ゼロトラストモデルはセキュリティの専門家と一緒に勢いを増します

'信頼することはありません;常に確認してください。」常識のようですね。それがという戦略の背後にあるモットーですゼロトラスト、サイバーセキュリティの世界で注目を集めています。これには、IT部門が、アクセス権限を付与する前にすべてのユーザーを確認することが含まれます。アカウントへのアクセスを効果的に管理することはこれまで以上に重要であり、中小企業(SMB)の58%が報告していますデータ侵害2017年、 2018ベライゾンデータ侵害調査レポート



NS ゼロトラスト コンセプトは、Forrester Researchの元アナリストであり、現在は次のフィールドCTOであるJohnKindervagによって設立されました。 パロアルトネットワークス 。 「私たちは実際の戦略を開始する必要があり、それがゼロトラストによって可能になります」とキンダーバグは10月30日にニューヨーク市で開催されたSecurITゼロトラストサミットで聴衆に語った。彼は、ゼロトラストのアイデアは、彼が座って信頼の概念を実際に検討したときに生まれたと付け加えました。

チェイス・カニングハム博士は、ゼロトラストアクセスアプローチを擁護するフォレスターのプリンシパルアナリストとしてキンダーバグの後継者になりました。 「ゼロトラストとは、この2つの言葉に含まれるものであり、何も信頼しない、パスワード管理を信頼しない、資格情報を信頼しない、ユーザーを信頼しない、ネットワークを信頼しないことを意味します」とカニンガムはゼロトラストのガロンに語った。サミット。





Kindervagは、米国シークレットサービスの例を使用して、組織が保護する必要があるものとアクセスする必要がある人を追跡する方法について説明しました。 「彼らは[保護面]を継続的に監視し、それらのコントロールを更新して、いつでもマイクロ境界を通過するものを制御できるようにします」とキンダーバグ氏は述べています。 'これは、エグゼクティブ保護のゼロトラスト方式です。これは、ゼロトラストで私たちがやろうとしていることの最良の視覚的な例です。

ジョンキンダーバグ



John Kindervag、パロアルトネットワークスのフィールドCTO(クレジット:Centrify)

OPMで学んだゼロトラストの教訓

ゼロトラストが組織に利益をもたらすためにどのように機能できるかを示す完璧な例は、米国連邦政府の元CIOからのものです。ゼロトラストサミットで、2015年から2017年まで米国CIOのオフィスを務めたトニースコット博士は、2014年に米国人事管理局(OPM)で発生した重大なデータ侵害について説明しました。この侵害は外国のスパイ行為が原因で発生しました。個人情報とセキュリティクリアランスの背景情報は 2210万人が盗まれた 560万人の指紋データとともに。スコットは、この違反を防ぐためにデジタルセキュリティと物理的セキュリティの組み合わせが必要だっただけでなく、ゼロトラストポリシーの効果的な適用も必要だったと説明しました。

hp Laserjet ProM130FWレビュー

人々がOPMでの仕事に応募するとき、彼らは徹底的な標準フォーム(SF)86質問票に記入し、データは武装した警備員と戦車によって洞窟で守られるだろうと彼は言った。 「あなたが外国の実体であり、その情報を盗もうとした場合、ペンシルベニアのこの洞窟を突破し、武装した警備員を通り越さなければならないでしょう。それなら、トラック一杯の紙を持って出発するか、非常に高速なゼロックス機か何かを持っている必要があります」とスコットは言いました。

「2100万枚のレコードで逃げようとするのは記念碑的だっただろう」と彼は続けた。 「しかし、ゆっくりと、自動化がOPMプロセスに導入されると、磁気メディアなどのコンピューターファイルにこのようなものを入れ始めました。これにより、盗むのがはるかに簡単になりました。」スコットは、機関がデジタル化したとき、OPMは武装警備員と同等のタイプの効果的なセキュリティを見つけることができなかったと説明しました。攻撃に続いて、議会はこれらのタイプを保護するためのゼロトラスト戦略を要求するレポートを発表しました違反将来。

パロットar.drone2.0パワーエディション

「連邦政府のITネットワークを侵害または悪用しようとする高度な持続的脅威に対抗するために、政府機関は情報セキュリティとITアーキテクチャの「ゼロトラスト」モデルに移行する必要があります。 役職 当時のゼロトラストについて、もともとは連邦ニュースラジオによって発行されました。 「行政管理予算局(OMB)は、すべてのネットワークトラフィックを視覚化してログに記録する手段とともに、ゼロトラストを効果的に実装するために、執行部門と政府機関の長のためのガイドラインを作成する必要があります」とChaffetzは書いています。

