米国国家安全保障局 (NSA) は、次のガイドラインを発表しました。 ゼロトラストネットワークセキュリティ 今週は、ゼロトラスト導入に向けたより具体的なロードマップを提供します。コンセプトへの願望と実現の間のギャップを埋めることは重要な取り組みです。
企業がより多くのワークロードをクラウドに移行するにつれて、ゼロトラスト コンピューティング戦略は、誇大宣伝の段階から、不可欠なセキュリティ アプローチの地位を享受する段階に移行しました。しかし、それでも「」という概念は、検証されるまで信頼できない」は現実世界ではまだ浸透が遅れています(ただし、アラブ首長国連邦などの一部の地域では、ゼロトラストの採用が加速している).
ジョン・キンダーヴォーグは、 「ゼロトラスト」という用語を最初に定義した人 彼は Forrester Research のアナリストだった 2010 年に、NSA の動きを歓迎し、次のように述べました。価値。"
さらに、「これは、世界中のさまざまな組織がネットワーク セキュリティ制御の価値をより簡単に理解し、ゼロトラスト環境の構築と運用を容易にするのに大いに役立ちます」と、昨年イルミオのチーフ エバンジェリストとして入社したキンダーヴァグ氏は述べ、引き続きその推進を続けています。ゼロトラストの概念。
ゼロトラストはネットワークセグメンテーションを中心としています
NSA の文書には、ゼロトラストのベスト プラクティスに関する推奨事項が多数含まれています。その中には、攻撃者がネットワーク内を移動して重要なシステムにアクセスするのをブロックするためにネットワーク トラフィックをセグメント化することが基本的に含まれています。
この概念は新しいものではありません。IT 部門は何十年も前から企業ネットワーク インフラストラクチャをセグメント化してきました。Kindervag 氏は、最初の Forrester レポートで「将来のすべてのネットワークはデフォルトでセグメント化する必要がある」と述べて以来、ネットワークのセグメント化を提唱してきました。
しかし、フォレスター・リサーチのカルロス・リベラ氏とヒース・マリンズ氏が自著で述べているように、 去年の秋のレポート、「効果的なゼロトラスト アーキテクチャに必要なすべての機能を単一のソリューションで提供できるわけではありません。企業が従来の境界ベースのネットワーク防御の範囲内で生活し、運営されていた時代は終わりました。」
クラウド時代には、 ゼロトラストは指数関数的に複雑になっています かつてよりも達成するために。おそらくそれが、Akamai の調査回答者の 3 分の 1 未満しか回答していない理由です。 セグメンテーションの現状に関する 2023 年のレポート 昨秋以来、昨年は 2 つ以上の重要なビジネス分野に分割されました。
この問題の一部を軽減するために、NSA は、データ フローのマッピングと理解、および ソフトウェア定義ネットワーキング (SDN)。ビジネス ネットワークのどの部分が危険にさらされているか、そしてそれらを最適に保護する方法を理解するには、各ステップにかなりの時間と労力がかかります。
「ゼロトラストで心に留めておくべき重要なことは、それは旅であり、系統的なアプローチを使用して実装する必要があるということです」と、Akamai のエンタープライズ セキュリティ グループのフィールド CTO である Garrett Weber 氏は警告します。
ウェーバー氏はまた、セグメンテーション戦略に変化があったとも指摘する。 「最近まで、ハードウェアだけでセグメンテーションを導入するのは非常に困難でした」と彼は言います。 「ソフトウェアベースのセグメンテーションへの移行により、組織はセグメンテーションの目標をより簡単かつ効率的に達成できるようになりました。」
ネットワークのマイクロセグメンテーションをさらに進める
NSA 文書では、マクロネットワークとマイクロネットワークのセグメンテーションも区別しています。前者は部門間またはワークグループ間を移動するトラフィックを制御するため、たとえば IT 従業員は人事サーバーやデータにアクセスできません。
マイクロセグメンテーションによりトラフィックがさらに分離されるため、明示的に要求されない限り、すべての従業員が同じデータ アクセス権を持つわけではありません。 Akamai のレポートによると、「これには、攻撃対象領域をさらに減らし、侵害が発生した場合の影響を制限するために、ユーザー、アプリケーション、またはワークフローを個々のネットワーク セグメントに分離することが含まれます。」
セキュリティ管理者は、「マイクロセグメンテーションを使用してアプリケーションに焦点を当て、攻撃者が制御をバイパスできないようにするための措置を講じる必要があります。」 シングルサインオンアクセスを破壊するサイドロードされたアカウントを使用するか、外部ユーザーにデータを公開する方法を見つける必要があります」と AppOmni の CTO 兼共同創設者である Brian Soby 氏は言います。
Akamai のレポートが示すように、これは、特定のワークフローごとに何が必要かによってセキュリティ制御を定義するのに役立ちます。 「セグメンテーションも良いですが、マイクロセグメンテーションの方が優れています」と著者らは述べています。
複雑な取り組みかもしれませんが、果汁を搾る価値はあります。Akamai のレポートでは、研究者は「忍耐は報われる」と述べています。セグメンテーションは、重要な資産のほとんどをセグメント化している企業の防御に変革的な効果をもたらし、11 つの資産のみをセグメント化している企業よりも XNUMX 時間早くランサムウェアを軽減し封じ込めることができることが証明されました。」
Kindervag は今でもゼロトラストを提唱しています。その魅力と長寿の理由の 1 つは、この概念が理解しやすいためです。人々やエンドポイントは、アクセスが許可されていることを証明しない限り、サービス、アプリ、データ、クラウド、またはファイルにアクセスできません。必要な期間だけ付与されます。
「信頼とは人間の感情です」と彼は言いました。 「私が最初に提案したときは人々に理解されませんでしたが、リスクを負ってセキュリティの穴を塞ぐのではなく、危険を管理することがすべてです。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/remote-workforce/nsa-s-zero-trust-guidelines-focus-on-segmentation
