、要求された接続に関して実行するアクションを決定します。 最終目標は単純な合格/不合格の決定ではありません。 代わりに、ソリューションは、最終的に条件付き許可または条件付きブロックの決定をもたらす詳細な制御を提供するために、場所や施行ポイントに関係なく、セッションごとにポリシーを継続的かつ均一に適用する必要があります。
許可の決定に達すると、インターネット、SaaS アプリ、または内部アプリケーションへの安全な接続がユーザーに許可されます。
安全に目的地に到着
ゼロトラスト向けに設計されていないレガシー機器を使用してゼロトラストに到達しようとする場合、ゼロトラストへの道のりは危険な場合があります。 真のゼロ トラストを可能にするソリューションを見つけることは、最初は困難に思えるかもしれませんが、組織にとって最も理にかなったところから始めて、ここで概説する XNUMX つの要素を参考にしてください。
続きを読む Zscaler からのパートナーの視点。