現実世界でのゼロトラスト

ゼロトラストの実装の実際の例では、Googleは内部で次のようなイニシアチブを展開しました BeyondCorp アクセス制御をネットワーク境界から個々のデバイスおよびユーザーに移動することを目的としています。管理者は、IPアドレス、デバイスのセキュリティステータス、ユーザーのIDに基づいて、Google CloudPlatformとGoogleGSuiteの詳細なアクセス制御ポリシーを作成する方法としてBeyondCorpを使用できます。 Luminateという会社は、BeyondCorpに基づくサービスとしてZeroTrustセキュリティを提供しています。 Luminate Secure Access Cloud ユーザーを認証し、デバイスを検証し、アプリケーションへのアクセスを許可するリスクスコアを提供するエンジンを提供します。

「私たちの目標は、エンドポイントや次のようなアプライアンスにエージェントを導入することなく、ホストされている場所、クラウド、オンプレミスに関係なく、あらゆるユーザーがあらゆるデバイスからあらゆる企業リソースに安全にアクセスできるようにすることです。仮想プライベートネットワーク(VPN)、ファイアウォール、または宛先サイトのプロキシ」Luminateの製品管理責任者であるMichaelDubinskyはGaronに語った ハイブリッドアイデンティティ保護(HIP)カンファレンス2018 (HIP2018)ニューヨークで。

ゼロトラストが急速に勢いを増している主要なIT分野は、ID管理です。 'によると、侵害の80%は、特権クレデンシャルの誤用が原因である可能性があります。 Forrester Wave:特権ID管理、2016年第3四半期 ' 報告。許可されたアクセスをよりきめ細かく制御するシステムは、これらのインシデントを防ぐのに役立ちます。

ID管理スペースは新しいものではなく、そのようなソリューションを提供する企業のリストは数多くあります。最も普及しているのは、Microsoftと、依然として人気のあるWindowsServerオペレーティングシステムに組み込まれているActiveDirectory(AD)プラットフォームです( OS)。ただし、ADよりも多くの機能を提供できるだけでなく、ID管理の実装と保守を容易にすることができる新しいプレーヤーが多数あります。このような企業には、Centrifyなどのプレーヤーが含まれます、Idaptive、Okta、およびSailPointTechnologies。

また、Windows Serverにすでに投資している人は、すでに投資していると感じているテクノロジにもっとお金を払うことを躊躇するかもしれませんが、より深く、より適切に維持されたID管理アーキテクチャは、侵害の阻止とコンプライアンス監査に大きな利益をもたらす可能性があります。加えて、それはかなりの額になる可能性がありますが、コストは法外なものではありません。例えば、 Centrifyインフラストラクチャサービス システムあたり月額22ドルから。

ゼロトラスト特権アプローチ-Centrify

ゼロトラストの仕組み

「ゼロトラストが行うことの1つは、ネットワークセグメンテーションを定義することです」とKindervag氏は述べています。セグメンテーションは、ネットワーク管理とサイバーセキュリティの両方で重要な概念です。これには、パフォーマンスとセキュリティを向上させるために、コンピューターネットワークを論理的または物理的にサブネットワークに分割することが含まれます。

ゼロトラストアーキテクチャは、 周囲 ネットワークの物理的な場所を含むモデル。それには、「境界をエンティティに押し下げる」ことが含まれます」とカニンガム氏は述べています。

「エンティティは、サーバー、ユーザー、デバイス、またはアクセスポイントである可能性があります」と彼は言いました。 「本当に高い壁を作り、安全だと考えるのではなく、コントロールをマイクロレベルまで押し下げます。」カニンガムは、ファイアウォールを典型的な境界の一部として説明しました。 「それはアプローチと戦略と境界の問題です」と彼は述べました。 「高い壁と1つの大きなこと:それらは機能しません。」

の新CEOであるDannyKibel氏によると、ネットワークにアクセスするために、セキュリティの古い側面はルーターを使用することでした。 適応性 、Centrifyからスピンオフしているアイデンティティ管理会社。ゼロトラストの前は、企業は検証してから信頼していました。しかし、ゼロトラストを使用すると、「常に検証し、決して信頼しない」とキベルは説明しました。

Idaptiveは、Sを含む次世代アクセスプラットフォームを提供しますイングルサインオン(SSO)、適応型多要素認証(MFA)、およびモバイルデバイス管理(MDM)。 Idaptiveなどのサービスは、アクセスに対して必然的にきめ細かい制御を作成する方法を提供します。さまざまなアプリケーションにアクセスする必要があるユーザーに基づいて、プロビジョニングまたはプロビジョニング解除を行うことができます。 「これにより、組織がアクセスを制御するためのきめ細かい機能が提供されます」とKibel氏は述べています。 「そして、それは私たちが目にしている組織にとって非常に重要です。なぜなら、不正アクセスに関しては多くの無秩序なものがあるからです。」

