ゼロトラストは製品ですか、それとも哲学ですか?

両方。哲学は明確に定義されています (NIST 800-207)。これを実装する製品は、アイデンティティプロバイダー、デバイス管理、アクセスプロキシ、ポリシーエンジン、テレメトリなどのスタックを形成します。ベンダーは作品を販売します。「ゼロトラスト」は、それらを組み立てて構築したアーキテクチャです。

ゼロトラストによりファイアウォールは不要になりますか?

完全にではありません。ファイアウォールは、大まかなネットワークフィルタリングと DDoS 回復力に依然として役立ちます。しかし、それらはもはや主要なアクセス制御層ではありません。アクセスプロキシは。ほとんどのゼロトラスト展開には依然としてファイアウォールが存在します。彼らの役割は「the」防御から「a」防御に変わりました。

中小企業でもゼロトラストを導入できるでしょうか?

はい、これまでよりも簡単に。 Cloudflare Accessには無料枠があります。 Tailscale には寛大な無料プランがあります。 Google Workspace と Microsoft 365 には、ビジネス契約者向けのゼロトラスト機能がバンドルされています。障壁はもはやコストではありません。それは、すべてのアプリのポリシー管理の運用上の変更です。

ゼロトラストは単に SASE / SSE / ZTNA / SDP / [次の頭字語] ですか?

これらは関連するカテゴリです。 SASE (Secure Access Service Edge) は、クラウドで提供されるネットワーク + セキュリティプラットフォームです。 SSE (Security Service Edge) は、セキュリティのみのサブセットです。 ZTNA (ゼロトラストネットワークアクセス) は、特定のアプリケーションアクセス部分です。 SDP (Software-Defined Perimeter) は、同じ概念を表す古い用語です。ゼロトラストが哲学です。これらはそれを実装した製品です。

ゼロトラストの移行にはどのくらい時間がかかりますか?

企業の場合: 2 ～ 5 年。作業はテクノロジーではありません。すべてのアプリケーション、すべてのサービス間フロー、すべてのレガシー認証メカニズムを識別し、それぞれを新しいモデルに移行することです。「ゼロトラスト」を謳っている企業は、通常、ほとんどのアプリに対して ID 認識プロキシを備えており、依然としてロングテールに取り組んでいることを意味します。

ゼロトラストアーキテクチャの説明: ネットワーク境界に代わるセキュリティモデル

Q: ゼロトラストは製品ですか、それとも哲学ですか?

両方。哲学は明確に定義されています (NIST 800-207)。これを実装する製品は、アイデンティティ プロバイダー、デバイス管理、アクセス プロキシ、ポリシー エンジン、テレメトリなどのスタックを形成します。ベンダーは作品を販売します。 「ゼロトラスト」は、それらを組み立てて構築したアーキテクチャです。

Q: ゼロトラストによりファイアウォールは不要になりますか?

完全にではありません。ファイアウォールは、大まかなネットワーク フィルタリングと DDoS 回復力に依然として役立ちます。しかし、それらはもはや主要なアクセス制御層ではありません。アクセスプロキシは。ほとんどのゼロトラスト展開には依然としてファイアウォールが存在します。彼らの役割は「the」防御から「a」防御に変わりました。

ゼロトラストは、ネットワークのどの部分も信頼できるものではなく、すべてのアクセス要求は送信元に関係なく認証および許可される必要があることを前提としたセキュリティモデルです。 10 年にわたる攻撃により、周囲が宣伝されているほど硬くないことが証明された後、硬い外周を柔らかい内側にするという古い考えが置き換えられました。

記事全文は以下に英語で記載されています。

ゼロトラストアーキテクチャ (ZTA) は、ネットワークの場所に基づいて暗黙的な信頼が付与されず、すべてのリソースへのアクセス試行ごとに明示的な検証を必要とするセキュリティモデルです。「決して信頼せず、常に検証してください」というキャッチフレーズは使い古されていますが、原則は変わりません。このモデルは John Kindervag の 2010 年の Forrester 研究から生まれ、現在は NIST SP 800-207 で成文化されています。