ビジネス-Statista-IDアクセス管理セグメントにおける世界的なセキュリティ支出

plustek ephotoz300フォトスキャナー

Kibelは、Idaptiveのゼロトラストへのアプローチを3つのステップで定義しました。ユーザーを確認し、デバイスを確認してから、そのユーザーだけにアプリケーションとサービスへのアクセスを許可します。 「ユーザーの行動を評価するための複数のベクトルがあります。場所、地理速度[現在の場所と最後にログインした場所の間の距離]、時刻、時刻、使用しているアプリケーションの種類、さらには場合によっては、そのアプリケーションをどのように使用しているか」とKibel氏は述べています。 Idaptiveは、ログインの成功と失敗を監視して、認証に再度チャレンジする必要がある場合や、ユーザーを完全にブロックする必要がある場合を確認します。

10月30日、Centrifyはと呼ばれるサイバーセキュリティアプローチを導入しました ゼロトラスト特権 企業は必要最小限の特権アクセスを許可し、誰がアクセスを要求しているかを確認します。ゼロトラスト特権プロセスの4つのステップには、ユーザーの確認、要求のコンテキストの調査、管理環境の保護、および必要最小限の特権の付与が含まれます。 Centrifyのゼロトラスト特権アプローチには、リスクを軽減するための段階的なアプローチが含まれます。また、従来の特権アクセス管理(PAM)からの移行ももたらします。これは、企業がクラウドストレージプラットフォーム、ビッグデータプロジェクト、さらにはビジネスグレードで実行される高度なカスタムアプリケーション開発プロジェクトなどの新しいタイプの環境へのアクセスを制限できるようにするソフトウェアです。 ウェブホスティング 設備。

Centrifyの社長であるTimSteinkopfは、ゼロトラストモデルは、ハッカーがすでにネットワークにアクセスしていることを前提としています。 Steinkopfによれば、この脅威に対抗するための戦略は、横方向の動きを制限し、あらゆる場所にMFAを適用することです。 「誰かが特権環境にアクセスしようとするときはいつでも、あなたはすぐに正しい資格と正しいアクセスを持っている必要があります」とスタインコフはガロンに語った。 「それを実施する方法は、IDを統合することです。次に、要求のコンテキスト、つまり、誰が、何を、いつ、なぜ、どこで行うかが必要です。」その後、必要なアクセス量だけを許可すると、Steinkopf氏は述べています。

「あなたはユーザーのコンテキストをとっています。その場合、それは医師、看護師、またはデータにアクセスしようとしている他の人である可能性があります」とDubinsky氏は述べています。 「あなたは彼らが働いているデバイスのコンテキストを取り、あなたは彼らがアクセスしようとしているファイルのコンテキストを取り、そしてあなたはそれに基づいてアクセス決定をする必要があります。」

Luminate、製品管理責任者、Michael Dubinsky

Luminateの製品管理責任者であるMichaelDubinsky(クレジット: センペリス )。

MFA、ゼロトラスト、およびベストプラクティス

ゼロトラストモデルの重要な側面は強力な認証であり、認証の複数の要素を許可することはその一部であると、のCEO兼共同創設者であるHedKovetz氏は述べています。 シルバーフォート 、MFAソリューションを提供します。クラウドの時代には境界が不足しているため、これまで以上に認証の必要性が高まっています。「あらゆるもののMFAを行う能力は、ゼロトラストのほぼ基本的な要件であり、ゼロトラストはもはや境界がないという考えから来ているため、今日は不可能です」とKovetzはHIP2018でGaronに語りました。 「つまり、何かが何かに接続しているのです。この現実には、制御を適用できるゲートウェイがありません。」

チェイス・カニングハム博士

YouTubeをChromecastにキャストできません

編集者からの推薦

境界を越えて-階層化されたセキュリティに対処する方法 境界を越えて:階層化されたセキュリティに対処する方法 ITウォッチ-サイバー犯罪ハック次のセキュリティ違反に備える方法 ゼロトラスト-データ侵害NYC Ventureは、仕事の促進、サイバーセキュリティの革新を目指しています

Forrester Researchの主席アナリスト、チェイス・カニングハム博士 (クレジット:Centrify)

ForresterのCunninghamは、 ゼロトラスト拡張 (XTX)テクノロジー購入の決定をゼロトラスト戦略にマッピングします。 「実際に環境を安全に管理するために必要な7つの制御を実際に検討しました」とCunningham氏は述べています。 7つの柱は、自動化とオーケストレーション、可視性と分析、ワークロード、人、データ、ネットワーク、およびデバイスです。 ZTXプラットフォームであるためには、システムまたはテクノロジーには、これらの3つの柱とアプリケーションプログラミングインターフェイス(API)機能。セキュリティソリューションを提供するいくつかのベンダーは、フレームワークのさまざまな柱に適合しています。 Centrifyは人とデバイスのセキュリティに対応する製品を提供し、Palo Alto NetworksとCiscoはネットワーキングソリューションを提供し、IBMのSecurityGuardiumソリューションはデータ保護に重点を置いているとCunningham氏は述べています。

ゼロトラストモデルには、暗号化されたトンネル、トラフィッククラウド、および証明書ベースの暗号化も含まれる必要があるとSteinkopf氏は述べています。 iPadからインターネット経由でデータを送信する場合は、受信者がアクセスする資格があることを確認する必要があると彼は説明しました。 Steinkopf氏によると、コンテナーやDevOpsなどの新しいテクノロジーのトレンドを実装することで、特権的な資格のある悪用と戦うことができます。彼はまた、クラウドコンピューティングがゼロトラスト戦略の最前線にあると説明しました。

LuminateのDubinskyも同意します。 SMBの場合、ID管理またはMFAをサービスとして提供するクラウド企業に目を向けると、これらのセキュリティ責任は、その分野を専門とする企業にオフロードされます。「あなたは、日常業務として[セキュリティ]に責任を持つ企業や人々にできるだけ多くの負荷をかけたいと思っています」とDubinskyは言いました。

tp-linkac1900の範囲

ゼロトラストフレームワークの可能性

専門家は、企業が特にID管理においてゼロトラストモデルに目を向けていることを認めていますが、ゼロトラストを採用するためにセキュリティインフラストラクチャに大きな変更を加える必要がないと考える企業もあります。 IDCのセキュリティ製品グループのプログラムバイスプレジデントであるSeanPikeは、次のように述べています。 「私は、ROI [投資収益率]の計算が理にかなった時間枠内に存在することを確信していません。アーキテクチャの変更や人事上の問題がいくつかあり、戦略としてコストが法外に高くなると思います。」

ただし、Pikeは、電気通信とIDMにおけるゼロトラストの可能性を認識しています。 「今日、アーキテクチャを大幅に変更する必要のない、今日すぐに採用できるコンポーネントがあると思います。たとえば、アイデンティティなどです」とパイク氏は述べています。 「彼らは[ゼロトラストと]関連していますが、採用は必ずしもゼロトラストへの戦略的な動きではなく、ユーザーが接続する新しい方法とパスワードベースのシステムから離れて改善する必要性に対処するための動きであると強く感じていますアクセス管理」とパイク氏は説明しました。

ゼロトラストは、ネットワークへの参加者を信頼しない、ユーザーを確認する必要があるなど、サイバーセキュリティの標準原則のいくつかを繰り返すマーケティングの概念の一部として解釈できますが、専門家によると、それはゲームプランとしての目的を果たします。 「私はゼロトラストの大きな支持者であり、その特異で戦略的な種類のマントラに向かって動き、組織内でそれを擁護している」とフォレスターのカニンガムは述べた。

Forresterが2010年に導入したZeroTrustのアイデアは、サイバーセキュリティ業界にとって目新しいものではないと、 研究所なし 、セキュリティトレーニングと認定を提供する組織。 「これはサイバーセキュリティのほぼ標準的な定義です。すべてを安全にし、ネットワークをセグメント化し、ユーザー特権を管理するようにしてください」と彼は言いました。

Pescatoreは、2004年頃、Jericho Forumと呼ばれる現在は機能していないセキュリティ組織が、「境界のないセキュリティ」に関してForresterと同様のアイデアを導入し、信頼できる接続のみを許可することを推奨していると述べました。 「これは、「犯罪者がなく、天気が良い場所に移動し、家に屋根やドアは必要ない」と言っているようなものです」とペスカトーレ氏は言います。 「ゼロトラストは、少なくともセグメンテーションの常識を取り戻しました。常にインターネットから境界線を使ってセグメンテーションします。」

ゼロトラストモデルの代替として、ペスカトーレは次のことを推奨しました インターネットセキュリティの重要なセキュリティ管理センター 。結局、ゼロトラストは誇大宣伝にもかかわらず確かに利益をもたらすことができます。しかし、Pescatoreが指摘したように、それがゼロトラストと呼ばれるか他の何かと呼ばれるかにかかわらず、このタイプの戦略には依然として基本的な制御が必要です。

「ビジネスを保護するためには、基本的なセキュリティ衛生プロセスと制御を開発し、それらを効果的かつ効率的に実行し続けるための熟練したスタッフが必要であるという事実は変わりません」とペスカトーレ氏は述べています。これはほとんどの組織にとって財政的投資以上のものであり、企業が成功するために焦点を当てる必要があるのは1つです。

推奨されます