何が置き換えられたのか

従来のモデル (「城と堀」) は次のように想定されています。

脅威は外部から来る。一度中に入ると信頼されます
ファイアウォールとVPNが境界を定義します
ネットワークがセキュリティ境界です

これは機能しなくなるまで機能しました。認証情報の漏洩、サプライチェーン攻撃、悪意のある内部関係者、リモート作業はすべて境界を迂回しました。 2010 年代の悪名高い侵害 (Target、OPM、Anthem、Sony、Equifax) にはすべて、攻撃者が境界内に侵入し、その後自由に移動することが関係していました。境界は単一障害点でした。

Zero Trust はこう言います: 攻撃者がすでに内部にいると仮定します。すべてのリクエストを、あたかも敵対的なネットワークから送信されたものであるかのように認証し、許可します。防御は境界線に依存しません。

中心原則

NISTの7つの原則:

すべてのデータソースとコンピューティングサービスはリソースです。「内部」システムには特別なステータスはありません。
ネットワークに関係なくすべての通信が保護されますlocation. 転送中は常に暗号化します。トラフィックがファイアウォールの内側にあるからといって信頼しないでください。
個々のリソースへのアクセスはセッションごとに許可されます。 ネットワークエントリごとにではなく、リソースごと、リクエストごとに認証します。
アクセスは動的ポリシーによって決定されます。 「サブネット内にあるだけではなく、ID + デバイスポスチャ + コンテキスト + リスクスコア」 10.0.x.x."
企業は、所有および関連するすべての資産の整合性を監視および測定します。継続的なデバイスの健全性チェック。
すべてのリソースの認証と認可は動的であり、厳密に適用されます。ポスチャが発生するとセッションが終了する可能性があります。変更。
企業は、資産の状態、ネットワークインフラストラクチャ、および通信についてできる限り多くの情報を収集します。テレメトリはリスクの決定に役立ちます。

実際の運用ではどのように見えるか

最新のゼロトラスト展開は、通常次の組み合わせになります。

IDプロバイダ (Okta、Microsoft Entra、Google Workspace) — あなたが誰であるかを示す唯一の信頼できる情報源。
デバイス管理 (Jamf、Intune、Chrome Enterprise) — どのデバイスが正常で準拠しているかを把握します。
アクセスプロキシ (Cloudflare Access、Zscaler、Tailscale、 BeyondCorp) — すべての内部アプリの前に配置され、すべてのリクエストにポリシーを適用します。
マイクロセグメンテーション — サービス間のトラフィックも認証され、ネットワーク内に暗黙的な信頼はありません。
ポリシーエンジン — ID、デバイス、およびポリシーを組み合わせたルールに対して各リクエストを評価します。 context.

ユーザーにとって、結果は目に見えません。Outlook を開き、Salesforce を押し、Confluence ページを編集します。各トランザクションはアクセスプロキシ経由でルーティングされ、ID とデバイスがチェックされ、許可または拒否されます。ユーザーにはポリシーエンジンが表示されません。

BeyondCorp: モデル

Google の BeyondCorp イニシアチブ (2009 年に内部的に開始され、2014 ～ 2017 年に公開) は、最初の大規模なゼロトラスト展開でした。 Google は企業 VPN を削除し、すべての社内アプリケーションにパブリックインターネット経由で直接アクセスできるようにしました。これは、リクエストごとにユーザー、デバイス、コンテキストをチェックする ID 認識プロキシによって保護されていました。このモデルはゼロトラストが大規模に機能することを証明し、Google はそれを GCP 上の Identity-Aware Proxy として製品化しました。

BeyondCorp の成功が業界を牽引しました。多くの大企業は、たとえ移行が遅かったとしても、少なくともゼロトラストへの取り組みを開始しています。古い境界モデルを中心に多くのレガシーなものが構築されていたためです。

ゼロトラストとVPN

ゼロトラストは、「VPNの死」として宣伝されることがあります。部分的には真実です。従来の企業 VPN では、ネットワークへのアクセスが許可され、その後、ユーザーは許可されているあらゆるものにアクセスできます。ゼロトラストは、ネットワークではなく特定のアプリケーションへのアクセスを許可します。侵害されたユーザーからの攻撃範囲が大幅に減少します。

最新の代替手段には、Tailscale (これは VPN ですが、アプリケーションごとの ACL と ID 認識アクセスを備えており、事実上小規模なゼロトラストです)、Cloudflare アクセス、およびさまざまな ZTNA (ゼロトラストネットワークアクセス) 製品が含まれます。

ゼロトラストは難しい

難しいParts:

レガシーアプリケーション. 信頼されたネットワーク上に存在することが期待されるアプリには、多くの場合、適切な認証がありません。
サービス間認証。 相互に通信するマイクロサービスは主要な攻撃対象領域であり、mTLS とアイデンティティ認識サービスメッシュは運用上複雑です。
ポリシーの爆発。 アプリごと、ユーザーごと、コンテキストごとのポリシーは多くのルールです。成熟した展開では抽象化 (グループ、ロール、属性) が使用されますが、認知負荷は実際に発生します。
移行コスト。 境界ベースのコントロールをゼロトラストコントロールに置き換えるには、どのような大規模組織でも数年かかる作業になります。

個人向けゼロトラスト

原則は縮小されます。個人として:

あらゆる場所で強力な認証を使用する - パスワード + 2FA またはパスキーを使用する
ホームネットワークを信頼しない - 転送中のすべてを暗号化する
デバイス上で最小権限のアカウントを実行する (デフォルトでは管理者ではない)
侵害されたエンドポイントが最も一般的なゼロトラストであるため、直ちにパッチを適用する違反
ブラウザセッションをデフォルトで信頼できないものとして扱う - サンドボックス化され、コンテンツフィルタリングが行われる

ゼロトラストアーキテクチャを自宅に展開することはありませんが、どの単一レイヤーでも障害が発生する可能性があると想定する考え方はそのまま反映されます。

よくある質問

ゼロトラストは製品ですか、それとも哲学ですか?: 両方。哲学は明確に定義されています (NIST 800-207)。これを実装する製品は、アイデンティティプロバイダー、デバイス管理、アクセスプロキシ、ポリシーエンジン、テレメトリなどのスタックを形成します。ベンダーは作品を販売します。「ゼロトラスト」は、それらを組み立てて構築したアーキテクチャです。
ゼロトラストによりファイアウォールは不要になりますか?: 完全にではありません。ファイアウォールは、大まかなネットワークフィルタリングと DDoS 回復力に依然として役立ちます。しかし、それらはもはや主要なアクセス制御層ではありません。アクセスプロキシは。ほとんどのゼロトラスト展開には依然としてファイアウォールが存在します。彼らの役割は「the」防御から「a」防御に変わりました。
中小企業でもゼロトラストを導入できるでしょうか?: はい、これまでよりも簡単に。 Cloudflare Accessには無料枠があります。 Tailscale には寛大な無料プランがあります。 Google Workspace と Microsoft 365 には、ビジネス契約者向けのゼロトラスト機能がバンドルされています。障壁はもはやコストではありません。それは、すべてのアプリのポリシー管理の運用上の変更です。
ゼロトラストは単に SASE / SSE / ZTNA / SDP / [次の頭字語] ですか?: これらは関連するカテゴリです。 SASE (Secure Access Service Edge) は、クラウドで提供されるネットワーク + セキュリティプラットフォームです。 SSE (Security Service Edge) は、セキュリティのみのサブセットです。 ZTNA (ゼロトラストネットワークアクセス) は、特定のアプリケーションアクセス部分です。 SDP (Software-Defined Perimeter) は、同じ概念を表す古い用語です。ゼロトラストが哲学です。これらはそれを実装した製品です。
ゼロトラストの移行にはどのくらい時間がかかりますか?: 企業の場合: 2 ～ 5 年。作業はテクノロジーではありません。すべてのアプリケーション、すべてのサービス間フロー、すべてのレガシー認証メカニズムを識別し、それぞれを新しいモデルに移行することです。「ゼロトラスト」を謳っている企業は、通常、ほとんどのアプリに対して ID 認識プロキシを備えており、依然としてロングテールに取り組んでいることを意味します。